Cisco Email Security: CASE(Context Adaptive Scanning Engine) 이해

소개

혼합형 위협의 양이 크게 증가했습니다. 지난 2년간 가장 심각한 바이러스 침투 사례 중 상당수는 스팸 전달과 관련이 있습니다. 즉, 바이러스 페이로드를 통해 스팸, 피싱, 스파이웨어 및 더 많은 바이러스를 전송하는 데 사용되는 "좀비" 컴퓨터의 군대가 생성됩니다. 이메일 기반 스파이웨어는 6개월마다 두 배로 증가했으며, 스팸 URL에서 사용자 이름과 비밀번호를 도용하는 "키로거"를 설치하는 경우도 드물지 않습니다. 바이러스는 심지어 Mydoom.B 변종이 SCO 웹사이트를 공동 공격으로 오프라인 상태로 전환했을 때와 같은 대규모 분산 서비스 거부 공격을 실행하기 위해 좀비 네트워크를 생성하는 데 사용할 수 있습니다.

복합적인 위협이 급증하는 이유는 무엇입니까? 간단히 말해, 돈입니다. 1세대 안티스팸 기술(예: 블랙리스트 및 콘텐츠 필터)이 더 널리 보급됨에 따라, 기존의 방법(예: 메시지 텍스트에 "오퍼"가 포함된 고정된 서버 뱅크에서 스팸 전송)은 수익성이 낮아졌습니다. 안티스팸 기술을 사용하는 네트워크가 많아지면서 "간단한" 스팸 메시지가 줄어 스팸 필터를 지나 수신자의 받은 편지함에 도착하게 됩니다. 이로 인해 스패머의 이윤이 손상되고 이러한 변화에 적응할 수 밖에 없었습니다. 

스팸 발송자는 두 가지 방법으로 이 상황을 처리했습니다. 

1. 그들은 그들이 배송률에서 잃는 것이, 그들이 양적으로 메울 것이라는 희망으로 더 많은 스팸을 보내고 있습니다.
2. 이들은 메시지를 위장하고 메시지당 수익을 늘리기 위해 복합적인 공격에 눈을 돌리고 있습니다.

두 번째 기법은 범죄행위가 되는 경우가 많다. 조직화된 범죄 네트워크는 공격을 실행하고 바이러스, 피싱 및 기타 위협으로부터 이익을 얻기 위해 구축되었습니다. 2004년 존 도버라는 개인이 200만 개가 넘는 신용카드 번호를 피싱 공격으로 거래하다 체포됐다.

복합 공격에 사용되는 기술도 점점 더 정교해지고 있습니다. The Break.N 바이러스는 이메일, 웹 다운로드, 트로이 목마, 좀비를 사용했습니다. 기존의 콘텐츠 분석 필터는 이러한 지능형 위협에 적합하지 않습니다. 1세대 안티스팸 필터의 많은 사용자는 필터를 "교육"하거나 새로운 규칙을 작성하는 데 더 많은 시간을 투자해야 한다는 사실을 알게 되었습니다. 그러나 이러한 노력에도 불구하고, 탐지율과 처리량은 모두 감소하고 있습니다. 그 결과, 부하를 따라잡는 데 더 많은 시스템이 필요한 반면 각 시스템을 관리하는 데 더 많은 관리 시간이 사용되므로 비용이 증가합니다. 

Cisco Email Security는 CASE(Context Adaptive Scanning Engine)라는 고유한 복합 위협 방어 기술로 이러한 위협을 해결했습니다. Cisco Email Security의 CASE 기술은 기존의 스팸과 정교한 좀비 기반 공격을 모두 차단하는 데 사용됩니다. 이와 동일한 검사 기술을 사용하여 단일 통합 검사를 통해 시그니처 가용성보다 최대 42시간 앞서 바이러스와 악성코드를 차단합니다.

