카스퍼스키 Karspersky Internet Security

우선 가볍게 나무위키부터 시작..

 

카스퍼스키란?

개인 백신 프로그램에서 시작해서 현재는 세계적인 백신 프로그램이 된 안티바이러스 소프트웨어 이다. 

 

기능 

실시간 감시

실시간으로 컴퓨터를 감시하는 기능이다. 

 

1.  파일 안티 바이러스 

실시간으로 파일을 감시하는 기능이다. 실행 중이거나 열고 저장하는 모든 파일을 감시한다. 

만약 악성 파일이 열리거나 저장되면 카스퍼스키가 말도 없이 검역소로 잡아간다. 

현재는 과거에 비해서 비교적 예외 설정이 쉬워졌다.

 

2. 웹 안티 바이러스 

방문하는 모든 웹사이트를 감시한다. 

수신되는 웹 트래픽을 검사하고 위험한 스크립트가 컴퓨터에서 실행되는 것을 차단한다. 

웹 안티 바이러스 기능이 강력한 편이다. 

 

3. 메일 안티 바이러스

보내고 받는 메일에 있는 바이러스를 탐지한다. 

만약 받거나 보내는 메일에 악성 파일이 포함되어있을 때.

만약 처리가 불가능할 경우 아예 해당 메일이 삭제된다. 처리가 가능할 경우에는 

해당 메일 안 악성 파일만 잡아간다. 

 

4. 네트워크 공격 차단. 

**포트스캐닝, **네트워크 프러딩을 공격으로 간주하고 차단한다. 

 

**포트 스캐닝 : 해커가 악의적인 공격을 수행하기 위해 취약점을 찾는 과정 중 수행하는 사전 작업.

해당 시스템이나 네트워크가 어떤 포트를 열고 서비스를 하는지 악아내기 위함.

EX)) 해당 시스템이 23포트를 열고 Telnet 서비스를 하고 있다는 것을 알아 내었다면 해커는 Telnet서비스에 대한 취약점을

이용하여 적극적인 공격을 수행할 수 있다. 

 

**네트워크 플러딩 : 어떤 노드에서 온 하나의 패킷(데이터 전송에 사용되는 데이터 묶음)을 라우터에 접속돼 있는 다른 모든 노드로 전달하는 것으로, 네트워크에서 수정된 라우팅 정보를 모든 노드에 빠르게 배포하는 수단으로 사용되고 있다. 하지만 플러딩 공격(Flooding Attack)은 악의적으로 한꺼번에 많은 양의 데이터를 보내 상대방의 서비스를 운용할 수 없게 만드는 서비스 거부 공격을 뜻한다.

 

5. 방화벽

일반적인 안티바이러스의 방화벽이다. 

 

AMSI 보호

표준 마이크로소프트 인터페이스인 Windows Antimalware Scan Interface(AMSI)를 통해서 

사용자 컴퓨터에 설치된 안티 바이러스 애플리케이션을 사용해서 스크립트 및 기타 개체에 대한

바이러스 검사를 수행할 수 있게 해주는 기능이다.

 

지능형 위협 보호

지능형 위협 보호는 행위에 기반하여 탐지하는 휴리스틱 기술과 비슷한 기능이다. 

 

1. 애플리케이션 제어 

컴퓨터에 설치된 모든 애플리케이션의 동작을 모니터링한다. 해당 기능으로, 수상한 애플리케이션이 있으면 

사용자에게 경고를 주며 애플리케이션의 공격도 탐지해 방어한다. (랜섬웨어또한 차단이 가능하다.)

 

2. 시스템 감시기

랜섬웨어 또는 크립토락커 로부터 시스템을 방어하고 악성 프로그램의 활동으로 인한 시스템의 변경 사항을 롤백한다. 

이 기능으로 만약 랜섬웨어가 파일을 암호화하기 시작했다면, 바로 해당 랜섬웨어 공격을 차단하고 격리한 후 암호화된 파일을 실시간으로 롤백한다. 

 일부 바이러스는 한번 감염되고 나서 치료가 되어도 컴퓨터 운영체제의 설정을 뒤바꿔놓아서 큰 문제를 일으키는데 .

이때 시스템 감시기에서 이를 탐지하고 설정 마법사를 이용해 뒤바뀐 설정 원상복구를 도와준다.  또한

스크린로커를 탐지하고 차단한다. 사용자 차원에서 카스퍼스키가 알려주는 단축키로 직접 종료할 수 있다. (CTRL+ALT+SHIFT+F4)

 

3. 카스퍼스키 시큐리티 네트워트(Kaspersky Security Network)

애플리케이션 및 웹사이트에 대한 정보가 가득 담긴 카스퍼스키의 지식 덩어리다. 이를 이용해 한 번도 열어보지 않은 낮선 파일의 평판을 확인 할 수 있다. 또한 한 컴퓨터에서 최초 보고된 공격을 바로 클라우드에 업로드해서 해당 공격에 대해 전세계의 카스퍼스키 사용자를 보호한다. 

