Cisco Cisco Email Security Appliance C190 User Guide
14-4
Cisco AsyncOS 9.1 for Email 사용 설명서
14 장 신종 바이러스 필터(Outbreak Filter)
신종 바이러스 필터(Outbreak Filter)의 작동 원리
SIO가 글로벌 SenderBase 네트워크의 실시간 데이터를 일반적인 트래픽 패턴과 비교하여 입증된
신종 바이러스 예측 변수인 이상 현상을 식별합니다. TOC에서 데이터를 검토하고 가능한 신종 바
이러스의 위협 수준을 지정합니다. Cisco Email Security 어플라이언스가 업데이트된 위협 수준과
신종 바이러스 규칙을 다운로드하고 이를 사용해 이미 신종 바이러스 격리에 있는 메시지뿐 아니
라 수신 및 발송 메시지도 검사합니다.
신종 바이러스 예측 변수인 이상 현상을 식별합니다. TOC에서 데이터를 검토하고 가능한 신종 바
이러스의 위협 수준을 지정합니다. Cisco Email Security 어플라이언스가 업데이트된 위협 수준과
신종 바이러스 규칙을 다운로드하고 이를 사용해 이미 신종 바이러스 격리에 있는 메시지뿐 아니
라 수신 및 발송 메시지도 검사합니다.
최신 신종 바이러스에 대한 정보는 아래의 SenderBase 웹사이트에서 찾을 수 있습니다.
http://www.senderbase.org/
아래의 SIO 웹사이트는 스팸, 피싱, 맬웨어 배포 시도를 포함한 최신 비 바이러스 위협의 목록을 제
공합니다.
공합니다.
http://tools.cisco.com/security/center/home.x
컨텍스트 적응형 검사 엔진
신종 바이러스 필터(Outbreak Filter)는 Cisco의 고유한 CASE(컨텍스트 적응형 검사 엔진)를 제공
합니다. CASE는 메시징 위협에 대한 실시간 분석을 기반으로 자동으로 조정된 100,000개 이상의
적응형 메시지 특성을 정기적으로 활용합니다.
합니다. CASE는 메시징 위협에 대한 실시간 분석을 기반으로 자동으로 조정된 100,000개 이상의
적응형 메시지 특성을 정기적으로 활용합니다.
신종 바이러스의 경우 CASE가 메시지 내용, 컨텍스트 및 구조를 분석하여 적응 규칙이 트리거할
가능성을 정확하게 판단합니다. CASE는 적응 규칙과 SIO에서 게시하는 실시간 신종 바이러스 규
칙을 결합하여 모든 메시지를 평가하고 고유한 위협 수준을 지정합니다.
가능성을 정확하게 판단합니다. CASE는 적응 규칙과 SIO에서 게시하는 실시간 신종 바이러스 규
칙을 결합하여 모든 메시지를 평가하고 고유한 위협 수준을 지정합니다.
비 바이러스 위협을 탐지하기 위해 CASE는 하나 이상의 URL이 발견될 경우 URL의 메시지를 검
사하고 SIO의 신종 바이러스 규칙을 사용하여 메시지의 위협 수준을 평가합니다.
사하고 SIO의 신종 바이러스 규칙을 사용하여 메시지의 위협 수준을 평가합니다.
메시지의 위협 수준에 따라 CASE는 신종 바이러스를 차단하기 위해 메시지를 격리할 기간을 권고
합니다. 또한 SIO의 업데이트된 신종 바이러스 규칙에 따라 메시지를 다시 평가할 수 있도록 재검
사 간격을 결정합니다. 위협 수준이 높을수록 메시지가 격리되어 있는 동안 메시지 재검사 빈도가
더 높아집니다.
합니다. 또한 SIO의 업데이트된 신종 바이러스 규칙에 따라 메시지를 다시 평가할 수 있도록 재검
사 간격을 결정합니다. 위협 수준이 높을수록 메시지가 격리되어 있는 동안 메시지 재검사 빈도가
더 높아집니다.
CASE는 메시지가 격리에서 릴리스될 때도 메시지를 다시 검사합니다. CASE가 재검사 시 메시지
가 스팸이거나 바이러스를 포함하고 있다고 결정할 경우 메시지가 다시 격리될 수 있습니다.
가 스팸이거나 바이러스를 포함하고 있다고 결정할 경우 메시지가 다시 격리될 수 있습니다.
CASE에 대한 자세한 내용은
를 참조하십시오.
메시지 지연
신종 바이러스 또는 이메일 공격이 발생한 시점부터 소프트웨어 공급업체가 업데이트된 규칙을 릴
리스할 때까지의 기간은 네트워크와 사용자가 가장 취약해질 수 있는 기간입니다. 이 기간 동안 최
신 바이러스가 전역으로 전파될 수 있으며 악성 웹사이트가 맬웨어를 전송하거나 사용자의 민감
한 정보를 수집할 수 있습니다. 신종 바이러스 필터(Outbreak Filter)는 한시적으로 의심스러운 메
시지를 격리하여 Cisco와 기타 공급업체에게 새로운 신종 바이러스를 조사할 시간을 줌으로써 사
용자와 네트워크를 보호합니다.
리스할 때까지의 기간은 네트워크와 사용자가 가장 취약해질 수 있는 기간입니다. 이 기간 동안 최
신 바이러스가 전역으로 전파될 수 있으며 악성 웹사이트가 맬웨어를 전송하거나 사용자의 민감
한 정보를 수집할 수 있습니다. 신종 바이러스 필터(Outbreak Filter)는 한시적으로 의심스러운 메
시지를 격리하여 Cisco와 기타 공급업체에게 새로운 신종 바이러스를 조사할 시간을 줌으로써 사
용자와 네트워크를 보호합니다.
신종 바이러스가 발생하면 업데이트된 신종 바이러스 규칙과 새로운 안티바이러스 서명이 해당 이
메일 첨부 파일이 클린인지 아니면 바이러스인지 입증할 때까지 첨부 파일이 포함된 의심스러운
메시지가 격리됩니다.
메일 첨부 파일이 클린인지 아니면 바이러스인지 입증할 때까지 첨부 파일이 포함된 의심스러운
메시지가 격리됩니다.
소규모 비 바이러스 위협에는 신뢰할 수 있는 웹사이트를 가운데에 끼워 넣어 웹 보안을 우회하고
웹 보안 서비스 또는 URL 단축 서비스를 통한 탐지를 피하기 위해 단기간 동안 온라인 상태로 유
지될 수 있는 악성 웹사이트에 대한 URL이 포함됩니다. CASE는 위협 수준 임계값을 충족하는
URL이 포함된 메시지를 격리하여 SIO의 업데이트된 신종 바이러스 규칙에 따라 메시지의 내용을
다시 평가할 기회를 얻을 뿐 아니라 링크된 웹사이트가 오프라인으로 전환되거나 웹 보안 솔루션
에 의해 차단될 때까지 메시지를 격리 상태로 유지할 수 있습니다.
웹 보안 서비스 또는 URL 단축 서비스를 통한 탐지를 피하기 위해 단기간 동안 온라인 상태로 유
지될 수 있는 악성 웹사이트에 대한 URL이 포함됩니다. CASE는 위협 수준 임계값을 충족하는
URL이 포함된 메시지를 격리하여 SIO의 업데이트된 신종 바이러스 규칙에 따라 메시지의 내용을
다시 평가할 기회를 얻을 뿐 아니라 링크된 웹사이트가 오프라인으로 전환되거나 웹 보안 솔루션
에 의해 차단될 때까지 메시지를 격리 상태로 유지할 수 있습니다.