위협 탐지 및 대응(TDR)은 조직이 사이버 보안 위협을 탐지, 조사 및 완화하는 데 사용하는 도구 및 프로세스를 말합니다. 고급 탐지 방법, 자동화된 대응 능력 및 통합 보안 솔루션을 결합하여 조직이 위험을 줄이고 진화하는 위협 환경에 적응할 수 있도록 지원합니다.
TDR은 보안팀이 인시던트를 신속하게 해결하고 장애를 최소화하면서 시스템을 복원할 수 있도록 지원합니다. 랜섬웨어, 피싱, 제로데이 익스플로잇과 같은 위협이 점점 더 빈번하게 일어나고 정교해짐에 따라 조직은 악의적인 활동이 피해를 일으키기 전에 이를 탐지할 수 있는 사전 전략이 필요합니다.
위험은 크고 시급합니다. Microsoft는 에코시스템 전반에서 매일 약 6억 건의 사이버 공격을 탐지하며, 초당 평균 6,900건 이상을 탐지합니다. 조직의 경우 이는 거의 끊임없는 데이터 침해 시도로 이어집니다.
업계 뉴스레터
Think 뉴스레터를 통해 AI, 자동화, 데이터 등 가장 중요하고 흥미로운 업계 동향에 대한 최신 소식을 받아보세요. IBM 개인정보 보호정책을 참조하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책을 참조하세요.
디지털 혁신과 사물인터넷(IoT) 및 인공 지능(AI)과 같은 신기술은 오늘날 조직의 공격 표면을 크게 확장했습니다.
특히 생성형 AI는 위협 환경에 새로운 차원을 도입했으며 프롬프트 인젝션과 같은 방법을 통해 악용되고 있습니다. 하지만 IBM 기업가치연구소(IBV)의 연구에 따르면 생성형 AI 이니셔티브 중 단지 24%만이 보안이 확보되어 있다고 합니다.
엔드포인트 보안은 개선되었지만 위협 행위자들은 계속해서 진화하고 있습니다. 최근의 적대 세력은 네트워크 트래픽에 미묘한 이상을 일으키는 것부터 분산 서비스 거부(DDoS) 캠페인을 시작하는 것까지, 민감한 데이터를 점점 더 복잡하고 은밀한 방법으로 표적으로 삼고 있습니다.
많은 위협 행위자들이 이제 AI를 활용해 공격을 자동화하고 탐지를 회피하며 대규모로 취약점을 악용하고 있습니다. 직원과 계약자가 저지르는 내부 위협도 증가하고 있으며, 2024년에는 조직의 83%가 최소한 한 건 이상의 내부자 공격을 경험했습니다.
보안 팀은 지속적인 모니터링과 신속한 대응을 가능하게 하기 위해 침입 탐지 시스템(IDS) 및 위협 인텔리전스 플랫폼과 함께 위협 탐지 및 대응 툴을 통합하는 계층화된 접근 방식이 필요합니다. 기술적 개선을 넘어 비즈니스 측면에서도 명확한 이점이 있습니다. 더 정확한 탐지 능력은 허위 경보 감소, 신속한 분류 및 대응, 그리고 사고 발생 시 더 짧은 복구 시간을 의미합니다.
위협 탐지 및 대응 솔루션은 다음을 포함한 광범위한 보안 사고를 방어합니다.
조직은 사이버 위협에 대응하기 위해 네 가지 핵심 구성 요소를 중심으로 구축된 계층형 TDR 전략을 활용할 수 있습니다.
위협 인텔리전스는 알려진 위협과 새로운 위협에 대한 상세하고 실행 가능한 정보를 제공합니다. 조직은 현재 및 잠재적 사이버 공격을 강조하는 데이터 스트림인 위협 인텔리전스 피드를 통합함으로써 공격자 전술을 식별할 수 있습니다. 또한 사이버 범죄자의 알려진 적대적 행동을 기반으로 사이버 보안 위협에 대응하기 위해 지속적으로 업데이트되는 지식 기반인 MITRE ATT & CK와 같은 프레임워크를 사용하여 오탐지를 줄일 수 있습니다.
위협이 감지되면 자동화된 대응 도구는 엔드포인트를 격리하고 손상된 계정을 비활성화합니다. 효과적인 사고 대응 계획에는 플레이북, 통합 보안 도구, 이해관계자 조정 및 재발을 방지하기 위한 사고 후 분석이 포함됩니다.
핵심 구성 요소는 수행해야 할 작업이 무엇인지 설명하는 반면, 특정 도구와 기술은 해당 작업이 대규모로 수행되는 방식을 정의합니다. 기능은 일반적으로 두 가지 카테고리로 나뉩니다. 잠재적인 보안 위협을 표면화하는 탐지 기술과 이러한 위협을 억제하고 해결하는 대응 기술입니다.
탐지 기술 및 플랫폼은 일반적으로 다음 네 가지 접근 방식 중 하나에 의존합니다.
서명 기반 탐지는 파일 해시 및 IP 주소와 같은 알려진 IOC를 사용합니다. 이 제품은 알려진 위협에 대해 빠르고 신뢰할 수 있지만, 새로운 공격에는 효과적이지 않습니다.
이상 기반 탐지는 네트워크 트래픽, 시스템 성능 또는 사용자 활동의 예상 패턴에서 벗어나는 사항을 플래그지정하며, 은밀하거나 새로운 위협 또는 제로데이 위협을 탐지하는 데 효과적인 경우가 많습니다.
