2. 목차
1 엔드포인트 보안 환경의 변화
2 Symantec Endpoint Protection 11.0 개요
3 Symantec Endpoint Protection 11.0 구성요소
4 Symantec Endpoint Protection 11.0 주요기능
5 기대효과 : Value
6 별첨 : Why Symantec
2
3. 엔드포인트 보안 환경의 변화
보안 위협의 변화
보안 위협의 종류는 날로 다양하고 고도화 되고 있으며, 이에 대응하기 위한 보안 조치의 방향도 변화되고 있다.
특히 기존에 네트워크 보안기술 위주의 보안 투자의 방향에서 보안 사고의 근원인 엔드포인트에 대한 직접적인
보안 강화로 그 방향이 바뀌고 있다. 따라서 기존의 엔드포인트 보안기술의 대명사였던 안티바이러스에 대한
인식도 그 한계가 점차 인식되면서 이를 극복할 수 있는 대안 기술들이 주목받고 있다. (Future of AntiVirus)
범죄행위
피싱, 제로데이 공격
애드웨어, 스파이웨어
봇 공격
스팸 메일
웜 : 취약점 공격, 대용량 메일발송, 네크워크 트래픽 발생
단순 호기심
바이러스
과시목적 : 기술력 금전적 목적
1986 2008
Symantec Endpoint Protection 11 3
4. 새로운 신규 위협의 등장
Threat Evolution Timeline
Zero Day
범죄
Phishing Exploits
Phishing
Explodes IPS (Host)
Crimeware
& Threats
Application Control
Spyware & Adware Rootkits
Adware Antispyware
Spyware
Explode On the Rise
Device Control
types of threats
Paid
Bots & DDoS Bots Vulnerability
IPS (Network)
Botnets Attacks Explode Research
Spam Tracking Spam Explodes
Cookies
Antivirus
Vulnerabilities Mass Mailing Network
Firewall
호기심
Openly Discussed Worms Worms
Virus Destructive Virus Macro Virus
평판 motivations of attackers 이익
1986 Symantec Endpoint Protection 11 2006
5. 엔드포인트 보안 환경의 변화
관리 환경의 변화
IT 관리 환경의 복잡성 증가
– 전통적인 안티바이러스 제품 뿐만 아니라 패치관리 솔루션, PC 방화벽, 매체제어 솔루션 등 진화하는 보안위협에
대응하기 위해 개별 보안솔루션의 지속적인 도입으로 다양한 제품에 대한 정책관리 및 운영의 복잡성 증가
관리/소유 비용의 증가
– 새로운 보안 위협이 출현할때마다 그를 위한 개별 솔루션을 지속적으로 도입함으로써 보안 솔루션 도입비용이
지속적으로 증가하고 또한 그를 관리하기 위한 운영/유지 비용 및 관리 인력이 지속적으로 증가해야 하는 악순환
기존 보안솔루션의 기술적 한계
– 안티바이러스 도입 고객이 전체의 99%를 차지함에도 불구하고 지속적으로 바이러스 사고가 발생하며 68%의
기업이 안티바이러스를 사용함에도 불구하고 보안사고가 끊이지 않음. 따라서 이를 극복할 대안기술이 필요함.
복잡성 증가 비용증가
사용자 단말
제어 기능 부재 비 효율성
Symantec Endpoint Protection 11 5
6. Symantec Endpoint Protection 11.0 개요
SEP 11.0 개요
Symantec Endpoint Protection은 기존의 Symantec AntiVirus 제품을 획기적으로 개선함과 동시에 업계 리더의 각
솔루션의 인수합병을 통해 갖춘 각 포인트 기술을 하나의 제품으로 통합함으로써 보안성 향상과 관리의 단순화를
이룸.
