'지난자료모음/Symantec'에 해당되는 글 40건

  1. 2015.06.02 Symantec Encryption
  2. 2014.12.02 Tech Newsletter #4-Exchange 및 AD 서버의 OU단위 복원 기능
  3. 2014.12.02 Tech Newsletter #3-대용량 데이터의 원격지 백업(Disaster Recovery) 구성 모델링 제시
  4. 2014.12.02 Tech Newsletter #2 - 대용량 데이터 백업 시 효율적인 스토리지 활용 방안
  5. 2014.12.02 Tech Newsletter #1-Symantec Backup Exec 2014의 V2P 기능을 이용한 장애복구
  6. 2014.11.27 "Symantec Backup Exec 15" 내년 출시 예정
  7. 2014.08.22 Symantec Data Loss Prevention 12.5의 새로운 기능
  8. 2014.07.22 Symantec SSR2013 R2 하반기 출시 예정(CentOS 지원)
  9. 2014.06.23 Backup Exec 2014 새로운 기능 소개 및 비교
  10. 2014.06.17 BackupExec Exchange 백업 복원 외부 평가 순위 1위
  11. 2014.03.18 시만텍 아카이브 솔루션 - Exchange Publc Folder (공용폴더) 사이즈 이슈
  12. 2014.03.11 메일 아카이브의 의미와 장점 (시만텍 Enterprise Vault)
  13. 2014.01.27 Symantec Enterprise Vault 필요성
  14. 2013.04.25 시만텍 인터넷 보안 위협 보고서: 성동격서형-스파이형-잠복형 공격 등으로 끊임없이 진화
  15. 2013.04.24 SWG(Symantec Web Gateway)를 통한 APT 방어 방안
  16. 2013.04.12 APT 공격 및 Symantec 대응 전략 -시만텍
  17. 2013.04.12 APT 공격에 대한 이해 및 차단전략 -시만텍
  18. 2013.02.28 HTTP리디렉션을 통한 소프트웨어 강제배포-시만텍 Octopus
  19. 2013.02.05 BackupExec 2012 재난복구 시나리오 (SDR)
  20. 2013.02.05 Symantec Backup 구축 사례- XXX 반도체
  21. 2013.01.04 Symantec EV 9.XX Exchange 2007 -> 2010 마이그레이션
  22. 2012.12.13 SEP를 이용한 Autorun 대응방법
  23. 2012.12.05 Symantec DLP Agent Group 설정 가이드
  24. 2012.11.26 Symantec DLO 실시간 백업 후 복원 가이드(버전관리, 삭제데이터 복원)
  25. 2012.11.26 Symantec DLO 백업 옵션 소개
  26. 2012.11.26 Symantec DLO 기본 화면 안내
  27. 2012.11.09 시만텍 고스트 성능향상 방법
  28. 2012.05.24 메일 저널링 기능 (Exchange, Symantec Enterprise Vault)
  29. 2012.05.24 Symantec Enterpirse Vault 공용폴더 아카이빙 기능
  30. 2012.05.24 Symantec Enterprise Vault 아카이브 솔루션 데모

 

 

Drive Encryption
  - 디스크 볼륨암호화

  - 시스템 비인가 엑세스 제한

  - 디스크무단 유출 및 시스템 분실에 대한 정보보호
  - 이동식 저장장치 암호화

  - 시스템 인지후 즉시 암호화 시작

  - 저장장치 분실에 대한 정보보호

 

E-mail Encryption
  - 중요메일에 대한 메일 암호화

  - 암호화된 메일을 수신자에게 전송

  - 메일의 수신확인

  - DLP연동 중요정보 강제 암호화 전송

 

File Encryption
  - 파일서버 공유파일 암호화

  - 협력사 간 전송 파일 암호화

  - 비인가된 사용자의 파일열람 제한

 

 

Posted by 엠플 (주)엠플

“Backup Exec 15” 가 내년 4~ 6월 정도에 출시될 예정입니다.

| Backup Exec 15의 새로운 기능은?

- 가상환경과 물리적 환경간의 백업 및 복원이 사용하기 더욱 더 편리해집니다.

- VMware vSphere 2015 지원

- Oracle 12c 지원

- 보고된 이슈 및 버그 수정

- Windows Server 2012 R2 및 Windows 8.1 의 SDR(Simplified Disaster Recovery) 지원

- VMware vSphere 5.5 U2 지원

- Exchange 2013 CU6 지원

- SQL 2014 저장소 사용

 

| Backup Exec 15는 Backup Exec Server의 운영체제가 32bit일 경우 지원되지 않습니다.

그러나, Agent for Windows(AWS)의 경우에는 32bit의 운영체제도 지원합니다.

참고링크 : http://www.symantec.com/connect/blogs/backup-exec-15-beta-registration-now-open

Posted by 엠플 (주)엠플

기업은 보안에 대한 투자를 늘리면서 안전하게 보호받고 있다고 생각합니다. 하지만 데이터 유출 문제는 여전히 개인 사용자, 기업, 정부 기관에 타격을 주고 있습니다. 실제로 2013년에는 데이터 유출 사고 건수가 62% 증가했습니다. 과중한 업무와 인력난에 시달리는 보안 팀은 그럭저럭 쓸만한 여러 보안 포인트 제품을 대강 연결해 사용 중이지만, 이러한 솔루션들은 애초에 상호 연동하도록 설계되어 있지 않습니다. 그로 인해 데이터 유출에 더욱 취약해질 뿐 아니라 운영상의 복잡성도 증가합니다.
Symantec Data Loss Prevention 12.5는 아래와 같이 더 효과적으로 기밀 데이터를 제어하고 간편하게 데이터 유출 관련 정책을 관리하기 위해 새로운 기능을 제공합니다.
• 하드웨어 설치 공간을 줄이면서 간편하게 데이터 유출 방지 시스템을 구축하고 관리합니다.
• 비즈니스 데이터 소유자가 직접 온라인 포털을 통해 정책 위반에 대한 조치를 취할 수 있도록 지원합니다.
• Mac OS X, Windows 8.1 등 새로운 플랫폼을 지원하면서 엔드포인트의 데이터 사용을 보다 효과적으로 제어합니다.

업그레이드해야 하는 9가지 이유
1. NEW! 단일 서버 설치 – 지점 또는 소기업 환경에서는 한 대의 물리적 서버에 Enforce 플랫폼, 탐지 서버, Oracle 데이터베이스까지 구축하여 하드웨어 및 유지 보수 비용을 절약할 수 있습니다.
2. NEW! 셀프 서비스 포털 – 비즈니스 데이터 소유자가 직접 온라인 포털을 통해 간편하게 점검하고 네트워크 파일 정책의 위반 사항을 처리할 수 있으며, 효율적인 프로세스를 통해 리스크 요소가 해결됩니다.
3. IMPROVED! 엔드포인트 에이전트 – Mac OS X에 저장된 데이터를 탐색하고 Microsoft Windows 8.1에서 발생하는 이벤트를 탐색, 모니터링, 예방하며 Citrix XenApp 6.5, VMware View, Microsoft Hyper-V에서 호스팅되는 가상 데스크탑과 애플리케이션을 모니터링합니다. 또한 Microsoft Remote Desktop Protocol(RDP)을 통해 전송되는 데이터를 모니터링합니다.
4. IMPROVED! 엔드포인트 에이전트 관리 – 단일 엔드포인트 서버에서 보다 효과적으로 에이전트 상태를 리포팅하고 유연하게 여러 에이전트 그룹 구성을 배포합니다.
5. IMPROVED! 엔드포인트 통신 – 더 많은 엔드포인트 에이전트를 엔드포인트 서버에 연결할 수 있어 시스템 확장성이 향상되고 필요한 서버 수가 줄어듭니다.
6. IMPROVED! 엔드포인트 IDM(Indexed Document Matching) – 엔드포인트의 문서 내용이 정확하게 일치하는지 실시간으로 평가하고 오프라인 사용자의 데이터 사용을 더 효과적으로 제어합니다.
7. IMPROVED! Exact Data Matching – 여러 단어로 구성된 복잡한 구문, 중국어/일본어/한국어 구문을 비롯해 정형 데이터(예: 데이터베이스, 스프레드시트)를 보다 정확하게 인식하여 오탐지를 줄입니다.
8. IMPROVED! Mobile Email Monitor – 사용자가 Microsoft Exchange ActiveSync 프로토콜을 통해 Android 및 iOS 디바이스에 다운로드하는 기밀 이메일을 찾아내고 BYOD 환경을 더욱 면밀하게 모니터링합니다.
9. IMPROVED! 네트워크 모니터 – 새로운 버전의 Internet Protocol, IPv6를 통해 전송되는 기밀 데이터를 찾아냅니다.

