네트워크의 중요한 1차 사이버 보안 방어선인 엔드포인트 보안은 최종 사용자와 엔드포인트 디바이스(데스크톱, 노트북, 모바일 디바이스, 서버 등)를 사이버 공격으로부터 보호합니다.
또한 엔드포인트 보안은 엔드포인트 디바이스를 사용하여 네트워크의 민감한 데이터 및 기타 자산에 대한 사이버 공격을 시작하려는 공격자로부터 네트워크를 보호합니다.
엔드포인트는 여전히 사이버 공격에서 기업 네트워크의 주요 진입점입니다. 여러 연구에 따르면 성공적인 사이버 공격의 90%, 성공적인 데이터 침해의 70%가 엔드포인트 디바이스에서 시작된다고 합니다. IBM의 데이터 유출 비용(CODB) 보고서에 따르면 데이터 유출로 인한 기업의 평균 비용은 488만 달러에 달한다고 합니다.
오늘날 기업은 그 어느 때보다 더 많은 엔드포인트와 더 많은 종류의 엔드포인트를 보호해야 합니다. BYOD(Bring-Your-Own-Device) 정책, 원격 근무의 증가, IoT 디바이스, 고객 대면 장치 및 네트워크 연결 제품의 급증으로 해커가 악용할 수 있는 엔드포인트와 보안 팀이 보호해야 하는 취약성이 배가되었습니다.
ESG의 선임 분석가가 모든 팀과 모든 위치에서 작동하는 통합 엔드포인트 관리(UEM) 및 보안 솔루션에 대해 조직이 올바른 투자를 하고 있는지 확인하는 방법을 공유합니다.
최초의 엔드포인트 보안 소프트웨어인 바이러스 백신 소프트웨어는 트로이 목마, 웜, 애드웨어 등 알려진 형태의 맬웨어로부터 엔드포인트를 보호합니다.
기존의 바이러스 백신 소프트웨어는 엔드포인트 디바이스의 파일에서 알려진 바이러스 또는 맬웨어의 특징인 바이트 문자열 등 맬웨어의 징후를 검사했습니다. 이 소프트웨어는 바이러스가 발견되면 사용자 또는 관리자에게 경고하고 바이러스를 격리 및 제거하고 감염된 파일을 복구할 수 있는 툴을 제공했습니다.
차세대 바이러스 백신(NGAV)이라고도 하는 오늘날의 바이러스 백신 소프트웨어는 징후를 남기지 않는 맬웨어를 포함한 새로운 유형의 맬웨어를 식별하고 차단할 수 있습니다. 예를 들어, NGAV는 파일리스 맬웨어, 즉 메모리에 상주하여 합법적인 애플리케이션의 코드에 악성 스크립트를 주입하는 맬웨어를 탐지할 수 있습니다. 또한 NGAV는 의심스러운 행동 패턴을 알려진 바이러스의 패턴과 비교하는 휴리스틱과 파일에서 바이러스 또는 맬웨어 감염 징후를 검사하는 무결성 스캔을 사용하여 의심스러운 활동을 식별할 수 있습니다.
바이러스 백신 소프트웨어만으로도 소수의 엔드포인트를 보호하는 데 충분할 수 있습니다. 그 이상은 일반적으로 엔터프라이즈 보호 플랫폼, 즉 EPP가 필요합니다. EPP는 NGAV를 다음과 같은 다른 엔드포인트 보안 솔루션과 결합합니다.
EPP는 이러한 엔드포인트 솔루션을 중앙 관리 콘솔에 통합하여 보안 팀 또는 시스템 관리자가 모든 엔드포인트의 보안을 모니터링하고 관리할 수 있도록 합니다. 예를 들어 EPP는 각 엔드포인트에 적절한 보안 툴을 할당하고, 필요에 따라 해당 툴을 업데이트하거나 패치하고, 회사 보안 정책을 관리할 수 있습니다.
EPP는 온프레미스 또는 클라우드 기반일 수 있습니다. 그러나 업계 분석가 Gartner(ibm.com 외부 링크)는 '바람직한 EPP 솔루션은 주로 클라우드에서 관리되며, 엔드포인트가 기업 네트워크에 있든 사무실 외부에 있든 관계없이 활동 데이터를 지속적으로 모니터링 및 수집하고 원격 문제 해결 조치를 취할 수 있는 기능'이라고 언급했습니다.
EPP는 알려진 위협 또는 알려진 방식으로 행동하는 위협을 예방하는 데 중점을 둡니다. 엔드포인트 탐지 및 대응(EDR)이라고 하는 또 다른 종류의 엔드포인트 보안 솔루션을 통해 보안 팀은 예방적 엔드포인트 보안 툴을 우회하는 위협에 대응할 수 있습니다.
EDR 솔루션은 각 디바이스에 들어오는 파일과 애플리케이션을 지속적으로 모니터링하여 맬웨어, 랜섬웨어 또는 지능형 위협을 나타내는 의심스럽거나 악의적인 활동을 찾아냅니다. 또한 EDR은 상세한 보안 데이터와 텔레메트리를 지속적으로 수집하여 실시간 분석, 근본 원인 조사, 위협 헌팅 등에 사용할 수 있는 데이터 레이크에 저장합니다.
EDR에는 일반적으로 고급 분석, 행동 분석, 인공 지능(AI) 및 머신 러닝, 자동화 기능, 지능형 경고, 조사 및 수정 기능이 포함되어 있어 보안 팀이 다음을 수행할 수 있습니다.
많은 최신 EPP 또는 고급 EPP에는 일부 EDR 기능이 포함되어 있지만 예방 및 대응을 포괄하는 완전한 엔드포인트 보호를 위해 대부분의 기업은 두 기술을 모두 사용해야 합니다.
확장 탐지 및 대응(XDR)은 EDR 위협 탐지 및 대응 모델을 인프라의 모든 영역 또는 계층으로 확장하여 엔드포인트 장치뿐만 아니라 애플리케이션, 데이터베이스 및 스토리지, 네트워크 및 클라우드 워크로드를 보호합니다. 서비스형 소프트웨어(SaaS) 제품인 XDR은 온프레미스 및 클라우드 리소스를 보호합니다. 일부 XDR 플랫폼은 단일 공급업체 또는 클라우드 서비스 제공업체의 보안 제품을 통합하지만, 가장 좋은 플랫폼은 조직이 선호하는 보안 솔루션을 추가하고 통합할 수 있는 플랫폼입니다.