케이스 이해, 상황별 혼합 위협 탐지

1세대 필터는 메시지의 내용을 보고 결정을 내리도록 설계되었다. 예를 들어 메시지에 "free"라는 단어가 "herbal"이라는 단어와 함께 두 번 이상 나타나면 스팸일 것입니다. 이러한 접근 방식은 스패머가 문자 대신 "f0r y0u"와 같은 숨겨진 문자나 숫자를 사용하여 쉽게 물리칠 수 있습니다. 베이지안 필터와 같은 2세대 기술은 스팸과 합법적인 이메일의 특성을 자동으로 구별하는 방법을 배움으로써 이러한 한계를 해결하려고 시도했습니다. 하지만 이 기술들은 훈련하기에 너무 어려웠고, 반응하기에 너무 늦었으며, 스캔하기에 너무 느리다는 것이 증명되었습니다. 

오늘날의 스팸에 사용되는 고급 난독화 기술을 고려할 때 최신 필터는 전체 컨텍스트에서 수신 메일을 검사해야 합니다. CASE는 사람이 사용하는 논리를 모방한 고급 기계 학습 기술을 사용하여 메시지의 합법성을 평가합니다. Cisco Email Security의 CASE 기술과 함께 한 인간 독자는 다음과 같은 네 가지 기본적인 질문을 합니다.

1. 누가 나한테 메시지를 보냈지?
2. 메시지에 있는 링크를 클릭하면 어디로 연결됩니까?
3. 메시지는 어떻게 구성되었습니까?
4. 메시지에 포함된 내용

다음은 각 논리적 영역을 평가한 검사입니다. 

누구요? 

앞에서 설명한 것처럼, 1세대 스팸 필터는 스팸을 식별하기 위해 주로 키워드 검색에 의존했습니다. 2003년에 Cisco(IronPort)는 평판 필터링 개념을 도입하여 이메일 보안 업계의 혁신을 일으켰습니다. 콘텐츠 필터링이 "메시지에 무엇이 포함되어 있습니까?"라는 질문을 하는 동안 평판 필터링은 "누가 메시지를 전송했습니까?"라는 질문을 합니다. 단순하지만 강력한 이 개념은 위협이 평가되는 상황을 넓혔습니다. 2005년까지 거의 모든 주요 상용 보안 벤더가 어떤 유형의 평판 시스템을 채택했습니다. 

평판 확인에는 지정된 발신자(발신자는 메일을 보내는 IP 주소로 정의됨)의 동작에 대한 광범위한 데이터 집합을 검사하는 작업이 포함됩니다. Cisco는 시간에 따른 이메일 볼륨, 이 IP에 의해 공격 받은 "스팸 트랩"의 수, 출처 국가, 호스트 손상 여부 등을 포함하여 120개 이상의 다양한 매개변수를 고려합니다. Cisco는 이 데이터를 처리하여 평판 점수를 생성하는 알고리즘을 개발하고 유지 관리하는 통계학자들로 구성된 팀을 운영하고 있습니다. 이 평판 점수는 수신 Cisco ESA(Email Security Appliance)에서 사용할 수 있게 되며, 이 ESA는 신뢰도를 기반으로 발신자의 요구를 충족할 수 있습니다. 간단히 말해, 발신자가 "스팸"을 많이 표시할수록 속도가 느려집니다. 평판 필터링은 또한 메시지가 수락되기 전에 연결을 거부하거나 제한하여 급증하는 이메일 볼륨과 관련된 문제를 해결하므로, 메일 시스템의 성능과 가용성이 크게 향상됩니다. Cisco ESA Reputation Filter는 수신 스팸의 80% 이상을 차단하며, 이는 경쟁사 시스템의 약 2배에 달하는 탐지율입니다.

어디요? 