• Network Access Control – 기능 포함
네트워크 접근 제어 • Agent에 포함, 별도의 Agent 설치가 불필요
(NAC) • 별도의 옵션이며 추가 구매하여야 함
• Endpoint 매체 제어를 통한 정보 유출 방지 - USB
매체 제어 드라이브, MP3, CD-RW등 에 대한 제어
Symantec
Endpoint • 침입 탐지 및 차단 솔루션인 NIPS(네트워크) 와 HIPS
Protection 침입 탐지 (호스트)의 통합
• 업계 최고의 Endpoint 방화벽 기술 입증 - Gartner
MQ “Leader” – 4년 연속
방화벽
• 위치에 따른 정책 적용 가능
• 업계 최고의 Rootkit 탐지 및 제거 기술
안티스파이웨어 • 커널(Kernel) 레벨단의 검색 기술
Single Agent
• 세계 선두 안티바이러스 솔루션
안티바이러스 • 43회 연속 VB 100 수상(2009년 4월 까지)
Symantec Endpoint Protection 11 6
7. Symantec Endpoint Protection 11.0 개요
SEP 11.0 개요
Symantec Endpoint Protection은 하나의 에이전트에 Symantec AntiVirus 기능과 최신 위협 차단 기능을 조합함
으로써 노트북, 데스크탑, 서버를 대상으로 하는 악성 프로그램을 효과적으로 차단하는 혁신적인 솔루션.
Symantec Endpoint Protection은 업계 선두로 인정받아온 각 분야의 다양한 보안기술들을 단일 제품내에 통합함
으로써 기업 고객에 3대 가치(보안성, 단순성, 유연성) 제공
Symantec Endpoint Protection 11.0
보안성 단순성 유연성
포괄적인 엔트포인트 보호 단일 관리콘솔, 단일 에이전트 기존 환경과의 유연한 통합지원
단순한 안티바이러스 제품, 그이상 중앙 집중적 관리 단일 에이전트/단일 콘솔
전례없는 수준의 보호 범위 편리한 구축 및 관리 관리 오버헤드의 절감
시만텍 글로벌 인텔리전스 포괄적인 엔트포인트 가시성 유연한 아키텍쳐
네트워크 자동 보안 업데이트 기존 보안/IT 기술의 활용도 개선
비용의 절감 Symantec NAC 옵션
Symantec Endpoint Protection 11 7
8. Symantec Endpoint Protection 11.0 구성요소
SEP 11.0 구성요소 :
Symantec Endpoint Protection은 크게 정책관리 서버와 데이타베이스 그리고 실제 보안기능을 수행하는
에이전트로 구성된다.
서버군 정책관리서버 및 데이타 베이스 Symantec Enterprise Protection Manager(SEPM)
정책관리, 모니터링, 업데이트 관리 등
10101010
10101010
Database Server
1010101
10101010 -임베디드 DB(Sybase) : 1,000 사용자 미만
1010101
-MS-SQL 2000/2005 : 1,000 사용자 이상
에이전트 에이전트 SEP Client
- 안티바이러스, 안티스파이웨어
- 방화벽
- 사전방역기능
- 침입방지 기능
- 매체제어
- 어플리케이션 제어 등.
Symantec Endpoint Protection 11 8
9. Symantec Endpoint Protection 11.0 주요기능
안티바이러스 기능
Symantec Endpoint Protection의 안티바이러스 기능은 글로벌 Leader의 제품인 Symantec AntiVirus를 통합하여
높은 탐지율과 시스템 안정성을 보장하여, 특히 기존 엔진을 개선하여 시스템 부하를 획기적으로 줄여서 높은
탐지율을 가벼운 엔진으로 제공함.
– 안티바이러스 시장을 선도하는 기술
– VB100 Award 43회 연속 수상 (09년04월 현재)
Virus Bulletin – Feb 2007
Symantec Endpoint Protection 11 9
10. Symantec Endpoint Protection 11.0 주요기능
안티스파이웨어 기능
Symantec Endpoint Protection의 안티스파웨어 기능은 기존 버전의 기능에서 Rootkit에 대한 탐지, 제거 기능을
크게 강화하였음. 특히 최근의 Rootkit은 그 존재를 은폐하기 위해 Kernel Level에서 동작하여 파일 시스템을
감시하는 기존 안티스파이웨어 기술로는 탐지 및 제거가 불가능함. 하지만 SEP 11.0에서는 기존 Veritas의
VxMS 기술을 접목하여 하드드라이브의 섹터 데이타(Sector Data)를 직접 접근하여 악성 Rootkit을 제거 함.
