스케줄러는 두 가지 다른 스케줄 유형으로 구성됩니다. 원래의 Scan Hosts 유형은 스캔 스케줄이 Sandfly 데이터베이스의 호스트에서 자동으로 sandfly를 실행하는 곳이고, Discover Hosts 유형은 네트워크에서 새로운 호스트를 자동으로 검색합니다.

호스트 스캔

Sandfly의 호스트 스캔 스케줄링은 기존에 익숙했던 방식과 다르게 작동합니다. 고정된 시간 대신 Sandfly는 고유한 랜덤 스케줄링 메커니즘을 사용합니다. Sandfly가 랜덤 스케줄을 사용하도록 설정하는 것은 간단하고 자동입니다.

랜덤 스케줄 및 랜덤 Sandfly

Sandfly는 Sandfly가 실행될 랜덤 시간 창을 설정할 수 있도록 해줍니다. 또한 매번 실행될 활성 sandfly의 백분율을 선택할 수 있습니다.

이 개념은 간단합니다. 30-60분 사이의 시간을 선택한다고 가정해 보겠습니다. 그런 다음 20%와 같이 실행할 Sandfly의 무작위 수를 선택합니다. Sandfly는 해당 스케줄을 가져와서 30-60분 사이의 미래 무작위 시간(예: 39분)을 선택합니다. 39분이 경과하면, Sandfly는 활성 Sandfly의 20%를 선택하여 시스템을 조사하는 데 사용합니다. 그런 다음 Sandfly는 미래 30-60분 사이의 새로운 시간을 선택하고 무작위로 선택된 또 다른 20%의 Sandfly로 프로세스를 반복합니다.

Sandfly가 이렇게 하는 이유는 세 가지입니다.

Reason One: Lower Impact

무작위적이고 소규모 스케줄링은 하루에 한 번 (또는 그보다 적게) 수행하는 대규모 모놀리식 스캔 대신 하루 종일 많은 소규모 빠른 스캔을 수행하기 때문에 시스템 영향을 줄입니다.

Reason Two: Superior Coverage

많은 소규모 무작위 스캔을 수행함으로써 공격에 대한 우수한 적용 범위를 얻습니다. 일반적인 스케줄은 Sandfly로 쉽게 100% 적용 범위를 달성할 수 있습니다. 하루에 한 번 문제를 확인하는 대신, Sandfly는 같은 문제를 하루에 수십 번 확인할 수 있습니다. 이는 공격자가 탐지되지 않고 남아있을 수 있는 기간을 훨씬 짧게 만듭니다.

Reason Three: Evasion Resistance

무작위적으로 작동함으로써 Sandfly의 회피 저항성이 증가합니다. 공격자는 어느 정도 노력을 기울여 예정된 스캔을 회피할 수 있습니다. 그러나 Sandfly는 무작위이므로 정해진 일정에 의한 회피를 매우 어렵게 만듭니다.

Discover Hosts

호스트 탐지 스케줄은 주로 (하지만 배타적이지는 않게) 어떤 이유로든 자주/동적으로 변경될 수 있는 호스트가 있는 IP 주소 및/또는 네트워크 블록과 함께 사용하기 위한 것으로, 보안 스캔의 이점을 얻을 수 있을 만큼 충분히 오래 존재하는 경우에 적합합니다. 탐지 유형의 스케줄은 대상 주소에서 새로운 또는 변경된 호스트를 검색하고 그에 따라 Sandfly를 업데이트합니다.

탐지 스캔은 다음과 같은 사용 사례를 가능하게 합니다:

• 새로운 Linux 호스트에 대해 DHCP 주소 풀을 자동으로 모니터링합니다.
• 클라우드 제공업체의 주소 범위와 동적 워크로드를 보호합니다.
• 네트워크에 나타난 승인되지 않은 새로운 호스트를 찾습니다.