2003년 이메일 콘텐츠 분석과 평판의 결합은 최첨단의 기술이었지만, 스패머와 바이러스 작가의 전술은 점점 더 정교해지고 있습니다. 이에 Cisco(IronPort)는 메시지를 평가하는 컨텍스트를 확대하기 위한 중요한 새 벡터인 웹 평판 개념을 도입했습니다. 이메일 평판을 계산할 때 사용하는 방식과 마찬가지로, Cisco Web Reputation에서는 45개 이상의 서버 관련 매개변수를 조사하여 지정된 URL의 평판을 평가합니다. 매개변수에는 시간 경과에 따른 URL에 대한 HTTP 요청 볼륨, URL이 평판 점수가 낮은 IP 주소에 호스팅되는지 여부, 이 URL이 알려진 "좀비"와 연결되었는지 또는 감염된 PC 호스트와 연결되었는지 여부, 그리고 URL이 사용하는 도메인 기간이 포함됩니다. 이메일 평판과 마찬가지로, 이 웹 평판은 세분화된 점수를 사용하여 측정됩니다. 이를 통해 시스템은 정교한 위협의 모호성을 처리할 수 있습니다.

어떻게? 

Cisco Email Security의 상황 분석에 대한 또 다른 새로운 접근 방식은 메시지의 구성을 조사하는 것입니다. Microsoft Outlook과 같은 합법적인 메일 클라이언트는 MIME 인코딩, HTML 또는 기타 유사한 방법을 사용하여 고유한 방식으로 메시지를 작성합니다. 메시지의 구성을 검토하는 것은 그것의 정당성에 대해 많은 것을 드러낼 수 있다. 가장 확실한 예는 스팸 서버가 합법적인 메일 클라이언트의 구성을 에뮬레이트하려고 할 때 발생합니다. 이는 어려운 작업이며, 불완전한 에뮬레이션은 불법적인 메시지의 신뢰할 수 있는 지표입니다. 

뭐? 

전체 상황 분석은 메시지의 내용을 고려해야 하지만, 앞에서 언급한 것처럼 콘텐츠 분석만으로는 불법적인 메일을 식별하는 데 충분하지 않습니다. Cisco Email Security의 CASE 기술은 최첨단 기계 학습 기술을 사용하여 전체 콘텐츠 분석을 수행합니다. 이러한 기법에서는 메시지의 내용을 검사하고 다양한 범주에서 점수를 매깁니다. 즉, 금전적인 내용입니까, 포르노적인 내용입니까, 아니면 다른 스팸과의 상관관계가 있는 것으로 알려진 내용이 포함되어 있습니까? 이 콘텐츠 분석은 다른 특성(누가, 어디서, 어떻게, 무엇을)과 함께 CASE에 반영되어 메시지의 전체 컨텍스트를 평가합니다.

적용 사례

CASE에서 분석하는 데이터의 폭 때문에 이 기술은 IronPort Anti-Spam(IPAS), 그레이메일, VOF(Virus Outbreak Filter) 등 다양한 보안 애플리케이션에 사용됩니다. 아래 예에는 CASE를 사용하여 스팸을 중지하는 방법이 나와 있습니다. 메시지의 내용이 피싱되는 조직과 거의 동일하기 때문에 메시지의 내용을 분석해도 어떤 위협도 식별되지 않습니다. 콘텐츠 기반 필터에 대해 이 메시지는 합법적인 통신으로 보입니다. 이 메시지가 스팸인지 여부를 확인하기 위해 주로 "무엇을"에 의존하는 필터는 메시지가 합법적인 것으로 인식하도록 쉽게 속아 넘어갈 수 있습니다. 그러나 메시지의 전체 컨텍스트를 분석하면 다른 그림이 그려집니다.

• 보내는 메일 서버의 IP 주소가 의심스럽습니다. 볼륨이 갑자기 급증했으며 도메인이 이에 대한 응답으로 메일을 받지 않습니다. 
• 이메일의 URL은 소비자 광대역 네트워크에 있는 것으로 보이는 서버를 가리킵니다. 
• 메시지에 광고된 URL은 사용자가 링크를 클릭할 때 탐색되는 "실제" URL과 다릅니다.

이러한 세 가지 요소를 모두 컨텍스트로 간주할 경우, 이는 합법적인 메시지가 아니라 스팸 공격임이 분명해집니다.

