스트리밍은 대부분의 브라우저와
Developer 앱에서 사용할 수 있습니다.
-
엔드포인트 보안의 새로운 사항
바이러스 방지 소프트웨어, 엔드포인트 감지 및 대응, macOS용 데이터 유출 방지 솔루션과 같은 안정적인 엔드포인트 보안 제품을 빌드하는 방법을 알아보세요. 또한 엔드포인트 보안 API의 최신 개선 사항을 안내합니다. 앱에서 더 많은 보안 이벤트를 지원하고 고급 음소거 기능을 사용하는 방법을 알아보세요. 명령줄에서 인트로스펙션을 수행하는 데 도움이 되는 독립적인 도구도 살펴보겠습니다.
리소스
관련 비디오
WWDC20
WWDC19
-
다운로드
♪ 부드러운 힙합 음악 ♪ ♪ 안녕하세요 보안 엔지니어링 및 아키텍처 팀 Daniel라고 합니다 엔드포인트 보안에 대한 업데이트를 알려드리겠습니다 엔드포인트 보안은 우리가 제공하는 API이므로 Mac용 보안 제품을 구축할 수 있습니다 타사 안티바이러스와 엔드포인트 탐지 및 응답 데이터 유출 방지 솔루션에 풍부한 보안 이벤트 스트림을 제공하는 C API입니다 우리는 먼저 지원 중단된 KAuth KPI 미지원 MAC 커널 프레임워크 지원 중단된 OpenBSM 감사 추적을 대체하기 위해 MacOS Catalina에 엔드포인트 보안을 도입했습니다 엔드포인트 보안 API에서 여러분이 이 기능을 사용할 수 있게 하여 커널 확장을 개발할 필요를 제거했습니다 엔드포인트 보안의 도입은 매우 큰 성공을 거두었습니다 우리는 현재 받고 있는 긍정적인 피드백과 보안 제품의 성과에 매우 만족하고 있습니다 엔드포인트 보안에 대한 자세한 소개는 WWDC 2020 세션 ’엔드포인트 보안 앱 빌드’를 참조하세요 이 세션에서는 macOS Ventura에 추가된 새로운 이벤트 음소거 기능 개선 및 eslogger라는 새로운 유틸리티에 대해 살펴보겠습니다 새로운 이벤트부터 살펴보죠 MacOS Montrey에서 엔드포인트 보안은 이벤트 유형을 100개 이상 지원합니다 지금까지 이런 이벤트는 프로세스 포킹이나 파일 열기 등 커널 내에서 발생하는 중요한 이벤트에 초점을 맞췄습니다 macOS Ventura에서는 사용자 공간에서 발생하는 보안 관련 이벤트를 포함하도록 관찰 가능한 이벤트 집합을 확장하고 있습니다 특히, 인증, 로그인 및 로그아웃 Gatekeeper의 XP protect에 가시성을 추가하고 있습니다 새 인증 이벤트는 사용자가 운영 체제에 대해 인증하는 상황을 포함합니다 여기에는 로컬 사용자 계정에 로그인하는 것뿐만 아니라 관리자 권한으로 작업을 인증하는 등 다른 장소에서의 인증도 포함됩니다 이런 이벤트는 일반적으로 의심스러운 액세스 패턴을 관찰하려는 보안 제품에서 사용됩니다 이전에는 인증 이벤트를 관찰하려면 사용되지 않는 OpenBSM 감사 추적에 의존해야 했지만 이제 더 이상 그럴 필요가 없습니다 또 감사 이벤트에 비해 이 새로운 이벤트는 정보가 훨씬 풍부하고 감사에서 사용할 수 없었던 Apple Watch를 사용한 자동 잠금 해제에 대한 가시성도 제공합니다 비슷한 맥락에서 사용자 세션에도 가시성을 추가하고 있습니다 로그인 이벤트는 콘솔에서 로컬로 시스템에 로그온하거나 지원되는 원격 액세스 방법 중 하나를 통해 원격으로 시스템에 로그온하는 상황을 포함합니다 이런 이벤트는 OpenBSM 감사 추적에서 사용할 수 있던 범위를 크게 벗어납니다 이 이벤트를 통해 엔터프라이즈 차량 간의 횡방향 이동을 포함하여 시스템 액세스에 대한 보다 포괄적인 가시성을 얻을 수 있죠 Gatekeeper의 임무는 알려진 악성 소프트웨어를 탐지하고 차단하는 것입니다 MacOS Ventura부터 엔드포인트 보안은 악성 소프트웨어 탐지와 악성 소프트웨어 중지 및 제거 작업 모두에 가시성을 제공합니다 이전에는 구조화된 