 

업그레이드해야 하는 5가지의 또 다른 이유
이번 릴리스는 Data Loss Prevention 12에서 선보였던 주요 기능도 갖추었습니다.
1. NEW! Encryption Insight는 Symantec File Share Encryption으로 암호화한 컨텐트를 복호화, 추출, 분석합니다. 이 기능을 사용하면 지금까지는 기밀 데이터 검사가 불가능했던 서버 및 공유에 저장된 암호화된 파일을 모니터링할 수 있습니다.
2. NEW! 사용자 리스크 요약은 사용자별로 네트워크 이벤트와 엔드포인트 이벤트를 연계 분석함으로써 리스크가 높은 개별 사용자의 행동 패턴에 대해 모니터링할 수 있습니다.
3. IMPROVED! Data Insight는 외부 사용자를 탐지하고 새로운 소셜 네트워크 맵을 통해 과도한 액세스 권한을 관리할 수 있도록 지원합니다.
4. IMPROVED! IT Analytics는 향상된 다차원 리포팅 기능을 제공하므로 손쉽게 데이터를 분류 및 정리하고 임시 리포트를 작성하며 리스크 완화 효과를 측정할 수 있습니다. IT Analytics는 추가 비용 없이 이용할 수 있는 기능입니다.
5. IMPROVED! Network Discover는 도메인의 서버와 공유를 자동으로 탐색하므로 손쉽게 자동 검사를 구성할 수 있습니다. 또한 검사 과정에서 앞서 해결된 인시던트를 자동으로 정리해주므로, 기밀 데이터가 노출되는 미결 인시던트의 처리에만 집중할 수 있습니다.

Posted by 엠플 (주)엠플

SSR2013 R2에 대한 Beta가 8월에 시작될 예정입니다.

주목할 만한 사항은 이제부터 CentOS가 지원된다는 점입니다.

그리고 최신 Platform에 대한 update가 이루어집니다.

https://symbeta.symantec.com/callout/?callid=89C12585A5744E129ADD5112D51041C9

주요 update 사항은 아래와 같습니다.

image

    Posted by 엠플 (주)엠플

     

    Backup Exec 2014  출시일자 - 2014년 06월 03일

    • 최대 100% 빠른 백업 지원
    • Windows Server 2012 및 Windows Server 2012 R2 지원
    • Exchange 2013 및 SharePoint 2013에 대한 개별 복구 지원
    • 쉬운 업그레이드

    - Backup Exec 2014 주요 기능

    1. FLEXIBLE : 신뢰되는 기술

    2. POWERFUL : 빠른 백업 및 복구

    3. EASY : 간소화된 사용자 인터페이스

    4. Backup Exec 2014 업그레이드

    5. Backup Exec 2012 vs Backup Exec 2014 기능 비교

    참고링크 : http://www.symantec.com/content/en/us/enterprise/white_papers/b-backup-exec-2014-feature-comparison-matrix.pdf

    6. Backup Exec 2014 미 지원 버전 정보

    Backup Exec Server & Windows Agent support - Windows Server 2003 이하 버전 미 지원

    Backup Exec Application Agent for Exchange - Exchange 2003 이하 버전 미 지원

    Backup Exec Application Agent for MSSQL - MSSQL 2005 이하 버전 미 지원

    그 외 다른 OS & Application 정보는 아래 링크를 통하여 확인 가능

    참고링크 : http://www.symantec.com/business/support/library/BUSINESS/xCL/TECH217478/be_2014_scl.pdf

     


    FLEXIBLE : 중요 비즈니스 데이터를 보호하기 위해 신뢰되는 기술

    • 인프라 보호를 위한 확장성

    clip_image002

     

    • 순간 복구(Instant Recovery)로 다운 타임 최소화

    clip_image003

    (맨위로)

     


    POWERFUL : 혁신적인 가상화 기능을 통해 빠른 백업 및 복구

    • 백업 시간 최소화

    clip_image004

     

    • 가상화를 위해 기본 포함된 최신 기술

    1. 가상 플랫폼에 대한 유연한 지원

    - 빠른 VM 스냅샷을 위한 Microsoft VSS 및 VMware ADP와의 긴밀한 통합

    - VM에 미치는 영향 Zero

    - 작업 실행 시간에 발견된 새로운 VM을 동적으로 보호

    - VMware Ready 및 Microsoft Certified

    2. 빠르고 효율적인 복구

    - 전체 가상 머신, 어플리케이션 및 데이터베이스 복원

    - 개별 파일 및 폴더, 어플리케이션 데이터 복원

    - 다른 위치에 동일하게 저장소에서 직접 복원

    - 마운팅 또는 준비단계 필요 없음

    3. 백업 스토리지 및 관리 비용 절감

    - 모든 가상 및 물리적 백업에 걸쳐 블록 레벨 중복제거

    - 물리적 서버를 가상 머신으로 변환

    - 깊은 가시성과 중앙 집중식 관리

    (맨위로)

     


    EASY : 백업 및 복구가 간소화된 사용자 인터페이스

    • 쉬운 사용 및 관리

    clip_image010

    - 지능형 대시보드는 전체 백업 환경에 걸쳐 가시성을 제공

    - 새로운 작업 모니터로 모든 백업 및 복구 작업을 신속하게 추적하고 모니터

    - 백업되지 않은 새롭거나 보호되지 않는 리소스를 자동으로 탐색하고 보호

    - 많은 시간이 소요되는 교육 시간이 필요 없음

    - 중앙 집중식 관리로 여러 Backup Exec 서버를 관리

    (맨위로)

     


    Backup Exec 2014 업그레이드

    clip_image011

    clip_image012

     

    (맨위로)


    Posted by 엠플 (주)엠플

    Exchange Publc Folder (공용폴더) 사이즈 이슈

    Exchange 공용폴더를 통하여 회사 및 팀, 개인의 메일을 공유할 수 있습니다.

    다만 많은 메일 or 게시물을 이용할 경우 공용폴더에 대한 용량도 무시할 수 없게 됩니다.

    이런 경우에 EV 아카이빙 기능 중 공용폴더 아카이빙 기능을 이용하면 용량 문제에 대한

    고민을 해결할 수 있습니다.

    또한 Exchange 서버에 공용폴더 사이즈가 실제로 삭제되어 Exchange 서버의 성능 효율 또한

    올릴 수 있는 방법이기도 합니다.

     

    Symantec EV(EnterPriseVault) 를 통한 공용폴더 아카이빙 정책

    clip_image001[4]

    정책 구성 예

    Young Item : 1일이 지나지 않은 메일은 아카이빙 하지 않음

    Large Item : 공용폴더 게시물 사이즈가 1M 이상일 경우 아카이빙

    All items older than : 공용폴더 게시물이 2일 이상 지나면 아카이빙

    실제 Exchange 공용폴더 적용 예

      1. OWA 화면

    아래와 같이 OWA 를 통해서 공용폴더 메일 및 게시물이 아카이브 된것을 확인할 수 있습니다.

    clip_image002[4]

      2. Outlook 화면

    OWA 와 마찬가지로 Outlook 에서도 공용폴더에 생성된 메일 및 게시물에 대해 아카이브 된것을 확인 할 수 있습니다.

    clip_image003

    Posted by 엠플 (주)엠플

    메일 아카이브의 필요성

    메일서버를 운영하게 되면 메일데이터의 증가로 메일데이터의 관리가 어려워지게 됩니다.

    메일서버의 스토리지는 한정적인데 반하여 메일 사이즈는 점점 커지고 있으며, 이에 따라

    사용자의 메일사서함의 크기도 점점 커지게 되며, 이에 따라 메일서버의 데이터도 관리가 어려워질 수 있습니다.

    이때 메일 사서함의 크기 및 메일서버의 메일데이터를 효율적으로 관리 할 수 있도록 보완가능한 솔루션이

    아카이브 솔루션입니다. 아카이브 솔루션은 국내외 여러제품들이 안내되고 있지만,

    많은 레퍼런스와 오랫동안 Exchange 의 업그레이드와 함께 개발되어진 시만텍 Enterprise Vault 가 시장에 널리

    사용되고 있습니다.

    아래 그림을 보면 Exchange 가 초기 출시된 1996년 이후 시만텍의 아카이브 솔루션 역시 1998년 이후

    현재까지 Exchange 버전 및 업데이트에 맞추어 고객사 환경에 맞도록 지원하고 있습니다.

    clip_image001

    또한 외국 솔루션 벤치마크 회사인 가트너에서도 매년 가장 높은 점수를 획득하며, 안정적인 솔루션으로

    자리 잡고 있습니다.

    clip_image002

     

    메일 아카이브란?

