NCP - Webshell behavior detector | AWS, GCP, Azure 비교

2024. 11. 29. 21:43·퍼블릭 클라우드 관련
목차
  1. 1) NCP - webshell behavior detector 개념
  2. 2) WebShell Behavior Detector의 특징
  3. 3) WebShell Behavior Detector가 제공하는 다양한 기능
  4. 4) Webshell Behavior Detector 에이전트 설치 및 실행
  5. 5) 다른 CSP의 웹쉘 탐지 보안기능 
반응형

안녕하세요

오늘은 NCP Webshell behavior detector에 관하여 알아보고 ,

다른 CSP의 비슷한 기능들에 대해서도 같이 확인해보겠습니다.

 

 

한줄평:
국산 벤더의 장점,  보안에 신경쓴것을 확인 할 수 있다.

1) NCP - webshell behavior detector 개념

WebShell Behavior Detector는 웹쉘 의심 행위를 실시간으로 탐지하여 빠르게 대응할 수 있도록 알림을 제공하는 서비스입니다.

 

 

2) WebShell Behavior Detector의 특징

WebShell Behavior Detector 서비스의 특징은 다음과 같습니다.

  • 강력한 탐지 기능: 웹쉘은 새로운 패턴과 유형, 난독화, 암호화 통신 등 탐지를 회피하기 위해 다양한 은폐 기술을 적용하여 탐지하기 매우 어려운 공격 중 하나입니다. WebShell Behavior Detector는 강력한 행위 기반 탐지 기법을 이용하여 이러한 은폐 기술을 모두 무력화시켜 기존의 웹쉘은 물론 새로운 유형의 웹쉘도 탐지할 수 있습니다.
  • 실시간 탐지 및 알림 발송: 일정 주기로 탐지하는 방식이 아닌 웹쉘 행위 발생 시 실시간으로 탐지하고 설정된 연락처로 알림을 발송하여 신속한 대응이 가능합니다. 알림 주기를 설정하여 과도한 알림을 방지할 수도 있습니다.
  • 간편한 설정: 기본적으로 설정된 규칙 외에도 사용자가 직접 예외 규칙을 설정할 수 있습니다. 세세한 설정은 물론 탐지된 내역을 바탕으로 간편하게 설정할 수도 있습니다.
  • 쉽고 편리한 대응: 웹쉘 의심 행위 탐지 알림을 받았을 때 사용자는 서버에 직접 접속할 필요 없이 네이버 클라우드 플랫폼의 콘솔 화면에서 빠르고 간편하게 웹쉘 의심 파일을 격리할 수 있습니다.
  • 서버 환경에 맞춰 적응: WAS에 의한 배치 작업 또는 CI 소프트웨어에 의한 작업 등 서버 환경에 따라 실행되는 의도된 작업이 행위 관점에서 웹쉘과 비슷하기 때문에 웹쉘 의심 행위로 탐지될 수 있습니다. 서비스 이용 초기에 이런 행위들이 다소 탐지될 수 있으나, 예외 처리 기능을 이용하여 앞으로 탐지되지 않도록 설정할 수 있습니다. 예외 설정을 통한 적응 기간을 거쳐 서비스를 이용할수록 고객의 서버 환경에 맞춰져 웹쉘 행위만을 탐지하게 됩니다.

 

 

3) WebShell Behavior Detector가 제공하는 다양한 기능

WebShell Behavior Detector는 다음과 같은 다양한 기능을 제공합니다.