방식으로 이 정보를 사용할 수 없었지만 이제 엔드포인트 보안 API를 통해 사용할 수 있습니다 이 추가 기능을 통해 대부분의 엔드포인트 보안 클라이언트는 지원 중단된 OpenBSM 감사 추적에 의존할 필요가 없을 것으로 기대합니다 감사 추적은 macOS Big Sur 이후 지원이 중단됐으며 향후 macOS 버전에서 제거될 예정입니다 이제 음소거로 넘어가죠 macOS Catalina 이후 우리는 실행 이미지 경로 또는 감사 토큰을 통한 음소거 프로세스를 지원했죠 음소거 기능은 교착 상태 중단 및 감시 시간 초과를 방지하고 엔드포인트 보안을 기반으로 솔루션의 성능 영향을 관리하도록 제공하는 중요한 도구입니다 지난해 macOS Montrey에서는 소규모 실행 파일 세트에 대해 기본값으로 일부 이벤트 유형을 음소거하여 시스템 불안정성의 빈번한 원인을 해결하기 시작했습니다 음소거를 해제할 수는 있지만 시스템 안정성을 위해 음소거 상태를 유지하는 것이 좋습니다 macOS Ventura에서는 대상 경로를 기반으로 음소거를 도입하여 음소거를 한 단계 더 발전시키고 있습니다 많은 실제 사용 사례에서 이를 통해 음소거 이상의 메스 같은 정밀도를 확보합니다 이제 응용 프로그램에서 수신할 의사가 없는 특정 경로 또는 경로 접두사와 관련된 파일 이벤트를 음소거할 수 있습니다 이제 로그 파일에 대한 이벤트에 관심이 없을 때 /var/log 아래에 대상 경로가 있는 모든 이벤트를 음소거하는 방법이 나와 있습니다 두 번째 예에서는 es_mute_path_events를 사용하여 /dev/null과 같은 단일 파일에 쓰기 이벤트만 음소거하는 방법을 보여 줍니다 게다가 우리는 심지어 음소거 로직을 도치할 수 있는 가능성도 도입하고 있죠 이제 지정된 프로세스 실행 파일 경로 또는 대상 경로를 기준으로 이벤트를 억제하는 대신 이 세 가지 음소거 유형 중 하나를 도치할 수 있습니다 효과적으로 이제 관심 있는 프로세스, 실행 파일 경로 또는 대상 경로를 선택하여 음소거한 이벤트와 일치하지 않는 이벤트만 수신할 수 있습니다 예를 들어 이제 특정 지속 위치에 대해서만 파일 이벤트를 선택할 수 있습니다 다음은 es_invert_muting을 사용하여 대상 경로에 대한 음소거를 반전하는 방법입니다 그런 다음 음소거 집합에서 이전에 존재하는 대상 경로를 제거한 다음 여러분이 관심 있는 대상 경로 접두사가 있는 이벤트만 선택합니다 이를 통해 음소거 전략이 훨씬 개선되고 궁극적으로 엔드포인트 보안 기반 제품을 사용하여 보다 쉽게 우수한 사용자 환경을 제공할 수 있을 것으로 기대합니다 마지막으로 eslogger를 소개하겠습니다 네이티브 클라이언트를 작성할 필요 없이 엔드포인트 보안 이벤트를 제공할 수 있는 기능을 요청하는 분들이 많았습니다 macOS Ventura부터는 OS를 심층적으로 검사하는 명령줄 유틸리티를 통해 엔드포인트 보안의 기능을 활용할 수 있습니다 eslogger는 특정 이벤트에 대해 엔드포인트 보안 이벤트 스트림을 사용하고 JSON 형식의 이벤트 데이터를 표준 출력 또는 통합 로깅 시스템으로 내보낼 수 있습니다 데이터는 네이티브 클라이언트가 사용하는 C 표현과 동일하게 구조화됩니다 eslogger는 엔드포인트 보안이 macOS Ventura에서 지원하는 80개의 NOTIFY 이벤트를 모두 지원합니다 eslogger가 엔드포인트 보안 클라이언트에서 작업하는 엔지니어뿐만 아니라 macOS에서 보안 관련 이벤트를 파악해야 하는 보안 분석가 그 외 보안 실무자에게도 유용하게 사용되기를 기대합니다