    메일 아카이브란? 메일서버에 저장된 오래된 메일을 아카이브 서버로 이동하여 메일 서버 용량의 효율성을

    높일 수 있습니다. 또한 메일서버의 개별 사용자 메일 사서함도 용량 확보가 가능해지기 때문에 사용자 기준에서도

    기존 보다 많은 메일을 받을 수 있는 장점을 가지게 됩니다.

    메일 아카이브의 장점을 정리하면 아래와 같습니다.

    1. 메일 서버 스토리지 절감
    2. 백업 및 복구 시간 절감
    3. 메일 쿼터 문제 해결

     

    고객사 사례

    실제 Exchange 사용 고객 중 메일데이터(EDB)가 커지게 되어 백업 및 복구에 대한 어려움을 문의했으며

    이에 메일데이터를 감소할 수 있는 시만텍 Enterprise Vault 를 진행한 사례를 간단하게 소개 합니다.

    환경

    Exchange 2010 메일 유저 약 570명

    총 메일 데이터 사이즈 : 1,150,591MB

     

    아카이브 적용 정책

    Exchange 메일 유저 570명 전체 대상을 메일 아카이브 대상자로 지정

    최근 1달 메일은 Exchange 서버에 유지하도록 구성하며,

    이보다 오래된 메일은 아카이브 서버로 이동하도록 구성하도록 정책 적용

     

    아카이브 정책 적용 결과

    아카이브 적용 전 Exchange EDB 사이즈

    clip_image003

    아카이브 적용 후 Exchange EDB 사이즈

    clip_image004

    아카이브 적용 후 메일데이터 감소 결과 레포트

    image

     

    마무리

    위와 같이 총 1,15T 이상을 사용하는 고객사에서 시만텍 Enterprise Vault 아카이브 솔루션을 도입 후

    메일 데이터 감소효과는 약 71% 로 확인되었습니다.

    기존의 1,15T 를 백업 받았던 시간보다 아카이브 적용 후는 백업 받을 데이터가 325G 로

    백업 시간이 약1/4로 단축되는 효과를 바로 확인이 가능하며, 사용자 역시 기존의

    메일쿼터의 제한을 아카이브 정책을 통해 좀 더 유연하게 메일 사서함 관리가 가능하게 됩니다.

    Posted by 엠플 (주)엠플

    Symantec Enterprise Vault 소개 및 장점

    Archive 기능 안내

    1. Journal Archiving

    a. Exchange 서버에서 주고 받는 모든 email을 캡쳐하여 특정 저널 메일박스에 저장하고

    이를 아카이빙 하는 방법

    b. 컴플라이언스, 법률적 혹은 감사 목적으로 사용됨.

    개인 사용자들은 전혀 모름

    c. 저널 아카이브에는 특정 권한을 갖는 사용자만 액세스 가능

    2. Mailbox Archiving

    a. E-mail들에 대해서 특정 날짜(지정날짜)혹은 사이즈등의 다양한 정책을

    적용하여 의해 개인 사용자의 메일 박스 크기를 줄여 주는데 목적

    b. Exchange 백업/복구 시간 절감

    c. 개인 사용자가 직접 자신의 아카이빙 데이터를 액세스(Outlook,OWA 사용)

    Archive 대상 (Exchange, Domino, Sharepoint, FileServer, Lync 등)

    Symantec Enterprise Vault 시장평가 보고서

    Posted by 엠플 (주)엠플

    2013-04-17 – 시만텍(www.symantec.co.kr)이 2012년 한 해 동안의 주요 사이버 범죄 및 보안 위협 동향을 조사, 분석한 최신 보고서인 '인터넷 보안 위협 보고서(Internet Security Threat Report)' 제18호를 발표했다.

    시만텍은 전세계에서 가장 포괄적인 인터넷 보안 위협 데이터 수집 체계인 '글로벌 인텔리전스 네트워크(Global Intelligence Network)'를 구성하는 약 6,900만개의 공격 센서와 500만개 이상의 유인 계정, 그리고 기업, 보안 벤더 및 5,000만명 이상의 개인 사용자로 구성된 사기방지 커뮤니티와 같은 다양한 소스를 통해 방대한 보안 빅데이터를 수집, 분석하고 있다. 이를 통해 탄생한 시만텍 '인터넷 보안 위협 보고서(ISTR)'는 기업 및 개인 사용자들에게 현재와 미래에 IT시스템을 효과적으로 보호하기 위한 방안을 제시한다.

     

    이번에 공개된 '인터넷 보안 위협 보고서' 제18호에 따르면 2012년에는

    ▲표적공격이 전년대비 42% 증가한 가운데 소기업을 노린 표적공격도 31%에 달했으며,

    ▲워터링 홀(Watering Hole)과 같은 새로운 표적공격 전술의 등장

    ▲모바일 악성코드 58% 급증

    ▲기존 백신으로 탐지가 어려운 웹 기반 공격 증가

    ▲소셜 미디어를 통한 스팸 및 피싱 공격의 확대

    ▲사이버 범죄자들의 주요 돈벌이 수단으로 랜섬웨어 공격이 증가한 것으로 나타났다.

     

    표적공격 42% 증가, 소기업 노린 표적공격 31%에 달해

    시만텍 조사결과 2012년 표적공격은 2011년에 비해 42% 증가했으며, 규모에 상관 없이 모든 기업이 표적공격 대상이었다. 업종별로는 제조업이 전체 표적공격의 24%를 차지해 1위에 올랐으며, 직무별로는 R&D 및 영업 직원에 대한 표적공격이 각각 27%와 24%로 급증했다.

    기업규모별로는 표적공격의 50%가 종업원 수 2,500명 이하의 기업을 겨냥했다. 특히 종업원 수 250명 미만의 소기업을 노린 표적공격은 2011년 18%에서 2012년에는 31%로 크게 늘었다. 소기업을 겨냥한 표적공격이 증가하고 있는 이유는 공격에 취약하고 중요한 지적재산을 가지고 있으며, 대기업을 공격하기 위한 발판으로 이용할 수 있기 때문이다. 일례로 공격자가 소기업에 잠입해 소기업 직원의 개인 정보, 이메일 계정 등을 파악한 후 이를 통해 실제 공격목표인 대기업을 겨냥한 정교한 이메일 공격전략을 개발할 수 있다.

     

    새로운 표적공격 전술의 등장

    또한 사이버 범죄자들은 중소기업들의 웹사이트를 감염시켜 보다 정교한 표적공격을 감행하기도 한다. 2012년 발생한 웹기반 공격의 대다수는 미리 감염시킨 소기업들의 웹사이트를 통해 이루어졌다. 사이버 범죄자들은 공격하고자 하는 표적집단이 자주 방문하는 소기업 웹사이트를 감염시킨 후 몰래 숨어서 목표물이 방문하기를 기다린다.

    이러한 유형의 공격을 '워터링 홀(Watering hole)'이라고 부른다. 일례로, 올해 한 인권 단체 웹사이트의 스크립트에서 컴퓨터를 감염시킬 수 있는 코드 한 줄이 발견되었다. 공격자는 이 웹사이트 방문자들을 감염시키기 위해 인터넷 익스플로러의 새로운 제로데이 취약점을 이용했다. 시만텍 조사 결과 24시간 이내 500개 대기업과 정부 기관 관계자들이 이 사이트를 방문했고 감염 위험에 노출되었다. 공격자는 엘더우드 갱(Elderwood gang) 으로 밝혀졌다. 이들은 정교한 공격용 툴과 제로데이 취약점을 이용했는데, 이는 엘더우드 갱이 대형 범죄조직이거나 국가의 후원을 받는 단체라는 점을 시사한다.

     

    모바일 악성코드 58% 급증

    예상대로 2012년에는 2011년에 비해 모바일 악성코드가 58% 급증해 전체 악성코드의 59%를 차지했다. 2012년 모바일 OS에서 발견된 취약점 수는 415개로 2011년 315개와 비교해 32% 증가했다. 이중 애플 iOS에 대한 취약점이 387개로 가장 많았지만 흥미롭게도 발견된 애플 iOS용 악성코드는 단 한 개에 불과했다.

    반면 안드로이드 OS의 취약점은 단 13개에 불과했지만 안드로이드를 겨냥한 악성코드는 103개로 가장 많았다. 이는 안드로이드 OS가 높은 시장 점유율과 개방성, 그리고 악성코드를 내장한 앱을 다양한 방식으로 배포할 수 있다는 점 등으로 인해 모바일 공격의 주요 표적이 되고 있음을 시사한다.

