01용어 정리용어 정리

Threat Prevention은 여러 Software Blade의 합주입니다. IPS(침입 방지)는 시그니처·행위·선제 보호로 네트워크 공격을 막 고, Anti-Bot & Advanced DNS 는 감염된 봇을 찾아 C&C(명령·제어) 통신을 차단 하며, Anti-Virus 는 게이트웨이에서 멀웨어를 감염 전에 탐지 합니다.

알려지지 않은 위협을 막는 SandBlast 제품군에는 두 기술이 있습니다 — Threat Emulation 은 의심 파일을 가상 샌드박스에서 실행해 악성 행위를 탐지 하고, Threat Extraction 은 파일에서 악용 가능한 요소를 제거한 안전한 사본을 즉시 전달 합니다(흔히 CDR, Content Disarm & Reconstruction이라 부름). Zero Phishing 은 머신러닝으로 알려진·미지의 피싱 사이트를 실시간 차단 합니다(솔루션 개요).

이 모든 것의 두뇌가 ThreatCloud 입니다. Check Point의 전 세계 위협 센서가 모으는 클라우드 기반 실시간 위협 인텔리전스 로, 한 곳에서 발견된 위협 정보가 다른 보호 기능에 즉시 공유됩니다.

R82의 Threat Prevention은 두 갈래 로 운영됩니다. Custom Threat Prevention 은 관리자가 프로파일과 규칙을 직접 짜 세밀하게 제어 하는 전통 방식이고, Autonomous Threat Prevention 은 용도별로 미리 만들어진 프로파일을 골라 쓰는 간편 방식 입니다(Custom 시작하기, Autonomous 프로파일).

Profile(프로파일) 은 어떤 보호를 켜고 어떤 동작을 할지 정한 설정 묶음 입니다. Custom에는 Optimized·Strict·Basic 기본 프로파일이, Autonomous에는 Perimeter·Cloud/Data Center·Internal·Guest·Monitor 등 6개 가 있습니다.

프로파일이 보호를 켤지 정하는 세 가지 잣대가 있습니다 — Confidence Level(공격을 정확히 식별한다는 확신 정도), Severity(공격 성공 시 피해 심각도), Performance Impact(게이트웨이 성능에 주는 영향) 입니다. 그리고 보호가 트래픽을 만났을 때의 동작 은 Prevent(차단)·Detect(허용하되 로그)·Ask(사용자에게 확인)·Inactive(끔) 입니다(Custom 정책과 프로파일).

규칙 묶음 전체가 Rule Base 이고, 규칙이 적용되는 대상 범위가 Protected Scope 입니다. 여러 Policy Layer 로 나누면 레이어마다 동작을 따로 계산하고, 여러 레이어에 걸리면 가장 엄격한 동작 을 적용합니다.

MTA(Mail Transfer Agent) 는 게이트웨이가 SMTP 메일을 받아 검사한 뒤 다음 홉으로 중계 하게 해, 메일 검사 시 연결 타임아웃을 막습니다(Custom 운영). ICAP 는 투명 프록시를 확장하는 프로토콜 로 서드파티 콘텐츠 검사 장비와 연동하고(ICAP), Threat Indicator 는 IP·파일 해시·URL 같은 관찰 가능 징후(observable)를 모은 위협 피드 입니다(Threat Indicators).

분석 도구로는 Cyber Attack View(공격 벡터별 시각화)와 MITRE ATT&CK(공격 전술·기법 지식 베이스)가 있습니다(Cyber Attack View).