보안 기업 파이어아이가 공격에 대한 방어, 조사 및 대응을 위한 여러 가지 신규 모듈이 포함된 ‘파이어아이 엔드포인트 시큐리티(FireEye Endpoint Security)’의 새로운 ‘혁신 아키텍처(Innovation Architecture)’를 공개했다.
엔드포인트 시큐리티는 완전한 맞춤형 보안 모듈로 광범위한 공격을 방어할 수 있게 설계됐다. 해당 모듈은 파이어아이의 맨디언트가 사이버 보안의 최전선에서 얻은 지식과 경험을 바탕으로 멀웨어 및 정보 탈취를 차단하고, 진화한 최신 공격을 탐지하며, 기업 특성 별 다른 위험 요소와 보안 상태를 고려한 대응 도구와 솔루션을 제공한다.
새 엔드포인트 시큐리티 모듈은 ▲방어 ▲조사 및 대응 ▲엔터프라이즈 레디의 세 가지 기본 카테고리를 제공한다. 맨디언트 솔루션(Mandiant Solution)의 축적된 방대한 사이버 보안 지식을 기반으로 하는 위협 탐지가 가능하다.
우선 방어를 위한 프로세스 가드(Process Guard)는 애널리스트가 개입하여 문제를 해결할 필요 없이 권한이 없는 상태로 윈도우(Windows) 상의 크리덴셜 정보에 접근하는 것을 차단한다.
조사 및 대응의 역할을 하는 프로세스 트래커(Process Tracker)는 윈도우, 맥(Mac), 리눅스(Linux) 엔드포인트에서 메타데이터를 수집 후 엔드포인트 시큐리티 콘솔로 전달한다. 또한 강화(Enrichment)를 통해 향 후 몇 개월 내 추가될 기능으로 파이어아이 인텔리전스 정보를 파일에 적용, 해당 악성파일이 들어온 시기를 파악하고 사고 대응 조사를 지원한다.
엔터프라이즈-레디(Enterprise Ready) 카테고리에선 에이전트 상태(Agent Status)를 통해 엔드포인트 시큐리티 콘솔 내 사용자 인터페이스(UI)에 시스템 정보와 에이전트 상태를 표시해 IT 담당자가 시스템 전반에 대한 가시성을 확보할 수 있다. 에이전트 콘솔(Agent Console)을 통해서는 이벤트를 분류한 후 경보를 발생시켜, 어떤 파일을 격리시켰는지 등 에이전트가 현재 수행 중인 작업에 대한 가시성을 제공한다.
파이어아이 관계자는 "지속되는 사이버 위협을 해결하고, 문제 상황 발생 시의 복 자동화, 경고 발생 범위 확대 및 사고 조사, 윈도우즈(Windows) 액세스 제어 등과 같은 향상된 신규 보안 기능을 제공하기 위한 새로운 모듈을 지속적으로 릴리즈할 예정"이라고 밝혔다.
한편, 파이어아이 엔드포인트 시큐리티 현재 버전은 맥OS용 멀웨어 보호, IPv6 환경 지원 및 업데이트된 리눅스 오딧(audit) 옵션을 제공한다.