     

    기존 백신으로 탐지가 어려운 웹기반 공격 증가

    2012년 웹기반 공격은 약 3분의 1 가량 증가했다. 공격자들은 주로 소기업들의 웹사이트에 잠입해 사이트 운영자나 피해자 모르게 툴킷과 악성코드를 설치한다. 특히 공격자들은 PHP 스크립트 등을 이용해 공격자의 웹사이트에서 자동으로 돌연변이 악성 코드를 생성해 매번 기존 유형과 조금씩 다른 형태로 공격하는 서버측 다형성 공격을 이용하기 때문에 기존의 시그니처 기반 백신에만 의존하는 기업들은 이러한 은밀한 공격을 방어할 수 없다.

    이러한 웹 기반 공격은 성공률도 높다. 대다수 기업과 개인 사용자들의 시스템은 어도비 플래시 플레이어, 아크로뱃 리더와 같은 브라우저 플러그인과 오라클 자바 플랫폼에 대한 최신 패치가 설치되어 있지 않기 때문이다. 개인 사용자의 경우 관심 부족을 탓할 수 있지만 일부 대기업은 업무에 중요한 시스템을 운영하는데 이전 버전의 브라우저 플러그인이 필요해 최신 버전으로의 업그레이드가 어려운 경우도 있다. 이 같은 보안 업데이트 패치 관리의 애로사항과 낮은 패치 설치율로 인해 기업들은 웹 기반 공격에 취약하게 노출되어 있다.

    실제 웹 스캔을 통해 악성코드를 호스팅하는 웹사이트를 찾아내는 '노턴 세이프 웹 데이터' 기술을 기반으로 시만텍은 악성 웹사이트의 61%가 악성코드에 감염된 일반 웹사이트임을 확인했다. 소비재, 산업재 및 서비스 분야 업체들의 웹사이트가 주로 감염 대상이었으며, 기타 보안 투자가 적은 많은 중소기업들의 웹사이트도 주요 공격대상이었다.

     

    소셜 미디어를 통한 스팸 및 피싱 공격의 확대

    2012년 전세계 스팸량은 스팸메일 발송에 이용되는 봇넷들이 잇따라 폐쇄되면서 전체 이메일에서 스팸이 차지하는 비중이 69%로 하락했다. 전체 이메일에서 피싱이 차지하는 비율 역시2011년 299건당 1건에서 2012년 414건당 1건으로 감소한 것으로 나타났다. 전체 이메일에서 바이러스가 포함된 이메일도 291건당 1건으로 2011년 239건당 1건 보다 다소 감소했다.

    이메일을 통한 스팸, 피싱 및 악성코드 공격이 감소하고 있는 이유는 사이버 범죄자들이 이메일에서 소셜 미디어와 같은 다른 온라인 커뮤니케이션 채널로 활동 무대를 옮기고 있기 때문으로 풀이된다. 이들 모바일 소셜 채널은 사이버 공격을 인식하기 어렵고 자신의 개인신상 공개에 관대한 10대와 젊은 성인들을 대상으로 하기 때문에 공격 효과를 극대화할 수 있다.

     

    새로운 돈벌이 수단으로 떠오른 랜섬웨어 공격

    랜섬웨어를 통한 사이버 공격이 큰 수익성을 보장함에 따라 2012년에는 랜섬웨어가 큰 골칫거리로 떠올랐다. 사람들에게 가짜 안티바이러스 소프트웨어 구매를 유도하는 스케어웨어와는 달리 랜섬웨어는 사용자의 컴퓨터를 잠그거나 데이터를 암호화한 후 잠금 해제를 조건으로 돈을 요구한다. 랜섬웨어는 매우 정교한 공격이고 제거가 어려우며 때로는 안전모드에 상주하면서 원격 지원 시도를 막기도 한다.

    랜섬웨어 공격자들은 피해자의 지불 결제율을 높이기 위해 사회공학적 기법을 활용하기도 한다. 잠금 화면에 현지 사법당국을 위장한 허위 경고문을 표시하거나 피해자의 사진을 촬영해 잠금 화면에 이 이미지를 게재하여 피해자에게 겁을 주기도 한다. '몸값'은 일반적으로 50~400 달러 사이이고, 금액을 지불해도 컴퓨터 잠금 해제를 하지 않는 경우가 많기 때문에 사용자들은 주요 감염 경로인 성인사이트나 해적판 소프트웨어를 유통하는 불법 사이트 접속을 피해야 한다.

    시만텍코리아의 정경원 대표는 "표적공격이 성공하기 위해서는 표적으로 삼은 사용자에 대해 잘 알고 있어야 하는데, 공격자들은 공격 대상자의 이메일 주소와 직업, 전문적 관심 분야, SNS나 자주 방문하는 웹사이트 등의 정보를 사전에 조사, 취합함으로써 표적공격의 성공률을 높인다"며, "일단 표적공격이 성공하면 피해자의 기기에 오랫동안 잠복하면서 마치 조지 오웰의 빅 브라더처럼 피해자의 일거수일투족을 감시하고 필요한 정보를 빼내는 만큼 기존 보안 탐지 기술 외에 다수의 심층적인 상호 보완적 보안 체계를 구축해야 한다"고 강조했다.

     

    기타 시만텍 '인터넷 보안 위협 보고서' 제 18호의 주요 내용은 다음과 같다.

    • 2012년 데이터 침해사고당 유출된 평균 개인정보 수는 604,826건, 기업이 보고한 데이터 침해사고의 88%는 외부자에 의한 공격 때문
    • 2012년 표적공격은 2011년 대비 42% 증가. 업종별로는 제조업이 전체 표적공격의 24%로 1위 차지, 직무별로는 R&D 및 영업 직원에 대한 표적공격이 각각 27%와 24%로 급증
    • 기업규모별로는 표적공격의 50%가 종업원 수 2,500명 이하의 기업을 겨냥. 종업원 수 250명 미만의 소기업을 노린 표적공격도 2011년 18%에서 2012년 31%로 급증
    • 2012년 발견된 제로데이 취약점은 14개로 2011년 8개에 비해 증가
    • 2012년 탐지된 전체 취약점 수는 5,291개로 2011년 4,989개보다 다소 증가. 모바일 취약점 역시 2011년 315개에서 2012년 415개로 32% 증가
    • 2012년에는 모바일 악성코드가 2011년에 비해 58% 증가해 전체 악성코드의 59%를 차지
    • 2012년 발견된 모바일 악성코드 변종은 최소 3,906개
    • 소셜 미디어를 겨냥한 전형적인 공격 유형 가운데 가짜 경품 사기가 전체 공격의 절반이 넘는 56% 차지
    • 2012년 전체 이메일에서 스팸이 차지하는 비중 69%, 전체 이메일에서 피싱이 차지하는 비중도 2011년 299건당 1건에서 2012년 414건당 1건으로 감소
    • 2012년 전체 이메일에서 바이러스가 포함된 이메일은 291건당 1건으로 2011년 239건당 1건 보다 다소 감소. 이메일에 첨부된 악성코드 중 23%에 악성 웹사이트로 연결되는 URL 링크 포함

    시만텍 '인터넷 보안 위협 보고서(Internet Security Threat Report)' 제18호에 대한 보다 자세한 정보와 자료는 아래 링크를 통해 확인할 수 있다.

    Posted by 엠플 (주)엠플

    APT 공격의 사내 역할을 담당하는 감염된 PC를 좀비 PC또는 BotNet이라고 지칭합니다.

    이 좀비PC들은 Bot Master가 형성해놓은 C&C Server를 통해 배포 작동되어 집니다.

     

     

    SWG는 이러한 좀비 PC와 C&C Server와의 접속기록을 관리 통제합니다.

    실제 활동하는 Bot과 의심되는 PC를 확인하고 C&C Server와의 접속기록 아래와 같이 체크합니다.

     

    어떠한 C&C 를 통해 Control 되는지 확인합니다.

    2지점 이상의 C&C를 통해 Control을 받는 경우도 많습니다.

    해당 C&C서버의 정확한 정보를 확인합니다.

     

    또한 감염된 PC들이 내부에서 일으킬수있는 Potential Attack Spyware, IPScanning, Spamming을 모니터링 합니다.

