공지사항
VPC 환경에서 이용 가능합니다.
서비스 특징
알려지지 않은 웹쉘까지 실시간으로 탐지
강력하고 정밀한 행위 기반 탐지
웹쉘 공격은 신규 패턴, 난독화, 암호화 등 다양한 은폐 기술로 인해 탐지가 어려운 공격 중 하나입니다. Webshell Behavior Detector는 행위 기반 탐지 기법을 이용하여 웹쉘 공격이 사용하는 다양한 기술을 모두 무력화하고 다양한 유형의 웹쉘을 실시간으로 탐지할 수 있습니다.
실시간 탐지 및 맞춤형 알림 발송
Webshell Behavior Detector는 일정 주기에 따라 탐지하는 방식이 아니라 웹쉘 행위 발생 여부를 실시간으로 탐지하며 설정된 연락처로 알림을 발송해 신속한 대응을 돕습니다. 또한 알림 주기를 설정할 수 있어 과도한 알림을 방지할 수 있습니다.
사용자 맞춤 설정
기본으로 제공하는 설정 규칙 외에도 탐지한 내역을 바탕으로 사용자가 원하는 대로 직접 예외 규칙을 설정할 수 있습니다.
쉽고 편리한 대응
웹쉘 의심 행위 탐지 알림을 받았을 때 사용자는 서버에 직접 접속하지 않고 네이버 클라우드 플랫폼 웹 콘솔에서 빠르고 간편하게 웹쉘 의심 파일을 격리할 수 있습니다.
연동 부가 서비스
상세 기능
구성 및 동작
Webshell Behavior Detector는 사용자의 서버에 설치된 에이전트(Agent)를 활용하여 실시간으로 정보를 수집해 분석 서버로 전송합니다. 수집한 정보를 바탕으로 웹쉘 행위를 탐지하면 즉시 알림을 발송하며 네이버 클라우드 플랫폼 콘솔에서 웹쉘 분석 및 대응에 참고할 수 있는 웹쉘 의심 행위, 웹쉘 의심 파일, 공격자 의심 IP를 제공합니다.
서비스 특장점
Webshell Behavior Detector 서비스는 미리 정의된 파일 내용의 패턴이나 시그니처를 기반으로 하는 정적 탐지가 아니라 행위 기반으로 웹쉘을 탐지합니다.
웹쉘이 실행되는 순간 실시간으로 웹쉘을 탐지하고 알림을 제공합니다.
행위 기반 방식의 탐지는 새로운 유형 웹쉘, 난독화가 적용된 웹쉘, SSL 환경에서의 웹쉘 행위, 암호화 통신이 적용된 웹쉘 등을 모두 탐지할 수 있습니다.
파일 내용을 주기적으로 검사하지 않고 웹쉘 행위가 발생하면 실시간으로 탐지하기 때문에 성능 부하 부담감이 비교적 낮습니다.
웹쉘 행위가 발생할 때마다 확인하므로 웹쉘 행위를 찾아내는 데 시간이 적게 소요됩니다.