eslogger는 OS와 함께 제공되며 이미 엔드포인트 보안에서 사용할 수 있습니다 모든 엔드포인트 보안 클라이언트와 마찬가지로 eslogger는 superuser로 실행되어야 하며 사용자가 Terminal.app 또는 SSH와 같은 전체 디스크 액세스에 대한 책임 프로세스를 승인해야 합니다 eslogger는 응용 프로그램에서 사용할 수 없습니다 출력은 소프트웨어 업데이트에서 변경될 수 있습니다 이는 엔드포인트 보안 API와 기본적으로 인터페이스하는 것과 동일한 성능 특성이나 동일한 기능 세트를 제공하려는 게 아닙니다 응용 프로그램은 계속 기본 인터페이스를 유지합니다 여기까지 설명했으니 eslogger를 사용하여 몇 가지 새로운 이벤트를 살펴보겠습니다 openssh_login 및 _logout 이벤트에 가입하고 출력을 파일로 리디렉션함으로써 eslogger를 사용하여 SSH 세션의 시작과 끝을 기록하려고 합니다
이제 이 다른 탭에서 SSH를 사용하여 로컬로 로그인했다가 다시 로그아웃합니다
첫 번째 탭으로 돌아오면 제가 eslogger를 방해하고 있습니다
엔드포인트 보안 이벤트 데이터를 원시 JSON 형식으로 살펴보겠습니다 JSON 데이터로 작업하는 여러분만의 가장 선호하는 방법이 있을 가능성이 높습니다 여기서는 jq를 사용하여 이벤트를 자세히 살펴보겠습니다
이건 정말 많은 정보입니다 몇 가지 흥미로운 분야에 대해 자세히 알아보겠습니다 모든 엔드포인트 보안 이벤트와 마찬가지로 이벤트를 내보낸 프로세스에 대한 정보가 있습니다
보시다시피 두 이벤트 모두 SSH 데몬에서 내보냈습니다 또한 예를 들어 감사 토큰을 검사하여 이벤트를 내보낸 프로세스의 PID를 수집할 수도 있습니다
마지막으로 이러한 이벤트의 이벤트별 필드를 살펴보겠습니다 이제 제 사용자 계정에 성공적으로 SSH 로그인한 다음 로그아웃한 것을 알 수 있습니다 악성 소프트웨어 동작을 관찰하거나 탐지 접근 방식을 신속하게 프로토타입으로 만들 경우 엔드포인트 보안 이벤트를 이렇게 파악할 수 있어서 정말 좋습니다 여러분의 보안 솔루션이 향상된 음소거 기능과 새로운 이벤트를 활용하는 모습을 보는 그날을 기대합니다 WWDC에서 함께해 주셔서 감사합니다 ♪
-
-
4:29 - Target path muting
// Mute events operating on /var/log es_mute_path(client, "/private/var/log", ES_MUTE_PATH_TYPE_TARGET_PREFIX) // Mute write events to /dev/null var events = [ ES_EVENT_TYPE_NOTIFY_WRITE ] es_mute_path_events(client, "/dev/null", ES_MUTE_PATH_TYPE_TARGET_LITERAL, &events, events.count) -
5:08 - Mute inversion
// Invert muting for target paths es_invert_muting(client, ES_MUTE_INVERSION_TYPE_TARGET_PATH) // Select only events pertaining to /Library/LaunchDaemons es_unmute_all_target_paths(client) es_mute_path(client, "/Library/LaunchDaemons", ES_MUTE_PATH_TYPE_TARGET_PREFIX) -
8:08 - Use eslogger to observe ssh login and logout events
sudo eslogger openssh_login openssh_logout >out.jsonl
-
-
찾고 계신 콘텐츠가 있나요? 위에 주제를 입력하고 원하는 내용을 바로 검색해 보세요.
쿼리를 제출하는 중에 오류가 발생했습니다. 인터넷 연결을 확인하고 다시 시도해 주세요.