     

    SWG Dashboad

    Posted by 엠플 (주)엠플

     

    1 . Symantec 대응 전략 - CCS

    2 . Symantec 대응 전략 - SCSP

     

    -. APT 의 공격 프로세스

    1. 침투

    - 공격자가 취약한 시스템이나 직원들을 악성코드로 감염시켜 네트워크 내부로 침투

    2. 검색

    - 침투한 내부 시스템 및 인프라 구조에 대한 정보를 수집한 후 다음 단계를 계획

    3. 수집

    - 보호되지 않은 시스템상의 데이터 수집 또는 시스템 운영 방해

    4. 유출

    - 공격자의 근거지로 데이터 전송
    시스템 운영 방해 또는 장비 파괴

     

    -. 다계층(Defense in depth) 보안

     

     

    APT 공격에 대한 Symantec 대응 전략

    - Control Compliance Suite

     

    -. Questions?
    • 현재 운영 중인 Unix 및 Windows 시스템의 댓수 및 버전은?
    • DB와 Web Server가 운영 중인 시스템 및 운영 중인 DB, Web서버 버전은?
    • 각 시스템의 OS, DB 및 각종 응용 프로그램 패치 현황은?
    • 각 시스템별 설정값은 Secure한가요? (예: 비밀번호 복잡성, 불필요한 서버스 운영 중?, 중요 폴더별 접근 권한은?)
    • DB의 운영 상태는? (중요 설정 파일에 대한 점검은?)
    • 각 시스템별 확인된 취약점은?

    Visibility

     

    -. Compliance란?
    Compliance with something, for example a law, treaty, or agreement means doing what you are required or expected to do.
    출처:Collins Cobuild Advanced Learner's English Dictionary6th Edition © HarperCollins Publishers 2009
    IT Compliance 기업을 운영할 경우 내외부적으로 반드시 지켜야 하는 법적 규제 사항이나 지침. 기업과 정부의 환경이 IT 환경으로 바뀌면서 최근 부각되는 IT 이슈 중 하나로, 전자 문서를 통한 회계 작성 준칙이나 원본 문서 보관 의무 등 기업 회계와 경영의 투명성을 높이기 위한 IT 관련법, 제도 등이 등장하고 있는데 이것들을 모두 컴플라이언스라고 통칭한다. 단기적으로는 기업의 투명성을 높이고, 투자자의 권리 보호, 금융 시장의 안정화 등을 이룰 수 있으며, 장기적으로는 국제 경쟁력 향상 등의 효과가 예상된다.

     

    -. CCS 도입의 필요성

    1. 서버 취약점 상시 점검 체계를 통한 지속적인 수시 관리 필요

    2. 금융위, 자체감사 등 회사 정책에 맞는 점검 및 운영 필요

    3. IS027001, PCI DS 등 다양한 Compliance에 대한 전사적 관리 필요

     

    -. 시만텍 Control Framework

     

     

     

     

     

    -. 시만텍 컴플라이언스 솔루션

     

     

    -. Automatic Asset Evaluate

    Control Compliance Suite Standards Manager

    •기술적인 점검항목 점검 자동화
    •다양한 OS/DB/Web Server 등에 대한 기본 템플릿 제공
    •잘못된 설정값 확인
    •에이전트 및 에이전트리스 점검 지원

    -. Advanced Vulnerability Assessment
    Control Compliance Suite Vulnerability Manager
    •OS, DB, Web Server 및 네트워크 장비 지원
    •15,000여개 이상의 취약점에 대해 60,000여개 이상의 점검항목 지원
    •발견된 취약점에 대한 상세 조치방안 지원

     

    -. Control Compliance Suite Workflow
    자동화된 컴플라이언스 관리

    정책
    •정책생성 및 관리
    •조치상태 추적
    •예외 조항 관리
    •규제법안과 내부 정책의 매핑
    •감사결과에 대한 유지/관리

     

    감사결과 수집
    •에이전트/비에이전트기반 수집을 통한 확장성
    •커스터마이징이 용이한 감사결과 소스타입
    •워크플로우
    •다양한 기본정책 템플릿

     

    컨텐츠 및 분석
    •다양한 표준 템플릿
    •용이한 커스터마이징
    •위반사항별 상세한 조치방안 제공
    •위험기반 스코어링

     

    정보공유
    •권한별 감사결과 데이터 접근/공유제어
    •예약 보고서 및 자동배포를 통한 공유
    •용이한 커스터마이징으로 다양한 형태의 보고서 제공

     

    -. Compliance Control Suite 주요 기능
    28
    Risk 평가 및 우선 순위
    취약점 분석 가능 항목
    1
    시스템 중요 설정 값 점검 및 분석
     각 O/S 버전 별 취약점 분석 및 결과 리포팅
    4
    취약점 분석 및 조치방법
    3
    CCS 주요 Contents
    2
    점검대상 별 Risk 평가 점수화(Score)
     Risk 평가 후 취약대상서버 우선 순위별 구분
    다양한 Platform 지원가능
    각종 O/S, DB, N/W장비 취약점 분석 후 조치방법 단계별 상세 설명
    기본 제공되는 다양한 표준 정책
     Standard 정책 및 Custom 정책 수립
    자동 Schedule을 통한 분석평가 및 리포팅
    5
    다양한 통합 Report Form 제공
     PDF, MS-word, WEB 등 다양한 출력양식의 자산 통합리포팅

     

     

    -. 컴플라이언스 기반에 맞는 정책 점검 및 분석

    ISO 27001, PCI DSS와 같은 국제 표준에서 제공하는 시스템 설정 권고사항에 대한 적용여부 점검
    -정책생성 및 관리
    -조치상태 추적
    -예외 조항 관리
    -규제법안과 내부 정책의 매핑
    -감사결과에 대한 유지/관리 [금융위, 자체감사 정책]
    별도 컨설팅 필요

     

     

     

    -. CCS를 통한 상시 점검 체계 구축
     자동 보안진단 Tool에 의해 전체 IT자산을 1일 1회 이상 정기 또는 비정기 점검을 실시
     지속적인 업데이트를 통한 최신 보안 취약점을 탐지, 취약점 결과를 Workflow 시스템을 통해 조치를 통한 보안 이력 관리와 업무 실적 관리
     또한 부서,담당자별 IT자산에 대한 보안 수준을 제공 개선 사항 및 해결책을 제시

     

     

     

    APT 공격에 대한 Symantec 대응 전략
    Symantec Critical System Protection

     

    -. Critical System Protection 기능 요약

    •정책(Policy) 기반 보호
    •악용 / 악성 코드 방지
    •시스템 락 다운
    •사용자 권한 축소
    •폭넓은 OS 및 플랫폼 지원
    •파일 무결성 모니터링
    •호스트 기반 침입 탐지
    •외부저장매체 접속 방지

     

    -. Critical System Protection 동작원리

     

     

     

    -. Why SCSP?

     

     

    -. Symantec Critical System Protection
    기존의 탐지 기능 외 공격차단 및 시스템 통제 기능 강화

     

     

    -. SCSP와 SEP (Symantec Endpoint Protection) 비교

     

    -. SCSP Agent 사용 리소스

     

     

    -. Wide platform support
    •Windows NT– Server 2012
    •Solaris 8-11
    •SuSE Enterprise Server 8-11
    •RedHat EL 3 - 6
    •AIX, HP-UX, CentOS

     

    -. SCSP 상세 구조

     

     

    적용분야

    To make it less mysterious

    This one is controlling energy power plant

    …and this is how it looks like in real world…

     

    Another example
    30
    This one is making sure that you have the cash…

     

    -. 적용 분야
    31
    •ATM
    •POS
    •SCADA Industrial Control System (기간 시스템)
    •Manufacture Control System (제조라인 시스템)
    •Any other Mission Critical System

     

    -. SCSP Product 요약

    1. APT 공격으로 부터 다양한 OS를 보호

    2. 가상화 환경의 호스트 및 게스트 시스템을 보호

    3. Windows NT 4 와 2000 시스템과 같은 EOL된 제품 보호

    4. 크리티컬 서버의 PCI 컴프라이언스 요구사항을 충족

     

    별첨. 3.20 대란 – SCSP의 악성코드 차단 예시

    -. 별첨. 3.20 전산망 대란

     

     

    -. SCSP를 통한 악성코드 차단

     

     

    - Situation1. 악성코드 Drop
    36
    파일복사 차단 - 등록되지 않은 파일 복사시 SCSP Agent에서 차단한 로그
    [Manager - 관리자] 화면

     

     

     

    - Situation2. 악성코드 Execute
    37
    파일실행 차단 - 등록되지 않은 파일 실행시 SCSP Agent에서 차단한 로그
    [Manager - 관리자] 화면

     

     

    - Situation2. 악성코드 Execute
    38
    파일실행 차단 - 등록되지 않은 파일 실행시 SCSP Agent에서 차단한 로그
    [Agent – 대상서버] 화면

     

     

     

    - Situation3. 정상파일 변조
    39
    파일변조 차단 – 확장자 및 정의한 파일에 대한 변조시 SCSP Agent에서 차단한 로그
    [Manager - 관리자] 화면