주요 제공 기능
기능 | 설명 |
|---|---|
행위 기반 실시간 웹쉘 탐지 | 웹 서버 내에서 발생하는 각종 데이터를 실시간으로 분석하여 웹쉘 행위를 실시간으로 판단 |
알려지지 않은 웹쉘 탐지 | 웹쉘 파일 수정(함수명, 인자 값 등), 패킷 암호화, SSL 적용 환경 등에서 탐지하기 어려운 새로운 웹쉘 탐지 가능 |
웹쉘 의심 행위 정보 및 이력 관리 | - 웹쉘이 탐지된 서버, 시간, 실행한 명령어, 웹쉘 경로, 공격자 IP 등 정보 제공 - 제공받은 정보를 참고하여 세밀한 대응 전략 수립 가능 - 대응 방법 등 관련 정보 및 이력 관리 가능 |
파일 격리/복구 | 네이버 클라우드 플랫폼 콘솔에서 웹쉘 의심 파일을 격리하거나 복구 가능 |
웹쉘 의심 파일 목록 제공 | - 웹쉘 의심 파일 목록을 제공하여 웹쉘 행위 탐지 시 신속한 대응 가능 - 웹쉘 의심 파일 관련 생성 시간, 파일 권한, 소유자, 그룹, 파일 경로, 사이즈 등 부가 정보 제공 |
공격자 의심 IP 목록 제공 | 공격자가 시도한 행위 분석 및 IP 차단 등의 조치에 참고할 수 있는 의심 IP 및 국가 정보 제공 |
예외 규칙 설정 | 사용자의 웹 서비스 환경에 맞춰 설정할 수 있는 상세한 예외 규칙 설정 기능 제공 |
알림 기능 | - 웹쉘 행위를 탐지하면 SMS 또는 이메일 중 사전에 선택한 방식으로 탐지한 내용을 실시간으로 알림 - 알림 간격을 설정하여 지정한 시간 내에 알림을 한 번만 받을 수 있도록 하여 과도한 알림 방지 가능 |
에이전트 원격 관리 | 서버에 접속할 필요 없이 네이버 클라우드 플랫폼 콘솔에서 간편하게 탐지 상태(활성화/비활성화) 변경 가능 |
서버 그룹 | 보유한 서버가 많을 경우 서버를 분류하여 관리할 수 있도록 서버 그룹 기능 제공 |
서비스 지원 환경
유형 | 구분 | 사양 |
|---|---|---|
VM (Virtual Machine) | OS | CentOS 6.3 이상 Ubuntu 16.04 이상 Oracle Linux 7.4 이상 Red Hat Enterprise Linux 7.6 이상 Window Server2017 이상 |
Web Server | (Linux) Apache (Linux) Tomcat (Linux) Nginx (Window) IIS | |
Kubernetes (Container) | Container용 Base OS | CentOS 6.3 이상 Ubuntu 16.04 이상 Oracle Linux 7.4 이상 Red Hat Enterprise Linux 7.6 이상 |
Web Server | (Linux) Apache (Linux) Tomcat (Linux) Nginx |
이용 시 주의사항
에이전트 설치 후 상태 확인 필수
에이전트(Agent) 상태가 활성화일 때만 웹쉘 행위를 탐지할 수 있습니다. 에이전트를 설치한 후 네이버 클라우드 플랫폼 콘솔에서 에이전트가 활성화되었는지 반드시 확인해 주십시오. (에이전트가 활성화 상태일 때만 요금 부과)
서버 환경에 맞게 에이전트 설치 및 설정
에이전트를 서버 환경에 맞게 설정해야 웹쉘 행위를 정상적으로 탐지할 수 있습니다. 사용자 가이드를 참고하여 정상 설치 여부를 확인해 주십시오.
신중한 웹쉘 행위 탐지 대응
웹쉘 행위 탐지 후 제공하는 의심 목록을 파일 생성 시간, 접근 로그 등 다방면에서 취합한 정보를 토대로 도출한 정보로 참고용 정보입니다. 웹쉘 의심 파일 격리 또는 공격자 의심 IP 차단 등 정상적인 웹 서비스 파일을 격리하면 서비스 장애가 발생할 수 있으므로 웹쉘 의심 파일 격리나 공격자 의심 IP 차단 등 웹쉘 행위 탐지 후 진행하는 조치는 신중하게 검토한 후 진행해 주십시오.
요금
상황에 따라 유연하게 서비스를 이용할 수 있도록 시간 단위 종량 요금제를 제공합니다.
구분 | 과금 기준 | 요금 |
|---|---|---|
Agent 당 | 시간 | - |
(VAT 별도)
* VPC 환경에서 이용 가능하며, 한국 리전에서 이용하실 수 있습니다.
서버 정지 혹은 서비스 비활성화 등으로 상품을 정상적으로 이용하지 못한 시간은 총 이용 시간에서 자동 차감됩니다.
서버가 반납되면 서비스 이용도 자동으로 종료됩니다.
Container의 경우 Worker node 단위로 Agent가 설치되므로 Worker node 단위로 과금됩니다.
(예) 두 대의 서버에서 각각 10시간, 5시간 동안 Agent가 실행되었을 경우, 이용 요금은 다음과 같습니다. -> -= (10시간 x -/시간 + 5시간 x -/시간)
Webshell Behavior Detector
리소스
FAQ
Loading...
