Cisco Cisco Email Security Appliance C190 User Guide
14-3
Cisco AsyncOS 9.1 for Email 사용 설명서
14 장 신종 바이러스 필터(Outbreak Filter)
신종 바이러스 필터(Outbreak Filter)의 작동 원리
관련 주제
•
•
신종 바이러스
신종 바이러스 필터(Outbreak Filter) 기능은 신종 바이러스와 싸울 때 유용합니다. 신종 바이러스
는 메시지의 첨부 파일에 한 번도 본 적이 없는 바이러스가 포함되어 있거나 기존 바이러스의 변종
이 사설 네트워크와 인터넷을 통해 빠르게 확산될 때 발생합니다. 이러한 새로운 바이러스나 변종
은 인터넷을 공격하므로 가장 중요한 기간은 바이러스가 릴리스된 시점부터 안티바이러스 공급업
체가 업데이트된 바이러스 정의를 릴리스하는 시점까지입니다. 몇 시간 전이라도 사전 알림을 보
내는 것이 맬웨어 또는 바이러스의 확산을 억제하는 데 반드시 필요합니다. 이러한 취약성 기간 동
안 새로 발견된 바이러스가 전역적으로 전파되어 이메일 인프라가 중지될 수 있습니다.
는 메시지의 첨부 파일에 한 번도 본 적이 없는 바이러스가 포함되어 있거나 기존 바이러스의 변종
이 사설 네트워크와 인터넷을 통해 빠르게 확산될 때 발생합니다. 이러한 새로운 바이러스나 변종
은 인터넷을 공격하므로 가장 중요한 기간은 바이러스가 릴리스된 시점부터 안티바이러스 공급업
체가 업데이트된 바이러스 정의를 릴리스하는 시점까지입니다. 몇 시간 전이라도 사전 알림을 보
내는 것이 맬웨어 또는 바이러스의 확산을 억제하는 데 반드시 필요합니다. 이러한 취약성 기간 동
안 새로 발견된 바이러스가 전역적으로 전파되어 이메일 인프라가 중지될 수 있습니다.
피싱, 맬웨어 배포 및 기타 비 바이러스 위협
비 바이러스 위협이 포함된 메시지는 정상적인 소스에서 전송된 메시지처럼 보이도록 설계되었으
며 종종 소수의 수신자에게 발송됩니다. 이러한 메시지는 신뢰할 수 있는 메시지로 보이기 위해 다
음과 같은 특성 중 하나 이상을 가질 수 있습니다.
며 종종 소수의 수신자에게 발송됩니다. 이러한 메시지는 신뢰할 수 있는 메시지로 보이기 위해 다
음과 같은 특성 중 하나 이상을 가질 수 있습니다.
•
수신자의 연락처 정보
•
소셜 네트워크 또는 온라인 소매업체와 같은 정상적인 소스의 이메일을 모방하도록 설계된
HTML 콘텐츠
HTML 콘텐츠
•
새로운 IP 주소를 사용하고 단시간 동안만 온라인 상태로 유지되어 이메일 및 웹사이트 보안
서비스가 해당 웹사이트가 악성인지 판단하는 데 필요한 충분한 정보를 얻을 수 없는 웹사이
트를 가리키는 URL
서비스가 해당 웹사이트가 악성인지 판단하는 데 필요한 충분한 정보를 얻을 수 없는 웹사이
트를 가리키는 URL
•
URL 단축 서비스를 가리키는 URL
이 모든 특성으로 인해 이러한 메시지는 스팸으로 탐지하기가 더 어렵습니다. 신종 바이러스 필터
(Outbreak Filter) 기능은 사용자가 맬웨어를 다운로드하거나 의심스러운 새 웹사이트에 개인 정보
를 제공하지 못하게 하는 다중 계층 방어를 통해 이러한 비 바이러스 위협으로부터 보호합니다.
(Outbreak Filter) 기능은 사용자가 맬웨어를 다운로드하거나 의심스러운 새 웹사이트에 개인 정보
를 제공하지 못하게 하는 다중 계층 방어를 통해 이러한 비 바이러스 위협으로부터 보호합니다.
CASE는 메시지에서 URL을 발견한 경우 메시지와 기존 신종 바이러스 규칙을 비교하여 메시지가
소규모 비 신종 바이러스의 일부인지 결정한 다음 위협 수준을 지정합니다. 위협 수준에 따라 Email
Security 어플라이언스는 더 많은 위협 데이터를 수집할 때까지 수신자에게 메시지가 전송되는 것
을 지연시키고 수신자가 웹사이트에 액세스하려고 시도할 경우 수신자를 Cisco Web Security 프록
시로 리디렉션하도록 메시지의 URL을 재작성합니다. 프록시에서 사용자에게 해당 웹사이트에 맬
웨어가 포함되었을 수 있음을 경고하는 스플래시 페이지를 표시합니다.
소규모 비 신종 바이러스의 일부인지 결정한 다음 위협 수준을 지정합니다. 위협 수준에 따라 Email
Security 어플라이언스는 더 많은 위협 데이터를 수집할 때까지 수신자에게 메시지가 전송되는 것
을 지연시키고 수신자가 웹사이트에 액세스하려고 시도할 경우 수신자를 Cisco Web Security 프록
시로 리디렉션하도록 메시지의 URL을 재작성합니다. 프록시에서 사용자에게 해당 웹사이트에 맬
웨어가 포함되었을 수 있음을 경고하는 스플래시 페이지를 표시합니다.
Cisco Security Intelligence Operations
SIO(Cisco Security Intelligence Operations)는 전역 위협 정보, 평판 기반 서비스, 정교한 분석을
Cisco 보안 어플라이언스에 연결하여 더 빠른 응답 시간과 더 강력한 보호를 제공하는 보안 에코시
스템입니다.
Cisco 보안 어플라이언스에 연결하여 더 빠른 응답 시간과 더 강력한 보호를 제공하는 보안 에코시
스템입니다.
SIO는 다음과 같은 3 가지 구성 요소로 이루어져 있습니다.
•
SenderBase. 세계 최대의 위협 모니터링 네트워크 및 취약성 데이터베이스
•
TOC(Threat Operations Center). 보안 분석가와 SenderBase에서 수집한 실행 가능한 정보를 추
출하는 자동 시스템으로 이루어진 글로벌 팀
출하는 자동 시스템으로 이루어진 글로벌 팀
•
동적 업데이트. 신종 바이러스 발생 시 어플라이언스에 자동으로 전송되는 실시간 업데이트