– VxMS 기술을 이용한 Kernel Lever Rootkit 제거
– Thompson Security Lab 테스트 결과(Sep, 2006)
• 여러 제품중에 유일하게 20개 Rootkit 모두 탐지
• 치료 개수 또한 경쟁사 대비 거의 2배수 기록
Source: Thompson Cyber Security Labs, August 2006
Symantec Endpoint Protection 11 10
11. Symantec Endpoint Protection 11.0 주요기능
방화벽 기능
방화벽 기능의 모든 방화벽 정책은 개인 사용자관리가 아닌 중앙 서버에서 정책 관리가 이루어 지며 정책 적용 시
모든 사용자 PC로 일괄 배포 됩니다. 특히 어플리케이션 기반의 방화벽 정책(예:e동키P2P 어플리케이션 금지)
설정으로 관리자가 쉽게 PC의 방화벽 정책을 설정 가능
– 가장 가볍고 가장 강력한 방화벽 엔진 (By Gartner MQ Report)
– 4년 연속 Gartner MQ Report Leader 평가
– 직관적인 정책설정 인터페이스로 손쉬운 관리
– Sygate NAC Agent의 방화벽 모듈 채용
Application+Host+서비스+시간+인터페이스
조건을 복합적으로 설정 SEPM
F/W Policy 관리/배포
Central Management
F/W 정책
향상된 Application Centric 기반 Firewall Rule 생성 지원
Symantec Endpoint Protection 11 11
12. Symantec Endpoint Protection 11.0 주요기능
방화벽 기능
방화벽 정책 설정은 다양한 선택사항을 통해 관리자가 원하는 수준을 충족할 수 있으며 URL 차단을 통해 유해
싸이트 차단 또는 시간 설정을 통해 정책이 자동으로 시간에 따라 Enable / Disable 될 수 있음. 또한 이러한 방화벽
기능은 시스템 부하를 거의 주지 않음.
구분 설 명
번호 규칙의번호
실행됨 확인란을 체크하면 규칙을 실행하고, 체크를 취소하면 규칙실행을 중지
이름 규칙의 이름
심각도 규칙이 실패한 경우의 심각도. 0 ~ 15 사이 값으로 설정. 로그에 사용됨
응용프로그램 규칙을 실행하는 응용프로그램. 응용프로그램이 탐지되면 규칙이 적용됨
시간 규칙이 활성화 되거나 비활성화되는 기간
서비스 방화벽 규칙을 실행하는 서비스
인터페이스 모든 어댑터, 임의의 VPN, 전화접속, 이더넷, 무선 등의 방화벽 규칙을 실행하는 어댑터
화면보호기 화면보호기 상태[켜짐], [꺼짐]은 규칙에 영향을 줌. [모두]는 규칙에 영항을 주지 않음.
작업 허용 – 패킷을 허용, 중단-패킷전송을 중단, 질의-사용자가 패킷을 허용할지 중단할지 물음
추적 규칙에 대한 정보를 로그에 기록하거나 이메일 알림을 보냄
생성된 위치 규칙이 작성된 위치(정책 관리자나 그룹이나 위치수준)
설명 규칙의 작동 방법 등 규칙에 대한 정보
Symantec Endpoint Protection 11 12
13. Symantec Endpoint Protection 11.0 주요기능
침입방지(IPS) 기능
Symantec Endpoint Protection의 침입방지기능은 Symantec이 기존에 보유하고 있던 네트워크기반 IPS 기술과
호스트 IPS기술을 접목하였음. 게다가 제로데이 공격에 대한 대안 기술을 제공함으로써 신종 웜 공격에 효과적으로
대응 할 수 있음.
