이 문서는 안티멀웨어 및 NG 안티멀웨어 엔진의 Cato 안티멀웨어 정책에 대한 일반 개요를 제공합니다. 정책을 사용자 지정하는 방법에 대한 자세한 내용은 안티멀웨어 정책 구성을 참조하세요.
Cato 안티멀웨어 보안 정책은 네트워크에 악성 파일이 들어오는 것을 방지하기 위해 두 가지 보호 계층을 제공합니다: 안티멀웨어와 NG 안티멀웨어. 두 계층은 WAN과 인터넷 트래픽에서 도착하는 파일을 동시에 검사합니다.
- 안티멀웨어 계층은 알려진 파일 서명 및 휴리스틱 분석을 기반으로 악성 소프트웨어 위협으로부터 보호합니다.
- NG 안티-멀웨어는 악성 소프트웨어 탐지 기술의 두 번째 계층으로 파일을 양성, 의심스러움, 악성으로 분류하기 위해 예측 모델을 사용합니다. 이 계층은 파일을 스캔하고 파일이 악성인지 여부를 나타내는 특성을 찾습니다. 이 모델은 알 수 없거나 제로데이 악성 소프트웨어를 탐지할 수 있습니다.
안티멀웨어 및 NG 안티멀웨어 엔진은 연결을 순차적으로 검사하여 트래픽이 규칙과 일치하는지 확인합니다. 규칙 집합의 마지막 규칙은 암시적 모든-모든 차단 규칙입니다. 따라서 트래픽이 규칙과 일치하지 않으면 파일이 자동으로 스캔됩니다. 규칙 집합의 마지막 규칙은 악성 및 의심스러운 파일에 대한 기본 모든-모든 차단 규칙입니다. 따라서 규칙과 일치하지 않는 트래픽에 대해서는 파일이 자동으로 스캔되고 이러한 판결을 받은 파일은 차단됩니다.
규칙 집합의 끝에 있는 기본 규칙 섹션에서 기본 규칙 설정을 검토할 수 있습니다. 이 규칙 설정은 편집할 수 없습니다.
규칙 집합의 상위에 있는 규칙은 우선순위가 높습니다. 이는 연결에 규칙이 적용되기 전, 규칙 집합의 낮은 규칙보다 먼저 적용되기 때문입니다. 예를 들어, 연결이 규칙 #2에 맞으면 해당 조치가 연결에 적용되고, 안티멀웨어 또는 NG 안티멀웨어 엔진은 규칙 #3 이하를 무시합니다.
안티멀웨어 엔진은 각 다운로드된 파일을 고유 서명에 대해 스캔하고 해당 서명을 알려진 악성 파일의 데이터베이스와 비교합니다. 데이터베이스는 30분마다 새로운 파일 서명으로 업데이트됩니다. 이 엔진은 또한 휴리스틱 분석을 사용하여 소스 코드를 검사하고 이를 알려진 바이러스와 비교합니다. 코드가 다른 바이러스의 코드와 일치하면 파일이 악성으로 식별됩니다. 이 계층은 악성 소프트웨어에 대한 주요 위협 방지 계층입니다.
Cato는 SentinelOne NG 안티멀웨어 엔진을 구현하여 두 번째 계층의 위협 방지를 제공합니다. 이 엔진은 이식 가능한 실행 파일, PDF 및 Microsoft Office 문서에서 위협을 감지하는 AI 모델을 사용합니다. 이 AI 모델은 악성코드 저장소에서 수백만 개의 악성코드 샘플에서 특징을 추출하여 개발됩니다. 그런 다음, 감독된 머신러닝(SML)을 사용하여 양성 및 악성 파일의 다양한 특성을 식별하고 상관시키는 데 사용됩니다. 그런 다음 엔진은 이 모델을 사용하여 알 수 없는 파일에서 유사한 특성을 식별하며, 이는 다음과 같이 분류됩니다:
- 악성 파일 - 거의 확실히 멀웨어입니다
- 의심스러운 파일 - 파일 또는 동작은 맬웨어와 관련된 특성을 보여주지만, 안전하거나 악성으로 확정적으로 분류하기에 충분한 신뢰나 데이터가 없습니다.
- 안전한 파일 - 안전한 파일의 특성을 가지며 맬웨어가 아닐 가능성이 매우 높습니다.
참고
참고: NG 안티-멀웨어 엔진의 AI 모델은 알 수 없는 악성 소프트웨어를 감지할 수 있습니다. 그러나 드문 경우 이 모델이 오탐을 발생시켜 정식 파일을 차단할 수 있습니다. 예외를 만들어 사용자들이 해당 파일에 접근하고 다운로드할 수 있게 허용할 수 있습니다. 자세한 내용은 안티멀웨어 정책 구성을 참조하세요.
NG 안티멀웨어 엔진은 알고리즘에 기반하므로 서명 기반 검출을 사용하지 않아 고빈도 업데이트가 필요하지 않습니다. 엔진의 알고리즘은 몇 개월마다 업데이트됩니다.
이 섹션에서는 기본 정책을 사용할 때 안티멀웨어 및 NG 안티멀웨어 보호 계층이 파일을 동시에 검사하는 방법을 설명합니다.
기본 정책을 사용할 때 안티멀웨어 및 NG 안티멀웨어 엔진은 모든 다운로드 파일을 동시에 검사하며 악성 또는 의심스러운 파일로 분류된 경우 차단합니다. 파일 다운로드 요청이 차단되면 파일이 삭제되고 이벤트가 생성됩니다. 두 엔진에 의해 파일이 차단되면 두 개의 이벤트가 생성될 수 있습니다.
안티-멀웨어와 NG 안티-멀웨어 엔진은 HTTP, HTTPS 및 FTP 트래픽을 스캔합니다.
기본 정책에 따라 최종 사용자가 인터넷 또는 WAN에서 파일 다운로드를 시작할 때 각 엔진이 파일을 동시에 검사할 때의 동작은 다음과 같습니다:
-
안티멀웨어 엔진은 파일을 검사하고 파일 서명 및 휴리스틱 분석을 사용하여 파일이 악성인지 안전인지 여부를 결정합니다.
- 평가가 악성이면 파일이 차단되고 삭제되며 이벤트가 생성됩니다. 차단 페이지가 사용자의 인터넷 브라우저에 표시됩니다.
- 평가가 안전이면 파일은 다운로드할 수 있습니다.
-
NG 안티멀웨어 계층은 파일을 검사하고 AI 모델을 사용하여 파일을 악성, 의심 또는 안전으로 분류합니다.
- 파일이 악성 또는 의심스러우면 차단되고 삭제되며 이벤트가 생성됩니다. 차단 페이지가 사용자의 인터넷 브라우저에 표시됩니다.
- 평가가 안전이면 파일은 다운로드할 수 있습니다.
참고
참고: 스캔된 파일은 삭제되며 Cato는 모든 판결에 대해 보관하지 않습니다.
두 엔진 모두 양성 판결을 내리면 그 파일은 사용자에게 계속 허용되며, 그런 다음 이벤트가 생성되어 판결이 깨끗하게 됩니다.
통합 안티-멀웨어 스캔은 사용자 경험에 눈에 띄게 지연을 발생시키지 않습니다. 최종 사용자들이 바로 깨끗한 파일을 다운로드합니다.
안티멀웨어 및 NG 안티멀웨어 엔진은 특정 파일 형식을 지원합니다. 더 많은 정보는 안티멀웨어 보호 지원 파일 형식을 참조하십시오. (이 기사를 보기 위해 로그인해야 합니다)
댓글 0개
댓글을 남기려면 로그인하세요.