기존 "콘텐츠 필터" 필터 검색 내용	상황 적응형 스캐닝 CASE의 검색 결과
뭐라고요? 메시지 내용이 적법합니다.	뭐? 메시지 내용이 적법합니다.
	어떻게? 메시지 작성은 Microsoft Outlook 클라이언트를 에뮬레이션합니다.
	누구요? 1) 갑작스럽게 급증하는 이메일의 양 2) 대신 메일 서버는 메일을 받지 않습니다.  3) 우크라이나에 있는 메일 서버.
	어디요? 1) 하루 전에 등록된 표시 및 대상 URL 웹 사이트 도메인이 일치하지 않습니다. 2) 소비자 광대역 네트워크에서 호스팅되는 웹 사이트.  3) "Whois" 데이터는 도메인 소유자를 알려진 스패머로 표시합니다.
판정: 알 수 없음	판정: 차단

CASE를 신종 바이러스 필터에서 사용할 경우 별도로 조정된 데이터 세트에도 불구하고 동일한 점수 및 기계 학습 기능이 적용됩니다. Virus Outbreak Filter는 Cisco에서 제공하고 CASE 기술을 기반으로 하는 예방적 안티바이러스 솔루션입니다. Outbreak Filter 솔루션은 "실시간" Outbreak Rule(Cisco Talos의 특정 보안 침해에 의해 발급) 및 "상시 연결" 적응형 규칙(항상 CASE에 상주함) 모두에 대해 메시지를 검사하므로, 사용자가 완전히 형성되기 전에 보안 침해로부터 사용자를 보호합니다. CASE를 사용하면 Virus Outbreak Filter에서 여러 가지 방법으로 신종 바이러스를 정확하게 탐지하고 차단할 수 있습니다. 첫째, CASE는 첨부 파일의 파일 확장자, 파일 크기, 파일 이름, 파일 이름 키워드, 파일 매직(파일의 실제 확장자), 포함된 URL 등의 매개 변수를 기준으로 메시지를 빠르게 스캔할 수 있습니다. CASE 기술은 메시지를 이러한 수준의 세부사항으로 분석하기 때문에 Cisco Talos는 오탐을 최소화하면서 보안 침해로부터 정확하게 보호하는 매우 세분화된 보안 침해 규칙을 실행할 수 있습니다. CASE는 최신 보안 침해로부터 보호하도록 업데이트된 보안 침해 규칙을 동적으로 수신할 수 있습니다. 

CASE 기술은 Outbreak Rules 기반의 메시지 분석 외에도 Adaptive Rules 기반의 메시지 검사도 수행합니다. 적응형 규칙은 수신 메시지에서 바이러스를 나타내는 기형 및 스푸핑 특성을 검사하는 정밀하게 조정된 휴리스틱 및 알고리즘입니다. 이러한 매개변수 외에도 Adaptive Rules는 SBVS(SenderBase Virus Score)에 따라 메시지에 점수를 부여합니다. SBVS는 SBRS(SenderBase Reputation Score)와 비슷하지만 발신자가 스팸이 아닌 바이러스 이메일을 보낼 가능성에 따라 순위가 매겨지는 점수입니다. 대부분의 바이러스 이메일은 이전에 감염된 "좀비" 시스템에서 발송되므로 이러한 발신자를 식별하고 점수를 매기는 것이 바이러스를 잡는 데 있어 필수적인 요소입니다.

Cisco Email Security의 CASE 기술은 CASE가 다양한 방식으로 메시지를 검사하므로 Virus Outbreak Filter가 기존 안티바이러스 솔루션보다 먼저 바이러스 침투를 차단할 수 있습니다. 메시지 첨부, 메시지 내용, 메시지 구성의 다양한 특성을 분석할 수 있을 뿐만 아니라 발신자 평판을 기반으로 메시지를 분석할 수 있습니다. 또한 CASE는 IronPort Anti-Spam 및 Reputation Filters 엔진 역할을 하므로 이러한 모든 애플리케이션에 대해 메시지를 한 번만 스캔하면 됩니다.