침입방지기능(IPS)
네트워크기반 IPS 기술 호스트기반 IPS 기술
취약성 기반 사전방역 행동기반 사전방역
Generic Exploit Blocking (Sigs for vulnerability) (Whole Security-SONAR) Proactive Threat Scan
시그너쳐 기반 IPS 정책기반 침입차단
Deep packet inspection Application Control
(SNORT-like)
Symantec Endpoint Protection 11 13
14. Symantec Endpoint Protection 11.0 주요기능
사전 방역 기능 : 행동기반
Symantec Endpoint Protection는 안티바이러스 및 기존 IPS 등 시그너쳐 기반의 알려진 공격 위주로 보호하는
기술을 넘어서 행동기반 또는 취약성 기반 차단방식을 통해 제로데이 웜공격과 같은 신종 위협에 효과적으로
대처함.
Application Behabior Data
행동기반 사전방역기능
Proactive Threat Scan OS 메모리 Devices
- 행동기반 사전방역 기술의 Leader 인 Whole Security사를 인수
- 시스템 메모리에 로드 되는 프로세스의 행위 감시
- 메모리 상주 프로세스에 대해서 수백개의 탐지모듈을 이용하여
정상(Valid) 또는 악성(Malicious) 프로세스로 구분
악성코드 탐지모듈
- 실제 제로데이 탐지사례 : Sasser-d, Mytob-bd, Sober-F 등
다수
모듈A 모듈B 모듈C 모듈D
- 오탐율 0.005%
No False
16M Installations
Alarm
스코어링 알고리즘
False
Alarms
Only 20 False Positives
for every 1 Million PC’s
Symantec Endpoint Protection 11 14
15. Symantec Endpoint Protection 11.0 주요기능
사전 방역 기능 : 취약성 기반
Symantec Endpoint Protection는 안티바이러스 및 기존 IPS 등 시그너쳐 기반의 알려진 공격 위주로 보호하는
기술을 넘어서 행동기반 또는 취약성 기반 차단방식을 통해 제로데이 웜공격과 같은 신종 위협에 효과적으로
대처함.
- OS 및 어플리케이션의 취약성이 발견된 후 점점 더 빨라지는 악성코드의
취약성 기반 사전방역기능 출현에 대응하기 위한 수단 (Generic Exploit Blocking – GEB 및 시그너처
Generic Exploit Blocking(GEB) 기반의 IDS)
- 취약성이 발견되면 그 취약성을 악용하는 공격행위에 대한 탐지 기법 제공
- 취약성을 가진 어플리케이션/서비스에 대한 버퍼오버플로우 시도 등을
탐지/차단
Custom Sig Engine
Signature IDS
RCP
SMTP SMTP RCP
GEB
SSH SSH
HTTP IM
IM FTP
HTTP FTP
Symantec Endpoint Protection 11 15
16. Symantec Endpoint Protection 11.0 주요기능
매체 제어
Symantec Endpoint Protection의 매체제어는 장치별 Class ID값을 이용하여, 매체를 차단하거나 허용할 수 있고, 또한
매체별 Read / Write권한 제어를 수행 할 수 있음.
– USB, Floppy, 1394, IDE, Tape, CD/DVD, 프린트 장비, PCMCIA, 이미징 장비(스캐너, 디지털카메라
등), 적외선장비, 블루투스 등 무선장비, SCSI, 모뎀, 스마트카드 리더, 스토리지 볼륨 등.
SEPM(관리서버) USB Agent
Floppy
Human Interface Device
1394 Device
Devices of Class ID
OS Driver 기반의 다양한 매체를 SEPM에서 쉽게 제어
Symantec Endpoint Protection 11 16
17. Symantec Endpoint Protection 11.0 주요기능
네트워크 접근제어 (NAC) : Option(라이센스 별도구매)
Symantec Endpoint Protection의 기존 인프라를 기반으로 별도의 소프트웨어 배포 없이 라이센스 입력만으로 NAC
기능을 그대로 사용(NAC Ready) , 엔드포인트 보안정책을 기반으로 보안정책을 따르지 않는 단말에 대해
자동치료하거나 네트워크 접근제어 및 접근권한 할당.