     

     

    전석준 | 기업영업부
    Email: sjjun@impl.co.kr | Phone: 02 501 0223 | Direct: 070 8796 7538 | Mobile: 010 3287 4003 | Fax: 02 6937 0223

    Software & Solution News: www.mplsoft.co.kr

     

     

    Posted by 엠플 (주)엠플

    APT 의 정의
    APT 공격에 대한 이해 및 차단 전략
    2
    Advanced persistent threat
    A : IT 인프라와 관련된 다양한 기술들을 이용
    P : 목적 달성할때까지 지속적 공격
    T : 자동화된 툴을 사용하는 것이 아닌 표적 분석을 통한 다양한 공격 시도

     

    APT 공격의 특징

    APT 공격은 주요 공격수단으로 표적공격을 이용하며, 이밖에 드라이브바이다운로드(Drive-by-downloads), SQL 인젝션, 악성코드, 피싱, 스팸 등 다양한 공격기법들을 종합적으로 이용한다

    1.공격대상만을 위한 고도의 맞춤형 툴과 제로데이 취약점, 루트킷 기법 등의 침입 기술을 사용한다.
    2.보안 탐지를 회피하기 위해 은밀히 잠복한 상태에서 지속적으로 공격을 가한다.
    3.주요 목적은 군사, 정치, 경제 분야의 국가 기밀정보를 수집하기 위함이다.
    4.공격에 동원되는 제로데이 취약점이나 루트킷 기법 등은 충분한 자금과 인력 지원을 필요로 한다는 점으로 미루어 볼 때 APT 공격은 군 또는 국가 정보기관의 지원을 받는 것으로 보인다.
    5.일반 기업체가 아닌 정부기관, 방산업체, 글로벌 제조업체, 국가 핵심 기간산업 운용업체 및 관련 협력사 등 전략적으로 중요한 기관을 표적으로 삼을 가능성이 크다.

     

    -. APT(Advanced Persistent Threat) Attack (1/3)

    초기감염경로

    Spear Phishing - 관심 있는 사람에게 E메일을 보냄.

    Watering Hole attack - 공격대상이 좋아할 만한 웹사이트를 먼저 감염시킨 후 , 그들이 올 때까지 기다림.

     

    - APT Attack (2/3) - Spear Phishing 동작 원리

     

     

     

    - APT Attack (3/3) – Watering Hole Attack 동작 원리

     

     

     

    APT 의 공격 프로세스

     

    1. 침투

    공격자가 취약한 시스템이나 직원들을 악성코드로 감염시켜 네트워크 내부로 침투.

    2. 검색

    침투한 내부 시스템 및 인프라 구조에 대한 정보를 수집한 후 다음 단계를 계획.

    3. 수집

    보호되지안흔 시스템상의 데이터 수집 또는 시스템 운영방해.

    4.유출

    공격자의 근거지로 데이터 전송 시스템 운영 방해 또는 장비 파괴.

     

    -공격방법

    소셜 엔지니어링 , 제로데이 취약점 , SQL인젝션

     

    APT 공격에 대한 보호 방안

     

    APT 공격에 대한 symantec 대응 전략.

     

    SWG, SMG

    -악성코드 유입 경로인 Web 접근시 악성 URL 접근 차단 및 모니터링
    -Malware 다운로드 시 백신엔진과 평판기능을 통한 차단 및 모니터링
    -좀비PC 감염 탐지 및 C&C 서버와의 통신 차단
    -악성코드, 악의적 URL이 첨부된 메일에 대한 차단

     

    SEP

    -취약점을 이용한 네트웍 공격시 IPS 기능을 이용한 차단
    -파일 다운로드 및 검사시 평판 기능을 이용한 차단
    -파일 PC 저장 시 시그니쳐 및 휴리스틱 기반의 바이러스 차단
    -파일이 실행될 때 행위 기반의 분석을 통한 탐지 및 차단

     

    CSP

    -허용되지 않은 변경 방지
    -등록되지 않은 프로세스/파일/레지스트리에 대한 실행 통제,
    -확장자 및 정의한 파일에 대한 파일 변조 차단

     

    CCS

    -취약점을 이용한 공격 예방을 위한 사전 점검
    -위험에 대한 가시성 확보
    -위험 분석을 통한 대응 우선순위 결정

     

    SEP 인사이트

     

     

    3세대 안티바이러스 솔루션

     

     

     

     

     

     

     

    APT 공격에 대한 SYMANTEC 대응전략

    Web gateway

    강력한 symantec web gateway 보호기술

     

     

     

    Malicious Activity Assessment

     

     

    Symantec Web Gateway 어플라이언스

     

     

     

    진단결과

     

     

    봇넷 감염 PC 상세정보 (1) – 203.252.197.149

     

     

    클라이언트 어플리케이션 보고서 (상세)

     

     

    바이러스 다운로드

    - 기간 내 총 1,246 건의 바이러스 다운로드 탐지

     

    APT 공격의 효율적인 대응 방안

     

     

     

    전석준 | 기업영업부
    Email: sjjun@impl.co.kr | Phone: 02 501 0223 | Direct: 070 8796 7538 | Mobile: 010 3287 4003 | Fax: 02 6937 0223

    Software & Solution News: www.mplsoft.co.kr

     

    Posted by 엠플 (주)엠플

    사내에서 각 시스템의 사용자 이름과 비밀 번호를 AD(Active Directory)를 사용하여 관리하지 않거나, 각 시스템의 사용자 이름과 비밀 번호를 별도의 DB에서 관리하지 않는 사업장은 프로그램을 자동으로 배포하기 힘듭니다.

     

    또한 시스템의 사용자 이름과 비밀 번호를 별도의 DB에 저장한 경우에도 비밀 번호 변경에 대한 업데이트가 이루어지지 않으면 해당 DB를 배포에 사용하기도 힘들구요.

    이러한 경우 일반적으로 사용되는 방법은 메일이나 인트라넷으로 공지하여 사용자가 직접 설치하도록 하는 방법과 HTTP 리디렉션을 통해 강제 배포하는 방법이 있습니다.

    Octopus 2.1HTTP 리디렉션을 통한 강제 배포 방식을 사용하여 쉽고 빠르게 소프트웨어 배포를 할 수 있습니다.

     

    주요 기능

    - HTTP 리디렉션을 통한 강제 배포

    - ALtiris/SEP 외 다양한 제품 배포

    - Windows OS의 다양한 인터넷 브라우저에서 사용 가능

    - 특정 목적지 IP 차단 해제

    - 웹 기반 관리 UI

    - 다양한 예외 설정 파일

    - 다양한 OS 지원

    - DHCP에 의한 IP 변경 지원

    지원 OS

    - Windows XP 32비트

    - Windows 7 32비트

    - Windows 7 64비트

    - Mac OS X(Bypass)

          - Red Hat Enterprise Linux(Bypass)

          기타

    - Windows 7에서 사용할땐 UAC OFF로 설정해야 합니다.

    Posted by 엠플 (주)엠플

    Exchange 2007 --> Exchange 2010 으로 마이그레이션 진행 경우

    EV 사용자 및 데이터에서 필요한 사항

    EV 서버에서 Exchange 2010 서버를 추가하여

    기존 EV 사용자들이 Exchange 2010 으로 이동되더라도 아카이브가 되도록 하기 위한 작업

    이때 기존과 동일하게 Exchange 2010 에 접근하기 위한 Systemmailbox 계정이 필요합니다.

    (아래 샘플은 Exchange 2007, 2010 이 EV 서버에 등록된 화면입니다.)

    clip_image001

    위 작업에서 정상 등록이 되었다면 Task Service 가 정상 작동함을 알 수 있습니다.

    (혹시 신규 Exchange 2010 서버의 권한 문제로 서비스가 Fail 되는 경우가 있습니다.

    이럴 경우 EV Exchange 권한 스크립트를 이용하여 권한 할당을 해주면 됩니다.)

    clip_image002

    실제 Exchange 사용자를 넘기는 작업 예를 진행하여 실제 EV 데이터 정상 연결이 되는지 테스트

    Exchange 2010 에서 evtest2 사용자를 Exchange 2007 에서 Exchange 2010 으로 이동합니다.

    clip_image003

    clip_image004

    Exchange 2010 OWA 에서 Exchange 2007 에서 이동된 evtest2 사용자로 로그인하여

    기존 EV 데이터 접근 및 신규 아카이브 테스트를 아래와 같이 체크합니다.

