ScanMail for Exchange 10.2 Proposalmembers.daoudata.co.kr/rock/upload/security_data... · •...

Trend Micro Messaging Security

ScanMail for Exchange 10

Copyright 2012 TrendMicro Inc.

Trend Micro Korea

Agenda

Copyright 2012 TrendMicro Inc. 2

Trend Micro 회사소개

ScanMail for Exchange 10 개요및구성

ScanMail for Exchange 10 주요기능

ScanMail Data Protection

E-Mail을통한 APT 공격차단

Trend Micro Global

• 6개글로벌 R&D Center, 5개 Cloud Data Center 보유


IDC: Market Analysis


서버보안시장점유율세계 1위

All Others

77.1%

Trend Micro

22.9%

Source: Worldwide Endpoint Security 2010-2014

Forecast and 2009 Vendor Shares, IDC

4

End Point Security – NSS Lab Test 2010


GroupWare Security – Awards 2008


2008 Awards:Security

Trend Micro, ScanMail for Exchange

7

Spam Solution – WebCost Labs Test 2009


웨스트코스트 연구소는 Trend Micro의InterScan Messaging Security솔루션이 SPN의안티스팸 분야에서 8개의 솔루션을 경쟁을 제쳤다고 밝혔다. 정상메일을 스팸으로 간주하는False Positive 탐지율을 수치로 산출해 본 결과 마이크로소프트사의 0.71%를 제외하고는모든 솔루션이 유사한 수준의 False Positive 탐지율을 보였다

[Source : Anti-spam Comparative Report - January 2009 ]

8

트렌드마이크로경쟁력


서버 기반 안티바이러스 시장 점유율 1위

§ 6년 연속 게이트웨이 AV 시장 점유율 1위

§ 4년 연속 메일 서버 AV 시장 점유율 1위

§ 2년 연속 파일 서버 AV 시장 점유율 1위

[Source: IDC 2005 안티바이러스시장조사보고서]

• 세계 3대 통합보안솔루션 기업• 20년 넘게 축적된 세계 최고의 안티바이러스 기술• 전세계 1000여명의 보안전문관제 및 R&D 기술지원 인력 보유

• 기업을 위한 전사적 통합 보안 서비스 제공

9

ScanMail for Exchange v10


• 웹 검증 및 이메일 검증

• 강력하고 확장된 안티스팸 기능

• 안티바이러스 & 안티스파이웨어

• 트루-파일타입 진단• 컨텐츠 필터링

• Active Directory policy framework*

• 강력한 그룹 설정과 관리• Role-based 접근 제어

• System Center Operations Manager(SCOM) 지원

• Outlook Junk Mail 폴더와 통합

• Microsoft cluster 지원

관리의 최소화

Exchange 최적화• Exchange 2010, 2007, 2003 지원

• 추가 또는 변형된 메시지만 검색• 플랫폼에 최적화된 설정

"“Trend Micro ScanMail Suite for Microsoft Exchange is extremely important in our environment… ScanMail detects the wide range of malware that can come in over email, and also solves the spam problem.”

즉각적인 보호

ScanMail for Exchange 10의주요기능

• 클라우드 기반의 스마트 패턴 적용. 1시간 간격 패턴업데이트

• Exchange 2003/2007/2010 완벽지원

• 안티바이러스/안티스파이웨어

• 스팸 IP연결을 차단하는 Realtime Black List에 기반한네트워크기반의 E-Mail 검증 서비스

• 지능화된 안티 스팸기능

• 악성 URL이 포함된 메일메시지를 차단하는 웹검증 서비스

• 컨텐츠 필터링

• Date Protection

• 일별/주별/월별 예약생성이 가능한 상세 레포트


Network Location


그룹웨어보안솔루션의역할

• 스캔메일은기업내 Exchange 또는 Domino 그룹웨어의모든메일메세지에대한방역을수행

ScanMail for Exchange 10 구성

• 단일 서버, 다중 역할

• 다중 서버, 다중 역할


ScanMail for Exchange 10 구성

• 다중 서버, 다중 역할, 다중적 위치


웹기반의관리콘솔


ScanMail for Exchange의물리적위치와상관없이해당서버로이동하지않고외부컴퓨터의웹브라우져를통하여관리콘솔에접근및설정가능

클라우드기반의 Smart Protection Network


• 클라우드 서비스에 의한 즉각적인 보호

• 메세징, 엔드포인트, 웹 기반에 대한 통합적인 클라우드 기반의 신속한 업데이트 패턴 및 정책을 반영

The Smart Protection Network(SPN)“This is a truly innovative approach that

can better protect endpoint devices.”

- The Ogren Group

• Customers

• Partners

• TrendLabs Research

• Samples

• Submissions

• Honeypots

• Web Crawling

• Feedback Loops

• Behavior Analysis

• Correlation

Threat Identification

웹검증기능


웹 검증의점수는어떻게부여되는가?