3
2 3. 해당 취약성에 대한 복구
2. 특정 PC 보안 취약성 발견 - 자동 OS Patch 설치
예시) 무결성 검사 항목
항목 Health Check List 결과
1 규정 AV 설치 유무/실행 여부 OK
2 AV 최신 Pattern update OK
3 최신 OS 보안 패치 update Fail
4 규정 보안 SW 설치/실행 여부 OK
5 Host OS 보안 설정 점검 사항 OK
1 4
1. 주기적인 PC 보안 무결성 검사 4. 정상 PC 치료/복구
예시) 무결성 검사 항목 - 고객이 규정하는 보안 수준으로 복구
항목 Health Check List 결과 항목 Health Check List 결과
1 규정 AV 설치 유무/실행 여부 1 규정 AV 설치 유무/실행 여부 OK
2 AV 최신 Pattern update 2 AV 최신 Pattern update OK
3 최신 OS 보안 패치 update 3 최신 OS 보안 패치 update OK
4 규정 보안 SW 설치/실행 여부 4 규정 보안 SW 설치/실행 여부 OK
5 Host OS 보안 설정 점검 사항 Self Host Integrity Control Process 5 Host OS 보안 설정 점검 사항 OK
(PC 보안상태를 검사 & 취약성 복구)
Symantec Endpoint Protection 11 17
18. Symantec Endpoint Protection 11.0 주요기능
시스템 안정성
시스템 리소스 사용량 감소
– 다양한 보안 기술을 동시에 제공하지만 반면에 시스템 리소스 사용량은 단독 안티바이러스 제품 사용시 보다 낮은
사용률 유지
클라이언트 보안 프로세스/서비스/프로그램 삭제 방지
– 설치상태, 서비스, 프로세스 등에 대한 사용자에 의한 임의 중지를 차단. 또한 서비스 상태를 “사용하지 않음”으로
강제 설정하더라도 부팅시에 강제 서비스를 실행하여 상시 보안상태 유지(Always ON)
임의 변경 방지 기능
– SEP 컨텐츠, 파일 등 정상 동작을 방해하고자 하는 목적의 손상 행위를 차단.
129MB
SCS 3.1
84%
Memory Reduction
SAV CE 10.1
62MB
24MB
SEP 11.0
Symantec Endpoint Protection 11 18
19. Symantec Endpoint Protection 11.0 주요기능
중앙 관리 기능
중앙 집중식 이벤트 로깅
– 클라이언트 상의 감염, 패턴
미업데이트, 자동 보호 기능 중지등의
이벤트 및 통계를 Dash Board등을
통하여 파악
– 정의한 이벤트 경고 발생 시 (감염,
서비스 중지 클라이언트, 패턴
미업데이트) 중앙 콘솔을 통한 경고
발생
– 클라이언트 시스템 재시작, 강제 패턴
업데이트, 관리자에 의한 검색등의
명령 실행 시 중앙 콘솔을 통한 명령
실행 완료 여부 확인 가능
역할에 따른 관리자 권한 지정
– 대규모 기업 환경에 따른 관리자
등록을 위하여, 정책 설정 권한 또는
보기 권한 등의 관리자 권한 부여
가능
배포를 위한 기능 제공
– 패키지 작성 기능
– 패치 및 업데이트 제공
– 원격 설치 기능
Symantec Endpoint Protection 11 19
20. Symantec Endpoint Protection 11.0 주요기능
컨텐츠 업데이트 관리
Manager에 의한 컨텐츠 관리
– Manager가 최신 클라이언트 패치, 바이러스 정의 패턴, IDS 시그너처등과 같은 컨텐츠를 업데이트 할 경우 각 개별
클라이언트에 포함된 컨텐츠와 차이나는 부분만 증분으로 생성하여 해당 클라이언트에 배포할 수 있음
– 클라이언트의 컨텐츠뿐만 아니라, 제품 자체의 버전 업데이트도 자동 적용가능
예) SEP 11 버전으로 12버전으로 빌드업이 될 경우에도 중앙에서 자동 배포를 통하여 재설치 등의 수작업 불필요
Symantec Endpoint Protection 11 20
21. Symantec Endpoint Protection 11.0 주요기능
Active Directory / LDAP 연동
Active Directory와의 연동