    1. OWA 접속하여 Exchange 2007 에서 저장된 EV 데이터 접근 테스트

    clip_image005

    정상 원본 데이터 연결 체크 완료

    clip_image006

    1. Exchange 2010 에 등록된 evtest2 사용자를 통하여 아카이브 테스트

    clip_image007

    아래와 같이 정상 아카이브가 완료 된것을 확인 할 수 있음

    clip_image008

    검색을 통해서도 정상 아카이브된 메일을 확인 할 수 있음

    clip_image009

    Posted by 엠플 (주)엠플

    USB DVD 연결했을 자동으로 실행되도록 돕는 프로그램인 ‘Autorun’ 예전부터 악성코드에 많이 활용되는 파일입니다.

    일례로, 중동의 핵시설에 침입했던 악명높은 악성코드스턱스넷 경우도 USB 자동실행 파일을 통해 폐쇄망에 침입하였을 정도로 기업의 보안담당자는 'Autorun'에 대한 대응방안을 명확히 숙지하고 있어야 합니다.

      

    'Autorun'을 이용한 해킹은 USB PC 연결하면, 자동실행 파일을 통해 악성코드가 실행되고 패치되지 않은 PC 감염시켜 좀비PC로 만듭니다.

    Autorun.inf 모듈을 이용해 자동실행이 가능한 클라이언트에서는 사용자가 예측하지 못하는 보안 위협에 노출될 수 있으며, 

    실제 악성코드가 포함된 USB 연구소나 기업의 주변에 버린뒤 해당 회사 직원의 습득과 사용을 통해 악성코드가 전산망에 침투한 사례도 기사화된적이 있었습니다.

    악성코드는 USB뿐만아니라 네트워크를 통해 다른 PC 감염시킬 있으며, 현재 관련 악성코드가 페이스북을 통해서도 확산되고 있다고 합니다.

     

    Symantec Endpoint Protection에서는매체제어응용프로그램제어기능을 통해 이러한 'Autorun' 사전에 차단 가능합니다.

    응용프로그램 규칙에 ‘Autorun.inf 액세스차단항목이 따로 존재하여, 관련 정책을 클라이언트에 적용할 경우,

    모든 클라이언트에서 자동실행 파일이 실행될 없도록 보안정책을 설정할 수 있습니다.

    또한 매체장치와 응용프로그램에 대한 권한을 그룹마다 설정하는 것이 가능하여 그룹권한에 따라 보안을 강화할 수도 있습니다.

     

    <참조: SEP 12.1-응용프로그램 및 장치제어 정책 UI>

    Posted by 엠플 (주)엠플

    Symantec DLP Agent 그룹핑 설정 가이드

     

    DLP 에서는 DC 서버의 LDAP 통신을 통하여 해당 OU 정보를 가져오게 된다.

    이때 아래와 같이 DC 서버와 연결을 하기 위한 정보를 입력해야 하며

    형식 및 간단한 구성 테스트는 아래 내용을 참고하면 된다.

     

    <DLP 관리콘솔에서 구성 정보 입력 샘플>

    image

     

    기본 DN 항목은 아래와 같이 CMD 화면에서 dsquery ou 를 입력하면

    아래와 같이 정보를 확인 할 수 있으며

    기본 DN : DC=impl,DC=co,DC=kr

    과 같은 형식으로 입력하면 된다.

    clip_image002[4]

     

    그러나 DLP 와 DC 가 같은 네트워크 or 라우팅 구간의 문제가 있을 경우에는 인증이 되지 않는데

    이때 telent 명령어와 389 포트 체크를 통해 해당 원인을 찾을 수 있다.

    <DC 서버에서 LDAP 389 테스트 결과 - 정상>

    image

    <DLP 서버에서 DC 서버에 389 연결 테스트 결과 - 비정상>

    image

    위와 같은 경우는 DC 는 문제 없으나

    DLP 서버에서 DC 연결과정에 389포트가 막힌 현상이다.

    (DC 방화벽, 네트워크 구간 체크 필요한 상황)

    위 문제를 해결하면 간단하게 LDAP 연동이 가능하다.

    Posted by 엠플 (주)엠플
    TAG Ad, DC, DLP, group, LDAP, Symantec

    Symantec DLO 실시간 백업 후 복원 가이드

    공통조건

    클라이언트 원본 데이터

    조건1 : remove.txt 파일은 존재했으나 삭제되었음

    조건2: 새텍스트문서.txt 존재

    (텍스트 파일 내용을 111,222,333 으로 각각 나누어 3번 저장했음)

    1. DLO 중앙관리콘솔을 이용한 복원 방법

    DLO 서버에서 해당 폴더에 대한 데이터 조회

    (빨간색 X 표시는 클라이언트에서는 삭제되었으나 중앙서버에만 존재하는 경우를 표시

    그외 파일별 버전관리가 최대 3개까지 되는것을 확인 할 수 있음)

    복원하고자 하는 파일을 선택 후 복원하면 사용자 PC 에 복원이 됩니다.

    복원 시 옵션을 통해 원래 클라이언트 PC 이외 다른 PC 에도 복원이 가능합니다.

    복원 완료된 화면

    삭제되었던 remove.txt 파일을 복구 결과

    1. DLO 클라이언트에서 복원 방법

    사용자 DLO 에이전트를 통해서도 백업 데이터를 복원 할 수 있습니다.

    물론 해당 권한이 중앙관리서버로부터 부여 받아야 가능합니다.

    복원 시나리오

    새텍스트문서에 대해 2번째 저장되었던 버전으로 복원합니다.

    (111,222,333으로 3번 저장되었는데 222까지 저장되었던 버전으로 복원합니다.)

    <현재 클라이언트 버전>

    <클라이언트 DLO 콘솔에서 2번째 TXT 버전 선택하여 복원 실행>

    현재 데이터가 존재하므로 덮어쓰기 옵션 지정(대체 드라이브로 복원도 가능)

    <실제 복원 결과>

    2번째 저장되었던 버전으로 복원되었음을 확인 할 수 있음

    Posted by 엠플 (주)엠플

    Symantec DLO 의 백업은 다음과 같은 옵션을 가집니다.

    Symantec 에서 제공하는 기본 백업 항목

    위 항목이외 특정 드라이브 or 폴더등을 백업 하고 싶다면 추가 항목을 통해 가능합니다.

    물론 수동으로 폴더 or 파일을 백업 항목 지정 후 예외 처리도 지정이 가능합니다.

    (예외처리는 사용자 제외 항목과 전역 설정으로 나뉘어집니다.)

    백업 대상이 지정되었다면 아래와 같이 백업에 대한 일정을 지정할 수 있습니다.

    일반적으로 XP 이상은 보통 NTFS 파일 시스템을 이용하므로 아래와 같이

    파일이 변경될 때마다 실시간으로 클라이언트와 서버간의 싱크가 이루어집니다.

    (NTFS 가 아닌 경우, 또한 실시간 싱크가 부담된다면 특정 스케줄에 따라도

    지정이 가능합니다.)

    리비전 제어(파일 버전관리)를 아래와 같은 옵션을 통해 지정이 가능합니다.

    기본 옵션으로 파일이 변경된 마지막 버전 3개가 유지되도록 구성되어 있습니다.

    (또한 사용자가 파일을 지우더라도 특정 기간동안 서버에 삭제본을 보관도 가능합니다.)

    Posted by 엠플 (주)엠플

     

    Symantec DLO 기본 화면 안내

    설정화면

    1. 사용자 프로필을 이용하여 백업대상 컴퓨터에 폴더 파일 지정이 가능합니다.

    2. Agent 권한 설정

    3. 네트워크 트래픽 설정

    4. 백업 데이터 보관주기, 버전관리, 삭제보관주기 등을 조정 가능합니다.

    clip_image001

    특정 디스크에 모든 실시간 백업 구성이 가능하며, 이때 불필요한 시스템파일 및 기타

    폴더 or 파일은 예외 처리 가능합니다.

    clip_image002clip_image003

    복원 메뉴 화면

    사용자 프로필에 따라 컴퓨터에 Agent 와 사용자등록이 정상 등록되어 있다면

    아래와 같이 백업 현황을 실시간으로 확인 가능합니다.

    clip_image004

    (파일의 빨간색 X 는 사용자 PC 에서 삭제된 파일이나 서버에서는 보관을 하고 있는 것을 의미하며

    리비전은 파일 버전관리를 의미합니다.이 화면에서 원하는 파일 or 폴더를 선택하여 바로 복원이 가능합니다.)

    보고서 화면

    아래와 같이 기본 보고서 샘플이 구성되어 있습니다.

    샘플로 사용자당 저장소 소비 레포트를 추출하였습니다.

    clip_image006

    클라이언트 기본 복원 메뉴 (모든 권한은 중앙에서 변경 가능합니다.)