 

보안 제어 

1. 소프트웨어 업데이터 

소프트웨어를 사용자 대신 업데이트해주는 기능이다. 이 기능으로 소프트웨어를 업데이트해서 최신 취약점에 대한 보호를 제공받을 수 있다. 

 

2. 안티 배너

해당 기능을 켜놓으면 웹사이트의 배너를 차단한다. 

 

3. 안티 스팸

이메일로 날아오는 스팸을 카스퍼스키가 차단한다. 

 

4. 애플리케이션 매니저

사용자가 컴퓨터에 설치된 애플리케이션을 관리하는 데에 도움을 준다. 

 

데이터 보호 

1. 프라이빗 브라우징 

해당 기능을 켜놓으면 웹사이트에서 사용자에 대한 정보를 수집하는 것을 차단한다. 

 

2. 웹캠 보호

누군가가 웹캠을 해킹하여 매일 내 얼굴을 보는 것을 차단한다. 만약 애플리케이션이 웹캠을 사용하면 

이를 화면 상단 중앙에 어떤 애플리케이션이 웹캠을 사용 중이라 알려준다. 해당 애플리케이션을 차단하면

사용자가 다시 예외 설정을 하지 않는 이상 해당 앱은 영원히 웹캠을 사용 할 수 없다. 

 

3. 안정 금융

금융 사이트를 등러갈 때에 카스퍼스키가 보호하는 창으로 따로 띄워 그곳에서 금융 활동을 할 수 있다. 

그리고 비밀번호와 아이디를 칠 때 키로거가 해당 정보를 빼돌리지 못하게 단축키를 이용하여 화상 키보드를 띄워

입력할 수 있게 해주는 기능도 있다. 그리고 입력할 때엔 카스퍼스키가 보호하고 있다고 알림을 띄워준다. 

 

log에 있어서 필요한 내용

https://support.kaspersky.com/KS4Exchange/9.4/en-US/28868.htm

Application logs

 

Kaspersky Security는 운영 세부 정보(오류 메시지 등)를 Windows 이벤트 로그 및 Kaspersky Security이벤트 로그에 기록한다. 

 

Windows Event Log

Windows  이벤트 로그에는 Kaspersky 보안 관리자 또는 보안 담당자가 애플리케이션 작업을 모니터링하는데 

사용할 수 있는 Kaspersky 보안 작업의 세부 정보가 포함되어있다. 

Kaspersky Security 작업과 관련된 이벤트는 KSCM8(Kaspersky Seucrity Service)에 의해 Windows 이벤트 로그에 기록된다.  애플리케이션 동작과 관련된 각 기본 이벤트는 각각 고정 이벤트 코드를 갖는다. 이벤트 코드를 사용해서 로그에서 이벤트를 찾고 필터링 할 수 있다. 

 

event logs in Kaspersky Security

Kaspersky Security 이벤트 로그는 <애플리케이션 HOME>/logs 폴더에 로컬로 저장되는 TXT 파일이다. 

로그를 저장할 다른 폴더를 지정할 수 도있다. 

애플리케이션 이벤트 로그의 세부 수준은 로그 세부 수준의 현재 설정에 따라 달라진다. [ The detail level of application event logs depends on the current settings of log detail level.]

Kaspersky Security는 다음 알고리즘에 따라서 이벤트 토그를 유지 관리한다.

 

1. 애플리케이션은 가장 최근 로그의 끝에 정보를 기록한다. 
2. 로그 크기가 100MB 에 도달하면 애플리케이션은 로그를 보관하고 새 로그를 만든다. 
3. 기본값으로 애플리케이션은 마지막으로 수정한 후 14일 동안 로그 파일을 저장하고 삭제한다. 로그 저장에 대해 다른 조건을 설정 할 수 있다. 

 

애플리케이션 배포 버전과 상관없이 각 보안 서버에 대해 개별 로그가 생선된다. 

 

 

 

 

카스퍼스키를 애플리케이션 원격 설치시 관련 된 문제 

https://support.kaspersky.com/KSC/12/ko-KR/92572.htm

 

카스퍼스키 이벤트 조회 방법 (해당 섹션 내용 까지 확인 할 것.)

https://support.kaspersky.com/KSC/12/ko-KR/3628.htm