행위기반탐지 엔진이 애플리케이션을 차단했지만 차단을 인식 못하는 문제는 어느 벤더든 흔한 문제이기는 하다. 공격 또는 차단 행위로 인식하지 않았으나 엔진이 켜져있으면 소프트웨어 프로세스가 거절 되어 다음 단계로 나아가지 못하거나, 프로세스 완료가 되지 못할 정도로 느려지는 때도 있다.
이 경우 벤더에 리포트하여 보안운영자가 아닌 보안 제품 단에서 예외처리가 되어야 한다. Carbon Black 또한 마찬가지이며, 꽤나 빈번하게 일어난다. Microsoft RDP for Mac, FreeRDP for Mac 등이 있었다. 정책 위반이 아니어 경고나 차단이 트리거되지 않아도, 실제 원격 연결이 되면 검은 화면만 표시되어 사용할 수 없었다.
Microsoft Exchange도 마찬가지이다. 락다운 유형의 방어 시에 소프트웨어 설치 위해 보호를 끄듯이 Carbon Black 보호 기능도도 꺼야 한다. 그렇지 않으면 몇시간이고 10/17 단계에서 멈춰 있는 설치 화면을 보게 된다.
답글 남기기