    Agent 가 설치되면 아래와 같이 트레이화면에 DLO 아이콘을 볼 수 있습니다.

    clip_image008

    서버에 복원 설정의 복원리스트와 동일한 파일&폴더가 표시되며

    복원 or 열기 or 검색이 가능함을 알 수 있습니다.

    clip_image009

    Posted by 엠플 (주)엠플

    시만텍 Ghost Cast Server를 이용하여 네트워크 작업 시, 배포속도가 저하되거나 작업이 멈추는 현상들이 간혹 발생할 수 있습니다.

    어떻게 하면, 끊김 현상없이 빠르고 안정적인 속도로 배포작업을 할 수 있는지 체크해볼 수 있는 가이드를 올립니다.

     

    기본적인 체크 사항

    Multi Client에 배포작업을 하므로, 기본적으로 스위치 IGMP는 활성화가 되어 있어야 하며, Cast Server에서 배포 Mode MultiCast Mode로 설정되어 있어야 합니다.

     

    배포 Mode는 UniCast와 MultiCast Mode로 되어 있는데, 1~4대의 클라이언트 PC를 연결하여 작업한다면 UniCast Mode로 작업하면 되며, 5대 이상일 경우 MultiCast Mode로 설정을 해야 합니다.

     

    작업속도를 향상 시키는 방법 

    이미징 제작시 압축률에 따라서 복원속도가 향상될 수 있습니다.

    이미지 OS XP이며, 압축 옵션은 아래와 같이 설정할 수 있습니다.

    Ghost.exe -Zn

    - Z defaults to level 1

    - 1 = Fast. This is the lowest compression level, and the fastest transfer rate (apart from no compression)

    - 2 = High compression

    - 3 to 9 = Highest compression level and slowest transfer rate

    압축레벨

    이미지 사이즈(MB)

    백업시간

    복원시간

    압축률

    None (base)

    1,065

    5분 27초

    9분 4초

    100

    Fast (low)

    725

    5분 4초

    7분 29초

    68

    High

    620

    7분 57초

    8분 6초

    58

    Very high

    600

    12분 49초

    7분 59초

    56

    *참고링크: http://www.symantec.com/business/support/index?page=content&id=TECH106775&locale=en_US

     

    Throttling 옵션을 최대치로 설정

    참고링크: http://www.symantec.com/business/support/index?page=content&id=TECH107981

     

    스위치의 duplex mode값 체크(링크는 3com 제품 기준입니다.)

    *참고링크: http://www.symantec.com/business/support/index?page=content&id=TECH106755&locale=en_US

     

    Ghost Cast Server 옵션 중Slowfile Buffersize 설정값 체크

    *참고링크: http://www.symantec.com/business/support/index?page=content&id=TECH106819&locale=en_US

     

    작업 중 Session 끊기는 문제

    Ghost Cast Server의 메인보드에 장착되어 있는 NIC를 사용하고 있다면 비활성화 시키고 별도 NIC을 장착해서 작업을 진행해보십시요.

    그리고 클라이언트 PC NIC Dual이라면, 1개는 삭제시켜야 합니다. Ghost Dual NIC를 지원하지 않기 때문입니다.

    *참고링크: http://www.symantec.com/business/support/index?page=content&id=TECH108616&locale=en_US

     

    Posted by 엠플 (주)엠플

    최근 메일로 인한 데이터 유출 사고가 많아지고 있습니다.

    이에 따른 메일 보안이 중요시되고 있으며 이에 가장 기본이 되는 메일 보존

    즉, 메일 저널링 기능을 안내 드립니다.

    저널링 기능이란?

    메일 사용자들의 모든 메일을 특정 관리자 계정으로 모두 저장시키는 기능입니다.

    여기에 저장된 메일을 추후 감사하여 문제 발생 원인을 찾을 수 있습니다.

    Exchange 2010 저널링 기능 소개

    clip_image001

    Standard Ver. 메일 데이터베이스 기준으로만 저널링 기능 활성화 가능

    EnterPrise Ver. 메일 데이터베이스 or 사용자 기준으로 저널링 기능 활성화 가능

    문제점 : 저널링이 기능 활성화 시 모든 메일 데이터가 특정 계정으로 저장되므로

    저너링 메일을 저장할 공간을 비롯한 2배의 메일 박스의 공간이 필요

    또한 검색 기능이 단순 제목, 본문 검색만 지원으로 대량의 데이터 검색 시 비효율

    대안 : Symantec Enterprise Vault

    1. 스토리지 효율성 증대

    Symatec EV 에서는 Exchange 의 모든 메일을 아카이브하여 저장가능

    단순 저장이 아닌 압축 및 중복제거(SIS)를 함으로 스토리지 효율성 증가

    (일반적으로 중복제거 시 약 70~80% 이상의 중복 제거율을 가짐)

    1. 검색 기능 강화

    메일 제목, 본문 이외 첨부파일 내용까지도 검색을 지원

    또한 별도의 인덱스 서버를 운영하여 기존 메일 서버에 부하 없음

    1. Compliance Report 검증

    실제 메일 보안 사고 발생 시 바로 법적 데이터 자료 Report 지원

    (미국 연방법원에서 검증)

    Posted by 엠플 (주)엠플

    Exchange Publc Folder (공용폴더) 사이즈 이슈

    Exchange 공용폴더를 통하여 회사 및 팀, 개인의 메일을 공유할 수 있습니다.

    다만 많은 메일 or 게시물을 이용할 경우 공용폴더에 대한 용량도 무시할 수 없게 됩니다.

    이런 경우에 EV 아카이빙 기능 중 공용폴더 아카이빙 기능을 이용하면 용량 문제에 대한

    고민을 해결할 수 있습니다.

    또한 Exchange 서버에 공용폴더 사이즈가 실제로 삭제되어 Exchange 서버의 성능 효율 또한

    올릴 수 있는 방법이기도 합니다.

    Symantec EV(EnterPriseVault) 를 통한 공용폴더 아카이빙 정책

    clip_image001

    정책 구성 예

    1. Young Item : 1일이 지나지 않은 메일은 아카이빙 하지 않음
    1. Large Item : 공용폴더 게시물 사이즈가 1M 이상일 경우 아카이빙
    1. All items older than : 공용폴더 게시물이 2일 이상 지나면 아카이빙

    실제 Exchange 공용폴더 적용 예

    1. OWA 화면

    clip_image002

    1. Outlook 화면

    clip_image003

    Posted by 엠플 (주)엠플

    목적

    특정 계정(대표 계정)의 메일 보관(삭제 불가능 옵션 가능)및

    여러 사용자들이 메일을 검색 할 수 있는 기능 필요

    구현

    Symantec EV(Enterprise Vault)를 통한 메일 아카이브를 통하여 메일을 보관하고

    아카이브된 메일을 필요한 유저들에게 공유

    공유된 아카이브 메일은 OWA, Outlook 을 통하여 검색 및 뷰 가능

    데모 시스템 구축

    필요한 계정 생성

    Evadmin

    Evsystem1

    Evowa

    Evowa2

    Evtest1

    Evtest2

    • EV 서버 구축

    IP : XXX.XXX.XXX.XXX

    • Exchange CAS 1ea 서버에 EV OWA 확장팩 설치

    IP : 192.168.100.13

    데모

    Exchange CAS 서버 http://XXX.XXX.XXX.XXX/owa 로 접속

    EV 활성화 계정 evtest1  으로 연결

    • OWA(evtest1) 접속 후 기본 화면

    clip_image001

    • 아카이브 탐색기

    clip_image002

    (아카이브 탐색기는 사용자 Exchange 폴더 구조 기반으로 아카이브 된 메일을 보여줍니다.)

    • 아카이브 검색

    clip_image003

    (아카이브 검색은 사용자의 모든 아카이브 메일 대상으로 검색을 할 수 있는 옵션입니다.

    검색 시 메일제목, 본문, 첨부파일이름, 첨부파일 내용 검색까지 가능합니다. )

    • 아카이브 메일 공유

    EV 솔루션 관리 콘솔에서 아카이브 메일 공유 기능 지원

    clip_image004

    (위와 같이 evtest1, evtest2 계정의 아카이브 메일을 모두 검색 할 수 있음)

    • PST Import, Export 기능 지원

    PST 파일로 보관하고 있는 메일데이터를 EV 서버에

    바로 업로드하여 여러 사용자들이 Outlook, OWA 아카이브 메뉴를 통하여 공유 가능 합니다.

    <PST Import 예시>

    clip_image005

    <PST Export 예시>

    clip_image006

    Posted by 엠플 (주)엠플