- 인쇄
- PDF
Webshell Behavior Detector 개요
- 인쇄
- PDF
VPC 환경에서 이용 가능합니다.
WebShell Behavior Detector는 웹쉘 의심 행위를 실시간으로 탐지하여 빠르게 대응할 수 있도록 알림을 제공하는 서비스입니다.
웹쉘이란 시스템 명령을 실행할 수 있는 쉘(shell)의 기능을 웹 사이트에서 이용할 수 있게 만든 서버 사이드 스크립트 코드로, 시스템을 파괴하거나 정보를 유출하는 등 악의적인 행위를 수행하기 위해 의도적으로 제작된 악성코드입니다.
WebShell Behavior Detector의 특징
WebShell Behavior Detector 서비스의 특징은 다음과 같습니다.
강력한 탐지 기능: 웹쉘은 새로운 패턴과 유형, 난독화, 암호화 통신 등 탐지를 회피하기 위해 다양한 은폐 기술을 적용하여 탐지하기 매우 어려운 공격 중 하나입니다. WebShell Behavior Detector는 강력한 행위 기반 탐지 기법을 이용하여 이러한 은폐 기술을 모두 무력화시켜 기존의 웹쉘은 물론 새로운 유형의 웹쉘도 탐지할 수 있습니다.
실시간 탐지 및 알림 발송: 일정 주기로 탐지하는 방식이 아닌 웹쉘 행위 발생 시 실시간으로 탐지하고 설정된 연락처로 알림을 발송하여 신속한 대응이 가능합니다. 알림 주기를 설정하여 과도한 알림을 방지할 수도 있습니다.
간편한 설정: 기본적으로 설정된 규칙 외에도 사용자가 직접 예외 규칙을 설정할 수 있습니다. 세세한 설정은 물론 탐지된 내역을 바탕으로 간편하게 설정할 수도 있습니다.
쉽고 편리한 대응: 웹쉘 의심 행위 탐지 알림을 받았을 때 사용자는 서버에 직접 접속할 필요 없이 네이버 클라우드 플랫폼의 콘솔 화면에서 빠르고 간편하게 웹쉘 의심 파일을 격리할 수 있습니다.
서버 환경에 맞춰 적응: WAS에 의한 배치 작업 또는 CI 소프트웨어에 의한 작업 등 서버 환경에 따라 실행되는 의도된 작업이 행위 관점에서 웹쉘과 비슷하기 때문에 웹쉘 의심 행위로 탐지될 수 있습니다. 서비스 이용 초기에 이런 행위들이 다소 탐지될 수 있으나, 예외 처리 기능을 이용하여 앞으로 탐지되지 않도록 설정할 수 있습니다. 예외 설정을 통한 적응 기간을 거쳐 서비스를 이용할수록 고객의 서버 환경에 맞춰져 웹쉘 행위만을 탐지하게 됩니다.
WebShell Behavior Detector가 제공하는 다양한 기능
WebShell Behavior Detector가 제공하는 다양한 기능에 대한 설명은 다음과 같습니다.
- 행위 기반 실시간 웹쉘 탐지: 웹 서버 내에서 발생하는 각종 데이터를 실시간으로 분석하여 웹쉘의 행위를 실시간으로 판단할 수 있습니다.
- 알려지지 않은 웹쉘 탐지: 함수명, 인자 값 등 웹쉘 파일을 조금이라도 수정하거나, 패킷을 암호화하거나, SSL이 적용된 환경에서는 탐지가 어려운 기존 웹쉘 탐지 솔루션의 한계를 극복하고 완전히 새로운 웹쉘까지도 탐지할 수 있습니다.
- 웹쉘 의심 행위 정보 및 이력 관리: 웹쉘이 탐지된 서버, 시간, 실행한 명령어, 웹쉘의 경로, 공격자 IP 등의 각종 정보를 제공합니다. 고객은 해당 정보를 참고하여 좀 더 면밀한 대응 전략을 수립할 수 있으며, 대응 방법 등의 정보를 더해 간편하게 이력을 관리할 수 있습니다.
- 파일 격리/파일 복구: 직접 서버에 접속하지 않고 네이버 클라우드 플랫폼 콘솔 화면에서 클릭 한 번으로 웹쉘 의심 파일을 격리하거나 복구할 수 있습니다.