  • 행위 기반 실시간 웹쉘 탐지: 웹 서버 내에서 발생하는 각종 데이터를 실시간으로 분석하여 웹쉘의 행위를 실시간으로 판단할 수 있습니다.
  • 알려지지 않은 웹쉘 탐지: 함수명, 인자 값 등 웹쉘 파일을 조금이라도 수정하거나, 패킷을 암호화하거나, SSL이 적용된 환경에서는 탐지가 어려운 기존 웹쉘 탐지 솔루션의 한계를 극복하고 완전히 새로운 웹쉘까지도 탐지할 수 있습니다.
  • 웹쉘 의심 행위 정보 및 이력 관리: 웹쉘이 탐지된 서버, 시간, 실행한 명령어, 웹쉘의 경로, 공격자 IP 등의 각종 정보를 제공합니다. 고객은 해당 정보를 참고하여 좀 더 면밀한 대응 전략을 수립할 수 있으며, 대응 방법 등의 정보를 더해 간편하게 이력을 관리할 수 있습니다.
  • 파일 격리/파일 복구: 직접 서버에 접속하지 않고 네이버 클라우드 플랫폼 콘솔 화면에서 클릭 한 번으로 웹쉘 의심 파일을 격리하거나 복구할 수 있습니다.
  • 웹쉘 의심 파일 목록 제공: 웹쉘 행위 탐지 시 빠르게 대응할 수 있도록 웹쉘 의심 파일 목록을 제공합니다. 의심되는 웹쉘 파일에 대해 생성 시간, 파일 권한, 소유자, 그룹, 파일 경로, 사이즈 등 부가적인 정보도 함께 제공됩니다.
  • 공격자 의심 IP 목록 제공: 공격자가 시도한 행위를 분석하거나 IP를 차단하는 등의 조치를 위해 공격자로 의심되는 IP 및 국가 정보를 제공합니다.
  • 예외 규칙 설정: 다양한 고객의 웹 서비스 환경에 맞춰 서비스를 이용할 수 있도록 상세한 예외 규칙 설정 기능을 제공합니다.
  • 알림 기능: 웹쉘 행위 탐지 시 알림 대상자에게 탐지 알림을 선택한 방식(이메일 또는 문자 메시지)으로 전달합니다. 또한 과도한 알림이 발생하는 것을 방지할 수 있도록 알람 주기 설정 기능을 제공합니다.
  • 에이전트 원격 관리: 서버에 접속할 필요 없이 네이버 클라우드 플랫폼 콘솔 화면에서 에이전트의 탐지 프로세스를 활성화 또는 비활성화할 수 있는 원격 제어 기능을 제공합니다.
  • 서버 그룹 설정: 탐지할 웹 서버가 많은 경우 보다 간편하게 서비스를 이용할 수 있도록 서버 그룹 설정 기능을 제공합니다.

 

4) Webshell Behavior Detector 에이전트 설치 및 실행

WebShell Behavior Detector가 정상적으로 웹쉘 행위 탐지를 시작하려면 등록된 탐지 대상 서버에 에이전트를 설치하고 실행해야 합니다. 또한 WebShell Behavior Detector 작동 중에도 에이전트를 원격으로 실행하거나 종료하는 등 원격 제어가 필요할 수 있습니다.

리눅스, 윈도우, kubernetes 지원

 

5) 다른 CSP의 웹쉘 탐지 보안기능 

 

  • AWS: AWS에서는 Amazon GuardDuty와 AWS WAF를 통해 webshell을 탐지할 수 있습니다. Amazon GuardDuty는 애플리케이션의 보안 위협을 감지하고, AWS WAF는 공격을 차단하는 데 도움을 줍니다.

    Amazon GuardDuty: 에이전트 기반이 아닙니다. 클라우드 환경에서 로그 및 이벤트 데이터를 분석하여 보안 위협을 감지합니다.

    AWS WAF (Web Application Firewall): 에이전트 기반이 아닙니다. 웹 애플리케이션 앞에 배치되어 웹 트래픽을 필터링하고 보호합니다.

 

 

 

  • GCP: Google Cloud Platform에서는 Web Security Scanner를 통해 webshell을 탐지할 수 있습니다. 이 서비스는 App Engine, Google Kubernetes Engine (GKE), Compute Engine 웹 애플리케이션에서 일반적인 보안 취약점을 감지합니다.

    Web Security Scanner: 에이전트 기반이 아닙니다. Google Cloud 환경 내에서 웹 애플리케이션을 스캔하여 보안 취약점을 감지합니다.

 

 

  • Azure: Microsoft Azure에서는 Azure Defender와 Azure Sentinel을 통해 webshell을 탐지할 수 있습니다. Azure Defender는 애플리케이션의 보안 위협을 감지하고, Azure Sentinel은 이러한 위협을 조사하고 대응하는 데 도움을 줍니다.

    Azure Defender: 일부 기능은 에이전트 기반입니다. Azure VM 및 기타 리소스에 에이전트를 설치하여 보안 위협을 감지하고 대응합니다.

    Azure Sentinel: 에이전트 기반이 아닙니다. 보안 정보 및 이벤트 관리를 위해 로그 및 이벤트 데이터를 수집하고 분석합니다.