– AD와의 연동을 통하여 기존
Organization Unit Import 지원
– 예약 시간에 따른 AD와의 주기적
동기화 또는 요청에 의한 동기화
지원
– AD 연동의 경우, 클라이언트 배포
시 해당 그룹에 자동 등록
– AD를 통한 관리자 인증
Symantec Endpoint Protection 11 21
22. Symantec Endpoint Protection 11.0 주요기능
보고서 및 모니터링기능
다양한 리포트 제공
– 조직내 모든 시스템에 대한 실시간
이벤트가 Dash Board
– 지정된 관리자에 대해 주기별
리포트 발송 기능
– 특정 이벤트 발송 시 정의한 배치
파일 실행 및 관리자 경고 전송
① ②
기능
– 약 50여개의 보고서 템플릿 제공
(감염, 시그너처 배포 현황,
클라이언트 미설치 시스템 등)
1. 전체 네트워크에서 바이러스 및 스파이웨어 등 ③ ④
악성코드별 실시간 처리현황
2. 바이러스 정의파일(패턴)이 최신이 아닌 시스템
수 통계
3. 최근 하루 동안의 악성코드 탐지추이를
시간대별로 도식화
4. Security Response
시만텍 Global Service인 DeepSight의 데이타를
이용하여 현재 시점의 글로벌 Top Threats 및 ⑤
신종 악성코드 정보를 모니터링. 특히 확산도가
높은 웜출현시 보안등급 경고.
5. 엔진, 실시간 보호기능 등 필수 기능들의
사용상태에 대한 모니터링
Symantec Endpoint Protection 11 22
23. Symantec Endpoint Protection 11.0 주요기능
아키텍처 1
Manager 및 DB, Client 지원 OS 플랫폼
Symantec Endpoint
Protection Manager
Java-based
웹접속을 통하여 위치와 관계없이 SEPM 지원 OS 플랫폼
접속 가능 Windows XP (32 and 64 bit),
역할에 따른 관리자 권한 설정 Windows 2000 (32 and 64 bit),
Data
Store
Windows 2003 (32 and 64 bit),
중앙 콘솔 Windows Vista (32 and 64 bit)
지원 DB
내장 Sybase DB (1000클라이언트
미만)
MS SQL Server (1000클라이언트
이상)
SEP 11 클라이언트 지원 OS 플랫폼
Windows XP (32 and 64 bit),
Windows 2000 (32 and 64 bit),
Windows 2003 (32 and 64 bit),
Servers Laptops Windows Vista (32 and 64 bit)
Desktops
Clients
Symantec Endpoint Protection 11 23
24. Symantec Endpoint Protection 11.0 주요기능
아키텍처 2
Peripheral Deice Control
Manager, Client간 통신 포트 및 정보
Symantec Endpoint
Protection Manager To the server
이벤트
로그
상태 정보
To the client
원격 설치/패치
정책 배포
컨텐츠 배포
- Virus Definition
- IDS Signature
통신 포트
HTTPS (443/tcp)
HTTP (80/tcp)
* Manager의 80, 443/tcp 포트가
Open되어 있어야 하며,
클라이언트들에 대해서는
인바운드 오픈 정책이 불필요함
Servers Laptops
Desktops
Clients
Symantec Endpoint Protection 11 24
25. Symantec Endpoint Protection 11.0 주요기능
구성 디자인
Single Site
– 가장 기본적인 방법으로써 IT 환경이 크지 않거나 지역적으로 분산되어 있지 않은 환경에 적용
- 클라이언트수가 1,000노드 미만일 경우 :
1010101 Embedded DB 사용(Sybase)
0101010
1010101 - 1,000 노드 이상일 경우 MS-SQL 서버 사용
- 필요시 이중화