행동 기반 탐지는 시간 경과에 따른 일반적인 사용자 또는 시스템 동작을 모니터링하여 민감한 데이터에 대한 비정상적인 액세스 또는 시스템 전반의 수평 이동과 같은 의심스러운 변화를 탐지합니다.
인텔리전스 기반 탐지는 외부 위협 인텔리전스 피드를 통합하여 새로운 전술, 기술 및 절차(TTP)를 식별하여 팀이 고도화된 공격을 조기에 탐지할 수 있도록 합니다.
대부분의 최신 탐지 플랫폼은 가시성을 개선하고 오탐지를 줄이기 위해 이러한 접근 방식을 계층화합니다. 이를 실현하는 탐지 도구는 다음과 같습니다.
이러한 도구는 AI 및 머신 러닝(ML)과 같은 고급 기술과 결합하면 가장 효과적입니다. 함께, 이들은 보안 팀이 위협을 우선순위화하고 IOC를 조사하며 다양한 사용 사례에 걸쳐 대응을 효율화하는 데 도움을 줍니다. 또한 이들은 고급 TDR 기능인 신원 기반 위협 탐지 및 대응(ITDR)과 데이터 보안 태세 관리(DSPM)를 지원합니다.
신원 위협 탐지 및 대응(ITDR): ITDR은 로그인 활동, 액세스 동작 및 권한 상승을 지속적으로 모니터링하여 신원 시스템을 보호하는 데 중점을 둡니다. 자격 증명 스터핑 및 계정 인수와 같은 공격을 감지하고 계정 잠금이나 세션 종료와 같은 실시간 격리 조치를 트리거하는 데 도움이 됩니다.
데이터 보안 태세 관리(DSPM): DSPM은 클라우드 및 하이브리드 환경 전반에서 민감한 데이터를 검색, 분류 및 평가하는 데 도움이 됩니다. DSPM은 TDR 워크플로에 데이터 컨텍스트를 제공함으로써 팀이 고위험 위협의 우선순위를 정하고 보다 효과적으로 해결할 수 있도록 지원합니다.
위협이 확인되면 대응 노력은 일반적으로 차단, 복구 및 복원 단계에 집중됩니다. 이러한 노력은 실시간 조치부터 장기적인 조사 및 프로세스 개선에 이르는 다양한 활동을 포함하며, 다음과 같습니다:
자동화된 격리 및 플레이북 실행에는 엔드포인트 격리, 손상된 계정 비활성화 또는 악성 IP 차단이 포함되며, 종종 SOAR 플랫폼 또는 XDR 정책을 통해 조율됩니다.
플레이북 기반 대응에는 분석가가 분류, 에스컬레이션, 알림 및 수정을 안내하는 데 도움이 되는 워크플로가 포함되어 있습니다. 이는 성숙도에 따라 수동, 자동화 또는 하이브리드일 수 있습니다.
통합 사례 관리 시스템은 탐지 플랫폼을 IT 서비스 도구와 연결하여 업무 이관, 문서화 및 준수 보고를 효율화합니다.
사고 후 분석에는 포렌식 조사, 근본 원인 분석 및 탐지 규칙 또는 대응 워크플로의 개선이 포함됩니다.
탐지와 대응은 고정되어 있는 것이 아니라 진화합니다. 이처럼 빠르게 변화하는 위협에 대응하기 위해 일반적으로 AI, 분석, 도메인 간 상관 관계 및 자동화된 대응을 통합하는 '고급 위협 탐지 및 대응'이라는 접근 방식이 등장했습니다. 그 목표는 위협을 더 빠르게 탐지하는 것뿐만 아니라 공격자를 능가하는 것입니다.
고도화된 전략은 정확성을 높이고 보안 운영 팀이 새로운 위협에 적응하여 민감한 데이터를 보호하고 전반적인 태세를 강화할 수 있도록 합니다. 핵심 기술을 바탕으로 조직은 다음과 같은 접근 방식을 통해 탐지 및 대응 역량을 향상할 수 있습니다.
효과적인 위협 탐지 및 대응 프로세스에는 활성 위협을 차단하기 위한 자동화된 조치가 포함됩니다. 그러나 가장 효과적인 팀은 대응의 인간적인 측면도 고려합니다. 즉, 알림 피로를 줄이고, 시간에 따라 알림을 조정하며, 얻은 교훈을 문서화합니다. 이러한 보안 조치를 지속적인 보안 태세 평가와 결합하면 팀이 진화하는 위협보다 앞서 나가는 데 도움이 될 수 있습니다.
IBM X-Force Threat Intelligence Index를 통해 더 빠르고 효과적으로 사이버 공격에 대비하고 대응할 수 있는 인사이트를 확보하세요.
IBM이 주요 기업으로 선정된 이유를 확인하고, 조직의 요구에 가장 적합한 사이버보안 컨설팅 서비스 업체를 선택하기 위한 인사이트를 얻으세요.
최대 규모 엔터프라이즈 보안 제공업체의 솔루션으로 보안 프로그램을 혁신하세요.
사이버 보안 컨설팅, 클라우드 및 관리형 보안 서비스를 통해 비즈니스를 혁신하고 위험을 관리하세요.
AI 기반 사이버 보안 솔루션으로 보안팀의 속도, 정확성, 생산성을 향상시키세요.
데이터 보안, 엔드포인트 관리, ID 및 액세스 관리(IAM) 솔루션 등 어떤 솔루션이 필요하든 IBM의 전문가들이 협력하여 엄격한 보안 태세를 갖추도록 도와드립니다.사이버 보안 컨설팅, 클라우드, 관리형 보안 서비스 분야의 글로벌 리더와 협력하여 기업을 혁신하고 리스크를 관리하세요.