• 도메인보안프로파일링– 웹사이트, 페이지, 링크에대한신뢰성을측정하여평가

• 악성코드행동기반분석– 트래픽모니터링을통하여위협적인행동을보여줄수 있는지의여부를감시

• 웹사이트컨텐츠검색 / 분석– 악성코드호스트를정의하기위하여사이트의컨텐츠를검열및다운로드

• URL 필터링– 악성코드웹사이트를세분화하여블랙리스트로서유지

• 피싱과스팸의상관관계– 스팸과 피싱메일및 송신자정보를이용하여악성사이트유추

Trend Micro’s ScanMail excelled

on our malicious exploit-chain U

RL test, catching 89% of all thre

ats, whereas Microsoft Forefront

detected only 1%...Previous gen

erations of malware scanning en

gines are generally ineffective at

protecting against the growing t

hreat of URL-based attacks deli

vered through e-mail.

- Cascadia Labs

Trend Core Technology

Web Reputation

URL File Reputation

Files

Email Reputation

IP

메시지전송 메시지의배달또는차단

계속적으로진행되는위협 Research

1

2

4

3

E-Mail 검증서비스

• 송신지소스 IP주소를이용하여불필요한메일의유입을원천적으로차단

• 실시간으로메일의위협을감지하고즉시반영

• 20억여개이상의 Realtime Black

List DB를보유


검증결과의리턴

메시지통과또는차단

2

3

송신지 IP주소검증

1

메시지전송

Trend Micro’s stand-alone email reputation

service blocks between 47% and 72% of

spam, depending on aggressiveness.

- Opus One

안티바이러스/안티스파이웨어

• 다중적 악성코드 엔진

– 안티바이러스

– 안티스파이웨어

– Zero-day 진단

• 바이러스, 백도어, 트로이목마, 웜등의 악성코드 차단

• 스파이웨어, 애드웨어,

그레이웨어, 해킹툴, 조크 등의차단

• 클라우드 서비스에 기반한신속한 업데이트로 Zero-

day공격에 대응


지능화된안티스팸기능

• 기본적으로 High, Medium, Low

3단계의 스팸 차단레벨을 선택가능

• Approved Senders 및 Blocked

Senders를 이용하여 스팸 패턴에관계없이 허용 및차단

• 메일 메시지의 형태와 송신자 주소,

세계적인 스팸 형태의 트렌드를반영하여 최신의 스팸 시그너쳐를패턴에 반영

• 스팸 및피싱차단


존재하는메시지를체크

확인된점수를리턴

메시지의통과및차단

1

3

컨텐츠필터링수행

2

상세레포트 – 일별, 주별, 월별레포트자동생성


지원플랫폼


Exchange Server 운영체제 비고

Exchange 2010 Windows 2008 SP2 (x64)

Windows 2008 R2

Exchange 2007 Windows 2008 SP2 (x64)

Windows 2008 R2

Windows 2003 x64

Windows 2003 R2 x64

Exchange 2003 Windows 2003

Windows 2003 R2

Internet Information Server(IIS)

경쟁사비교


Reference


고객명 제품명

LS 산전 ScanMail for Exchange 8.0

효성그룹 ScanMail for Exchange 10.0 Suite

LG화재 ScanMail for Exchange 10.0 Suite

한국전력 ScanMail for Exchange 10.0 Suite

SC제일은행 ScanMail for Exchange 8.0

동부화재 ScanMail for Exchange 8.0

SK C&C ScanMail for Exchange 8.0

한독약품 ScanMail for Exchange 8.0

범주해운 ScanMail for Exchange 8.0

한국가스기술공사 ScanMail for Exchange 10.0 Suite

삼보컴퓨터 ScanMail for Exchange 8.0

신세계 I&C ScanMail for Exchange 8.0

계양전기 ScanMail for Exchange 8.0

월드건설 ScanMail for Exchange 8.0

이베이옥션 ScanMail for Exchange 10.0 Suite

ScanMail for Exchange Data Protection (DLP Lite)


• 정형화된프라이버시데이타– 정규식표현, 키워드, 파일속성

• 정보가유출되는지점을보호

Messaging

Gateway

SharePoint

Servers

Endpoints

Exchange

Server

들어오고나가는메일들의경로에서 정보유출을감

시 및 차단

컨텐츠필터링과 Data Protection을통한정보유출차단

• 강력한 Data Protection

– 파일 필터링

– 키워드 필터링

– 다수의 기본 DLP템플릿제공

• Header, 제목, 첨부파일에 대한컨텐츠 필터링

• Outbound 및 Inbound를 구분

• Active Directory와 연동하여선택적인 메일박스 또는그룹에 대하여 정책적용


기본제공정책템플릿

• 6개의 기본 정책템플릿

– GLBA, HIPAA, PCI-DSS, SB-1386, US-PII

– Source Code


기본제공키워드템플릿


Adult Common medical terms Japan - Surname in 1-byte Katakana (match 50)

Source Code - C/C++

Racism Forms - (First), (Middle), Name

Japan - Surname in Hiragana (match 50)

Source Code – C#

Weapons Forms - Date of birth Japan - Surname in Kanji1 (match 10)

Source Code – COBOL

Forms - First Name, Last Name

Japan - Surname in Kanji2 (match 50)

Source Code – Java

Forms - Place of birth Japan - Surname in Kanji3 (match 100)