SEPM SEPM(선택사항)
Symantec Endpoint Protection 11 25
26. 기대효과
SEP 11.0 Value
Symantec Endpoint Protection
Secure Simple Seamless
비교할수 없는 종합 기술 단일 에이전트 다양한 고객 네트워크 환경
안티 바이러스 그 이상의 보호 단일 관리콘솔 지원
기술 단일 라이센스
Symantec의 Global Intelligence 원하는 형태로 사용할 수
Network의 기술 단일 고객지원
있도록 손쉬운 설정
필수 보호 기술 및
컴플라이언스 기능의 완벽한
조합
Symantec Endpoint Protection 11 26
28. Why Symantec
• 안정성
– 150,000,000 이상의 시스템에서 검증된 제품 안정성
– AV 시그너처의 신뢰성
• 탐지율
– 다양한 테스트와 인증기관을 통해 검증된 탐지 및 치료 능력
– 73,000 (07년 6월 현재)이상의 바이러스 DB 보유
– 행동기반 탐지 기술을 통한 zero-day 공격 방어
– 월등한 패턴 업데이트 제공
• 대응 및 지원
– 신종 위협에 빠르게 대처하기 위한 전세계 인프라
– 세계 각지의 보안 운영 센터(Security Operations Center)와 보안 대응 연구소
(Security Response Lab)를 통해 24x7 정보 보안 서비스 제공
– 전세계 25개 지원 센터를 통해 기업과 일반 사용자의 보안 및 가용성 요구사항
에 대응
28
29. Global Intelligence Network
시만텍 SOC + 시만텍이 모니터링하는 + 시만텍지원 + 180개 국에 등록된 40,000여개의 + 시만텍 보안연구소
국가 센서
베를린, 독일 • Symantectm Security Response
런던,영국 – 세계 최고의 보안 대응센터
토쿄, 일본
– 180개국 40,000개 센서를 통한 인터넷
더블린, 아일랜드 위협 모니터링
캘거리, 캐나다 – 신종 위협에 대한 빠른 대처
스프링필드, 오레곤 • 새로 발견된 위협에 대한 바이러스 정의
월덤, 메사추세스 는 해당 업무일에 생성됨
레드우드 시, 캘리포니아 • 3등급 이상의 높은 확산도의 위협에 대한
즉각적인 대처
샌타 모니카, 캘리포니아
• Digital Immune System은 이미 알려진
바이러스에 대한 의뢰건을 95% 이상 자
샌 안토니오, 텍사스
동처리하여 신속하게 대응
알랙산드리아, 버지니아
시드니, 호주
29
31. 인증기관 평가
Symantec:
• 99년 이후
43회 연속
통과한 유일한
벤더
• 09년 04월
현재
• Pass: Detected all "In the Wild viruses" in
comparative tests (with no false positives)
• Fail: Missed detection after three attempts
• —: Chose not to submit for testing
31
32. 패턴 업데이트 빈도
Vendor Updates
Symantec 1699
Sophos 395
F-Secure 216
Fortinet 174
Panda 138
ESet Nod32 115
Norman 85
Trend Micro 82
McAfee 68
F-Prot 67
Averages 4X more updates than nearest competitor
Source: www.av-test.org
1/1/2006 – 3/31/2006
32
34. 빠른 샘플 처리 대응
Source: Symantec
Security Response
34
35. AV 시그너처의 신뢰도
• 전세계 150,000,000 이상의 시스템에서
Symantec AV 시그너처 사용
• 일일 28,000,000 이상의 다운로드
• 모든 지원 OS에 대하여 2,000,000 이상
의 정상 파일 테스트 검색을 통해 배포되
는 fully certified 된 바이러스 정의
• 주요 OS 및 주요 어플리케이션에 대해
테스트 후 배포되는 Rapid Release 바이
러스 정의
35
