본문 바로가기
개발/클라우드

클라우드 보안 - 지능형 클라우드 보안 기술 : CROWDSTRIKE(2)

by 컴쏘 2023. 8. 6.
728x90

CROWDSTRIKE

CrowdStrike는 오프라인 또는 온라인으로 작업하면서 엔드포인트에서 실행하려는 파일을 분석한다. 이 작업은 다음을 사용하여 수행한다.

  • 사전 정의된 예방 해시
    • 사전 정의된 예방 해시는 양호 또는 불량으로 알려진 SHA256 해시의 목록
    • 정의된 해시를 차단 안 함 또는 항상 차단으로 표시 가능
      • 차단 안 함으로 정의되는 SHA256 해시는 내부 LOB(Line of Business) 애플리케이션을 위해 이전 안티바이러스 솔루션에서 가져온 항목의 목록일 수 있음. 내부 애플리케이션에 대해 사전 정의된 예방 해시의 목록을 가져오는 것이 사용자 환경에서 알려진 양호한 파일을 허용 목록에 추가하는 가장 빠른 방법
      • 항상 차단으로 정의된 SHA256 해시는 사용자 환경에서 이전에 확인했거나 신뢰할 수 있는 타사에서 제공한 알려진 악성 해시의 목록
    • 예방 해시는 일괄 업로드할 필요가 없으며, 수동으로 정의된 SHA256 해시를 설정할 수 있음. 단일 해시 또는 다중 해시가 제공되는 경우 CrowdStrike 백엔드에서 이러한 해시의 모든 세부 정보를 요청. 해당 해시의 보조 정보(예: 파일 이름, 공급업체 정보, 파일 버전 번호)가 디바이스의 사용자 환경에 존재하는 경우 사용자 환경 정보를 기반으로 채워짐.
  • 공격 행동 지표
    • 동작에 기반하여 공격으로 정의된 모든 항목은 일반적으로 머신 러닝 값을 기반으로 표시됨.
      • 이는 Sensor 또는 클라우드에 설정
    • CrowdStrike의 Falcon 플랫폼은 머신 러닝 모델을 통해 위협을 식별하는 2단계 프로세스를 활용
      • 이 프로세스는 먼저 엔드포인트의 잠재적 위협에 즉시 대응하기 위해 로컬 엔드포인트에서 수행
      • 그런 다음 추가 분석을 위해 이 위협을 클라우드로 전송
      • 장치에 정의된 예방 정책에 따라서는, 클라우드 분석이 로컬 Sensor의 위협 분석과 다른 경우, 엔드포인트에 추가 조치가 필요할 수 있음
  • 알려진 맬웨어
    • CrowdStrike의 중앙 집중식 인텔리전스는 전 세계적으로 운영되는 위협 및 공격자에 대한 다양한 정보를 제공
      • 이 목록은 이미 식별된 위협에 대한 보호 방법을 만드는 데 활용됨
  • 익스플로잇 차단
    • 다양한 취약점이 환경에서 언제든지 활성화될 수 있음
    • 환경에 영향을 미치는 알려진 취약성에 대해 중요한 패치가 아직 배포되지 않은 경우, CrowdStrike는 해당 취약점에 대한 악용을 모니터링하며, 이러한 악용을 통한 악의적 행동을 방지하여 환경을 보호

[참고 글] : CrowdStrike란 무엇입니까? | Dell 대한민국

 

Container Security with CrowdStrike

컨테이너, 마이크로서비스 및 Kubernetes의 채택과 함께 가시성 저하, 비효율적인 취약성 관리 및 부적절한 런타임 보호와 같은 위험이 증가

 

CrowdStrike

  • CI/CD 파이프라인 전체에 보안 범위를 제공하고 클라우드 네이티브 애플리케이션을 위한 완벽한 보안을 제공하여 클라우드 위험을 지속적으로 관리
  • 사전 예방적으로 컨테이너를 평가함으로써 배포되기 전에 모든 취약성, 내장된 맬웨어, 저장된 비밀 또는 CIS 벤치마크 권장 사항을 식별 가능
    • 이미지가 배포되기 전에 CrowdStrike는 이미지를 분석하고 존재할 수 있는 보안 문제를 표시

Dashboard

대시보드는 CVE 심각도별 취약성 및 가장 취약한 5개의 이미지와 같은 고가치 데이터를 보여줌

 

  • 배포 전에 컨테이너가 안전한지 확인하는 것 외에도 지속적인 탐지 및 예방을 제공하여 능동적 공격을 중지하는 런타임 보호를 지원
    • 컨테이너가 실행되는 동안 위협을 탐지하고 방지
    • 기본 운영 체제에 응용 프로그램을 설치할 수 있는 시스템의 경우 Falcon Sensor를 설치하여 기본 OS와 그 위에서 실행되는 모든 컨테이너를 보호할 수 있음
    • AWS Fargate와 같은 서버리스 컨테이너 환경과 같이 기본 OS가 잠겨 있는 상황의 경우 CrowdStrike는 보안을 제공하기 위해 팟 내에서 단일 Falcon 컨테이너만 필요한 모든 Kubernetes 배포와 함께 작동하는 솔루션을 설계
    이러한 접근 방식을 통해 Falcon Container는 관련 Kubernetes 메타데이터와 연결하면서 프로세스, 파일 및 네트워크 정보를 포함한 완전한 활동 가시성을 제공

 

[참고 글] : Container Security with CrowdStrike

728x90
저작자표시 비영리 변경금지

'개발 > 클라우드' 카테고리의 다른 글

웹 방화벽 (WAF)  (0) 2023.09.03
클라우드 보안 - 지능형 클라우드 보안 기술 : CSBAuditor  (0) 2023.08.06
클라우드 보안 - 지능형 클라우드 보안 기술 : CROWDSTRIKE  (0) 2023.07.31
클라우드 보안 - Advanced 클라우드 보안  (0) 2023.07.31
클라우드 보안 - 대표적 기술 : 접근제어/권한제어  (0) 2023.07.31

관련글

티스토리툴바