Source Code – Perl

Forms - Street, City, State Japan - Surname in Katakana (match 50)

Source Code - VB

Forms -Expiration Date

HCFA (CMS) 1500 Form

UB-04 Form

36개지역별정규식표현템플릿제공


EMEA Identifiers•Finnish ID

•Polish ID number

•Irish VAT

•Irish PPSN

•Spanish SSN

•Spanish National identity card number

•Spanish Fiscal Identification

•Danish Personal ID

•France INSEE code

•French National Insurance number

•Swift BIC

•UK national health system number

•UK date

•UK national insurance number

•Austria SSN

•German electronic Taxpayer ID

•ABA routing number

•Norwegian birth number

APAC Identifiers• ABA routing number

• Taiwan ID number

• South Korean registration number

• China national ID

International Identifiers• ABA routing number

• IBAN (International bank account)

• ISO Date

• Credit Card Number

• Email address

• Full date

• Partial date

NABU Identifiers• (US)Social Security Number

• US Phone Number

• US Home address

• US dollar amount

• Canadian Social Insurance Number

• American people name

• Cal ID

• National provider identifier

• Health Insurance Claim number

Exchange를경유하는 APT 공격탐지

• APT의 가능성이 있는 파일이 첨부된도미노 메일 메시지를트렌드마이크로 ScanMail의 Advanced Threat Scan Engine에서 감지

• 샌드박스 기반 분석시스템인 Deep Discovery Advisor(DDA)로 APT

의심 메일을 전달

• DDA에서 이를 행위기반으로 분석하여 High, Medium, Low, No Risk로구분

• 설정한 리스크 레벨에 따라배달 또는 영구격리 여부를 결정

• ScanMail for Exchange v10.2 SP2부터사용가능


APT 공격탐지및차단


Deep Discovery Advisor (DDA)

Management Server

인터넷

3. APT 의심첨부파일을DDA에 전달

의심 첨부파일의 행위 분석

1. 내외부로부터메일을 수신

4. 시뮬레이션 결과

피드백

2. APT의심메일을

임시 격리

5. 피드백 결과에 따라 정상메일만을 배달.

5. 피드백 결과에 따라APT유력 메일은 격리

Endpoints

Domino Server

Risk Level Management

• DDA에서 분석한 결과는 High, Medium, Low, No Risk로 구분

• 설정한 Risk Level에 따라 배달 또는 영구 격리 여부 결정

APT 분석장비 Deep Discovery Advisor


• 맞춤 제작되어 확장 가능한 침해 시뮬레이션

• 심층 조사 & 분석

• 활용 가능한 정보 수집 & 결과

Deep Discovery Advisor

침해 분석기 침해 정보수집 센터

보안업데이트센터

Trend Micro

ScanMail for Exchange

Anti-spam

Enhanced Web Reputation

Anti-phishing

Advanced Threat Detection

Anti-malware

격리



• 익스플로잇이 문서 내에 포함된이메일

• 반자동 다운로드• Zero-day & 알려진 악성 컨텐츠

• 봇, 다운로더, 데이터 절도, 웜, 혼합등의 모든 악성컨텐츠에 대한 C&C

커뮤니케이션• 공격자의 백도어 활동

• 악성컨텐츠 활동: 전달, 다운로드,

스팸, …

• 공격자의 활동: 스캔, 브루트포스(억지기법), 툴다운로드, …

• 데이터 유출

공격 감지

• 내장파일의암호해독 & 압축해제• 의심파일의제작샌드박스시뮬레이션• 브라우저익스플로잇킷감지• 악성컨텐츠스캔(서명 & 휴리스틱)

• 동적블랙리스트와화이트리스트를통한대상분석 (URL, IP, 도메인, 이메일, IRC

채널, …)

• 모든요청및내포된 URL의 Smart

Protection Network reputation

• 커뮤니케이션 핑거프린팅규칙

• 규칙기반의휴리스틱분석• 프로토콜과 HTTP기반의앱을포함하는앱을 100여차례이상이용하여확인및분석

• 행동핑거프린팅규칙

감지방법


• 샌드박스 시뮬레이션 & 분석


• 악성 컨텐츠 행위 & 이벤트 추적

• C&C 서버 연결과 악성 컨텐츠 대상감지

• 오피스, PDF 와 Flash 문서에 적합한특정 감지 규칙

• 모든 실행 가능한 컨텐츠를 위한 일반감지

• 발송 가능한 리포트 & PCAP 파일

표준 VMware 툴을 이용하여 주문 제작된 공격 서페이스

- OS, 오피스 버전, 서비스 팩- 브라우저와 표준 어플리케이션- 맞춤형 어플리케이션

8/26/2016 Confidential | Copyright 2012 TrendMicro Inc. 28/26/2016 Confidential | Copyright 2012 TrendMicro Inc. 39

Thank You!

ScanMail for Exchange 10.2 Proposalmembers.daoudata.co.kr/rock/upload/security_data... · •...

Documents

Transcript of ScanMail for Exchange 10.2 Proposalmembers.daoudata.co.kr/rock/upload/security_data... · •...