 

 

 

 

반응형
저작자표시 비영리 (새창열림)

'퍼블릭 클라우드 관련' 카테고리의 다른 글

Network ACL에 등장하는 stateless 란?  (0) 2024.11.29
클라우드 특징  (1) 2024.10.21
  1. 1) NCP - webshell behavior detector 개념
  2. 2) WebShell Behavior Detector의 특징
  3. 3) WebShell Behavior Detector가 제공하는 다양한 기능
  4. 4) Webshell Behavior Detector 에이전트 설치 및 실행
  5. 5) 다른 CSP의 웹쉘 탐지 보안기능 
'퍼블릭 클라우드 관련' 카테고리의 다른 글
  • Network ACL에 등장하는 stateless 란?
  • 클라우드 특징
호레
호레
창업 / IT / 육아 / 일상 / 여행
    반응형
  • 호레
    Unique Life
    호레
  • 전체
    오늘
    어제
    • 분류 전체보기 N
      • 법률
        • 기본
        • 개인정보보호법
        • 정보통신망법
        • 전자금융거래법
        • 전자금융감독규정
        • 신용정보법
        • 온라인투자연계금융업법
      • 창업
        • 외식업 관련
        • 임대업 관련
        • 유통업 관련
        • 세무 관련
        • 마케팅 관련
        • 기타 지식
        • 트렌드
        • Youtube
      • IT기술 관련 N
        • 모바일
        • 윈도우
        • 리눅스
        • MAC OS
        • 네트워크
        • 빅데이터 관련
        • A.I 인공지능 N
        • 파이썬_루비 등 언어
        • 쿠버네티스
        • 기타 기술
      • 퍼블릭 클라우드 관련
        • Azure
        • GCP
        • AWS
      • 정보보안 관련
        • QRadar
        • Splunk
        • System
        • Web
      • 기타
        • 세상 모든 정보
        • 서적
      • 게임 관련
        • 유니티
      • 부동산
      • 맛집 찾기
        • 강남역
        • 양재역
        • 판교역
        • ★★★★★
        • ★★★★
        • ★★★
        • ★★
        • ★
      • 결혼_육아 생활
        • 리얼후기
        • 일상
        • 육아
        • 사랑
        • Food
      • 영어
        • 스피킹
        • 문법
        • 팝송
        • 영화
      • K-컨텐츠
        • 드라마
        • 영화
        • 예능
      • 독서
      • 프로젝트 관련 조사
        • 시스템 구축
        • 로그 관련
        • 웹
        • APT
        • 모의 해킹
        • DB
        • 허니팟
        • 수리카타
        • 알고리즘
        • FDS
      • 기업별 구내 식당 평가
        • 한국관광공사
        • KT telecop
        • KT M&S
        • KT powertel
        • KT cs 연수원
        • 진에어
      • 대학 생활
        • 위드윈연구소
        • 진로 고민
        • 채용정보
        • 자동차
        • 주식
        • 악성코드
        • 게임 보안
      • 쉐어하우스
  • 블로그 메뉴

    • 홈
    • 게임 관련
    • IT 기술 관련
    • 태그
  • 링크

  • 공지사항

  • 인기 글

  • 태그

    수제버거존맛
    마케팅
    돈까스
    무역전쟁
    보안가이드
    점심
    AWS
    런치
    복리후생
    이재곧죽습니다
    수제버거
    판교
    유니티
    맛집
    대통령
    쥬쥬랜드
    판교맛집
    판교역
    수제버거맛집
    상호관세
  • 최근 댓글

  • 최근 글

  • hELLO· Designed By정상우.v4.10.0
호레
NCP - Webshell behavior detector | AWS, GCP, Azure 비교

개인정보

  • 티스토리 홈
  • 포럼
  • 로그인
상단으로

티스토리툴바

단축키

내 블로그

내 블로그 - 관리자 홈 전환
Q
Q
새 글 쓰기
W
W

블로그 게시글

글 수정 (권한 있는 경우)
E
E
댓글 영역으로 이동
C
C

모든 영역

이 페이지의 URL 복사
S
S
맨 위로 이동
T
T
티스토리 홈 이동
H
H
단축키 안내
Shift + /
⇧ + /

* 단축키는 한글/영문 대소문자로 이용 가능하며, 티스토리 기본 도메인에서만 동작합니다.