고성능, 저렴한 비용

CASE 기술에 대한 논리는 매우 정교할 수 있으므로 CPU를 많이 사용하여 처리할 수 있습니다. 효율성을 극대화하기 위해 CASE는 고유한 "조기 종료" 기술을 사용합니다. 조기 종료는 CASE에 의해 처리된 무수한 규칙의 효율성을 우선시한다. CASE 기술은 가장 큰 영향과 가장 낮은 비용으로 규칙을 먼저 실행합니다. 통계적 판정(긍정 또는 부정)에 도달하면 추가 규칙이 실행되지 않으므로 시스템 리소스가 절약됩니다. 이 접근법의 우아함은 각 규칙의 효능을 잘 이해하는 것이다. CASE는 효율성 변화에 따라 규칙 실행 순서를 자동으로 모니터링하고 조정합니다.

CASE 기술은 기존 규칙 기반 필터보다 메시지를 약 100% 빠르게 처리합니다. 이는 대형 ISP와 대기업에 뚜렷한 장점이 있다. 하지만 중소기업에도 도움이 됩니다. CASE의 효율성과 Cisco Email Security의 AsyncOS 운영 체제의 효율성은 AsyncOS 및 CASE 기술이 적용된 ESA를 매우 저렴한 하드웨어에서 구현하여 자본 비용을 절감할 수 있음을 의미합니다. 

CASE 기술이 저비용으로 전환되는 또 다른 방법은 관리 오버헤드를 제거하는 것입니다. CASE는 매일 수천 번 자동으로 튜닝되고 업데이트됩니다. Cisco Talos는 교육을 받은 엔지니어, 다국어 기술자, 통계학자를 제공합니다. Cisco Talos 분석가는 Cisco Email Security 고객의 네트워크에서 탐지된 메일 흐름의 이상 현상 또는 글로벌 이메일 트래픽 패턴을 강조하는 특별한 툴을 보유하고 있습니다. Cisco Talos는 실시간으로 시스템에 자동으로 푸시되는 새 규칙을 생성합니다. 또한 Cisco Talos는 CASE에서 사용하는 다양한 규칙을 교육하는 데 사용되는 "스팸 및 햄"의 대규모 코퍼스를 보유하고 있습니다. 자동으로 업데이트된 CASE 규칙은 관리자가 필터를 조정하고 조정하거나 스팸 격리를 통과하느라 시간을 낭비할 필요가 없다는 것을 의미합니다.

요약

스팸, 바이러스, 악성코드, 스파이웨어, 서비스 거부 공격 및 디렉토리 수집 공격은 모두 동일한 기본 동기(수익)에 의해 주도됩니다. 이러한 수익은 상품의 판매 또는 광고 또는 정보의 도용을 통해 달성됩니다. 이러한 판매로 인한 수익으로 전문 엔지니어가 개발하는 더욱 정교한 공격이 늘어나고 있습니다. 고급 이메일 보안 시스템은 이러한 위협에 대응하기 위해 가능한 가장 광범위한 컨텍스트에서 메시지를 분석해야 합니다. Cisco Email Security의 Context Adaptive Scanning Engine 기술은 다음 4가지 기본 질문을 합니다. 누가, 어디서, 무엇을, 어떻게 혼합형 위협으로부터 합법적인 메시지를 가려낼 것인가. 

• "Who"는 메시지를 보낸 사람의 이메일 평판입니다. 
• "Where"는 링크를 통해 전달되는 경로를 분석하여 웹 사이트를 호스팅하는 소스의 평판입니다. 
• "무엇을"은 메시지의 내용, 즉 메시지에 포함된 내용을 분석하는 것입니다(1세대 시스템은 종종 "무엇을" 유형의 분석에만 의존함). 
• 마지막으로, "방법"은 메시지 작성 방법에 대한 분석입니다.

바이러스 침투, 피싱 공격, 이메일 기반 스파이웨어 또는 기타 이메일 위협을 방지하는 것처럼, 누가, 어디서, 무엇을, 어떻게 스팸을 차단하는 것이 효과적인지 분석하는 기본 프레임워크입니다. 데이터 세트 및 분석 규칙 세트는 각 위협에 맞게 조정됩니다. CASE 기술을 사용하면 Cisco ESA에서 단일 고성능 엔진에서 이러한 위협을 처리하여 가능한 최고의 효율성으로 가장 광범위한 위협을 차단할 수 있습니다.