블로그로 돌아가기
제품 업데이트Linux 보안규정 준수

Sandfly 5.5 - Linux EDR, 보안 및 규정 준수 강화

2025년 8월 20일
10분 읽기
Sandfly Security Team
Sandfly 5.5 - Linux EDR, 보안 및 규정 준수 강화

요약

Sandfly 5.5 버전은 Linux EDR, 보안 및 규정 준수를 크게 강화합니다.

Sandfly 5.5 - AI 기반 분석, 고급 BPFDoor 탐지, 스마트 스캐닝

2025년 7월 16일

제품 업데이트

Sandfly 5.5는 보안 이벤트를 위한 AI 분석, BPFDoor에 대한 향상된 적용 범위, 스캐닝 성능 업그레이드를 발표합니다.

모든 주요 벤더와 고객을 위한 온프레미스 LLM 솔루션에 대한 AI 대형 언어 모델(LLM) 통합을 구현했습니다. 이는 매우 강력한 새로운 기능이며 단순한 과장 광고가 아닙니다. 고객들이 이 새로운 기능이 조직에 적합한지 확인하기 위해 아래의 내용을 더 자세히 읽어보시기를 권장합니다.

또한 업데이트된 BPFDoor 악성코드에 대한 탐지 적용 범위를 확장했습니다. 이 악성코드는 여전히 많은 중요 인프라 제공업체에 영향을 미치고 있으며, 우리의 새로운 탐지 기능은 기존 적용 범위를 확장합니다.

마지막으로, 기본 "트리클" 모드를 특징으로 하는 예약된 스캔과 같은 영역에서 성능을 개선했습니다. 이 모드는 네트워크 및 호스트 부하를 낮추기 위해 시간 창에 걸쳐 스캔을 분산시킵니다.

Linux 보안을 위한 AI

고객들로부터 특정 경고가 무엇을 의미하는지, 어떻게 조사해야 하는지 등에 대해 자주 질문을 받습니다. 이는 특히 깊은 Linux 포렌식 이해를 가진 인력에 대한 접근이 제한된 팀들에게 해당됩니다. 새로운 세대의 AI LLM을 관찰하고 실험한 후, 우리는 이러한 질문에 답하는 데 도움이 되는 고객을 위한 강력한 새로운 AI 보안 분석가 기능을 제공할 수 있는 위치에 있다고 생각합니다.

좋은 결과를 위한 좋은 데이터

Sandfly에서는 많은 LLM이 나쁜 데이터를 분석하고 결론을 도출하도록 요청받았기 때문에 나쁜 평판을 얻고 있다는 것을 확인했습니다. 나쁜 데이터를 가진 LLM은 그것을 해석하도록 요청받았을 때 항상 나쁜 결과를 제공할 것입니다(인간이 그렇게 하는 것과 같은 방식으로). 그러나 Sandfly는 두 가지 매우 중요한 이유로 다릅니다:

  1. 우리는 데이터를 직접 생성하기 때문에 데이터 품질을 완전히 제어합니다.
  2. 우리는 그 데이터에 어떤 질문을 해야 하는지 알고 있습니다.

이러한 점들은 보안 맥락에서 좋고 신뢰할 수 있는 LLM 사용을 위해 중요합니다.

Linux 포렌식을 위해 우리가 얻는 데이터는 우리가 직접 소싱하며 업계 최고라는 것을 이해하십시오. Linux에 대한 우리의 독점적 초점은 다른 플랫폼에 주의가 분산되지 않거나 제3자가 랜덤 로그에서 우리가 처리해야 할 것을 넘겨주는 것에 대해 걱정할 필요가 없다는 것을 의미합니다. 우리의 도구는 다른 누구에게도 의존하지 않고 Linux 포렌식 데이터를 정확하고 빠르게 수집하도록 목적에 맞게 구축되었습니다. 결과적으로 LLM 환각과 잘못된 분석에 대한 문제가 최소화됩니다.

BPFDoor 탐지 백서

Sandfly로 BPFDoor를 탐지하는 전체 백서를 작성했으며 백서 섹션에서 확인할 수 있습니다. 이 위협이 우려되는 고객들이 이 백서를 읽기를 권합니다. 백서에는 이 위협을 에이전트 없이 자동으로 찾기 위해 Sandfly에서 사용할 수 있는 모든 탐지 기능이 포함되어 있습니다.

Sandfly 백서

트리클 스캔 및 성능 개선

마지막으로 새로운 "트리클 스캔" 모드를 추가했습니다. 트리클 스캔은 과거처럼 모든 스캔을 한 번에 수행하는 대신 예약된 간격에 걸쳐 스캔을 천천히 분산시키는 스케줄러의 일부입니다. 스캔을 트리클아웃함으로써 네트워크 대역폭을 덜 소모하고 가상 머신 서버 환경에서 잠재적인 호스트 영향을 낮춥니다. 스캔은 트리클 모드에서도 회피 저항을 위해 무작위 특성을 유지합니다.

트리클 스캔 기능은 모든 스캔에 대해 기본적으로 활성화됩니다. 실행 시 모든 스캔을 한 번에 수행하는 기존 방법을 원한다면 일정을 추가하거나 편집할 때 스캔 구성에서 플래그를 설정할 수 있습니다.

Sandfly 업그레이드

Sandfly 5.5에는 많은 중요한 새로운 기능이 있습니다. 새로운 AI LLM 분석가를 시도해보고 어떻게 개선할 수 있는지 피드백을 보내주시기를 권합니다. 새로운 BPFDoor 기능도 고객, 특히 중요 인프라에 있는 고객들에게 중요합니다. 업그레이드를 강력히 권장합니다.

새로운 기능과 능력에 대한 문서를 확인하시기 바랍니다:

Sandfly 문서

업그레이드를 원하는 고객은 여기의 지침을 따르세요:

Sandfly 업그레이드

질문이 있으시면 문의주시거나 자신만의 Sandfly 버전을 받아 오늘 사용해보세요.

Sandfly를 사용해주셔서 감사합니다.

Sandfly Security에 대한 자세한 정보는 공식 웹사이트를 방문하시거나 무료 체험을 신청해 보세요.

원문 기사 보기

Sandfly Security 공식 블로그에서 영문 원문을 확인하세요.

원문 읽기 →

관련 기사

Phrack에서 유출된 북한 Linux 스텔스 루트킷 분석
Linux 보안

Phrack에서 유출된 북한 Linux 스텔스 루트킷 분석

Phrack 매거진에서 유출된 정교한 북한 Linux 스텔스 루트킷에 대한 심층 분석입니다. 고급 은폐 기능, 백도어 기능 및 사고 대응자를 위한 탐지 방법을 탐구합니다.

Linux에서의 SCTP 프로토콜 공격 위험
악성코드

Linux에서의 SCTP 프로토콜 공격 위험

Stream Control Transmission Protocol(SCTP)이 Linux 시스템에서 은밀한 백도어로 악용될 수 있는 방법을 논의합니다.

Sandfly 보안 솔루션 체험

이 기사에서 소개한 보안 기술들을 실제로 경험해보세요.

무료 체험 시작기능 자세히 보기