- 웹쉘 의심 파일 목록 제공: 웹쉘 행위 탐지 시 빠르게 대응할 수 있도록 웹쉘 의심 파일 목록을 제공합니다. 의심되는 웹쉘 파일에 대해 생성 시간, 파일 권한, 소유자, 그룹, 파일 경로, 사이즈 등 부가적인 정보도 함께 제공됩니다.
- 공격자 의심 IP 목록 제공: 공격자가 시도한 행위를 분석하거나 IP를 차단하는 등의 조치를 위해 공격자로 의심되는 IP 및 국가 정보를 제공합니다.
- 예외 규칙 설정: 다양한 고객의 웹 서비스 환경에 맞춰 서비스를 이용할 수 있도록 상세한 예외 규칙 설정 기능을 제공합니다.
- 알림 기능: 웹쉘 행위 탐지 시 알림 대상자에게 탐지 알림을 선택한 방식(이메일 또는 문자 메시지)으로 전달합니다. 또한 과도한 알림이 발생하는 것을 방지할 수 있도록 알람 주기 설정 기능을 제공합니다.
- 에이전트 원격 관리: 서버에 접속할 필요 없이 네이버 클라우드 플랫폼 콘솔 화면에서 에이전트의 탐지 프로세스를 활성화 또는 비활성화할 수 있는 원격 제어 기능을 제공합니다.
- 서버 그룹 설정: 탐지할 웹 서버가 많은 경우 보다 간편하게 서비스를 이용할 수 있도록 서버 그룹 설정 기능을 제공합니다.
WebShell Behavior Detector 사용 가이드 안내
WebShell Behavior Detector 사용 가이드는 효과적으로 WebShell Behavior Detector를 이용할 수 있도록 총 9개의 주제로 구성되어 있습니다. 각 주제에서 독자가 확인할 수 있는 내용은 다음과 같습니다.
- WebShell Behavior Detector 개요: WebShell Behavior Detector의 소개 및 강점 안내, WebShell Behavior Detector 이용에 도움이 되는 가이드, 연관 리소스
- WebShell Behavior Detector 개념: WebShell Behavior Detector 서비스의 구조 및 전체 이용 시나리오 안내
- WebShell Behavior Detector 사용 준비: WebShell Behavior Detector를 사용 전 미리 준비할 사항 안내
- WebShell Behavior Detector 시작: 네이버 클라우드 플랫폼 콘솔에서 WebShell Behavior Detector 서비스 이용 신청 및 설정 방법 안내
- WebShell Behavior Detector 사용: WebShell Behavior Detector 사용자가 이용할 수 있는 기능에 대한 사용 방법 안내
- WebShell Behavior Detector 문제 해결: WebShell Behavior Detector 사용 중 발생할 수 있는 문제에 대한 해결 방법 안내
- WebShell Behavior Detector 에이전트 설치 및 실행: WebShell Behavior Detector 사용에 필요한 서버 에이전트 설치 및 제어 방법 안내
- WebShell Behavior Detector Sub Account 권한 관리: WebShell Behavior Detector Sub Account 권한 관리 방법 및 정책 안내
- WebShell Behavior Detector 릴리스 노트: WebShell Behavior Detector 가이드 업데이트 이력
WebShell Behavior Detector 연관 리소스
네이버 클라우드 플랫폼에서는 WebShell Behavior Detector에 대한 고객의 이해를 돕기 위해 사용 가이드 외에도 다양한 연관 리소소를 제공하고 있습니다. WebShell Behavior Detector를 회사에 도입하기 위해 고민 중이거나 데이터 관련 정책을 수립하면서 자세한 정보가 필요한 개발자, 마케터 등은 다음 리소스를 적극 활용해 보십시오.
- API 가이드: WebShell Behavior Detector Developers 사용을 위한 지침
- Ncloud 사용 환경 가이드: VPC 환경 및 지원 여부에 대한 설명서
- 요금 소개, 특징, 상세 기능: WebShell Behavior Detector의 요금 체계, WebShell Behavior Detector의 특징 및 상세 기능 요약
- 서비스 최신 소식: WebShell Behavior Detector 관련 최신 소식
- 자주 하는 질문: WebShell Behavior Detector 사용자들이 자주 하는 질문
- 문의하기: 가이드를 통해서도 궁금증이 해결되지 않는 경우 직접 문의