엔드포인트 탐지 및 대응, 즉 EDR은 바이러스 백신 소프트웨어와 기타 기존의 엔드포인트 보안 도구를 넘어서는 사이버 위협으로부터 조직의 최종 사용자, 엔드포인트 디바이스 및 IT 자산을 자동으로 보호하도록 설계된 소프트웨어입니다.
EDR은 데스크탑 및 노트북 컴퓨터, 서버, 모바일 디바이스, IoT(Internet of Things) 디바이스 등 네트워크의 모든 엔드포인트에서 지속적으로 데이터를 수집합니다. 그리고 이 데이터를 실시간으로 분석하여 알려졌거나 의심스러운 사이버 위협의 증거를 찾고 자동으로 대응하여 식별된 위협으로 인한 피해를 방지하거나 최소화합니다.
2013년 처음 Gartner의 인정을 받은 EDR이 현재 여러 기업에서 널리 활용되고 있는 데는 나름의 합당한 이유가 있습니다.
연구에 따르면 성공적인 사이버 공격의 90%와 성공적인 데이터 침해의 70%가 엔드포인트 디바이스에서 발생한 것으로 추정됩니다. 바이러스 백신/멀웨어 방지 소프트웨어, 방화벽 및 기타 기존의 엔드포인트 보안 솔루션은 시간이 지남에 따라 발전했지만 여전히 알려진 파일 기반 또는 서명 기반 엔드포인트 위협을 감지하는 데에는 한계가 있습니다. 예를 들어 피해자를 유인하여 민감한 데이터를 유출하거나 악성 코드가 포함된 허위 웹사이트를 방문하도록 유도하는 피싱 메시지 등의 소셜 엔지니어링 공격을 차단하는 데 훨씬 효과가 떨어집니다. (피싱은 가장 흔한 랜섬웨어 배포 방법입니다.) 또한 파일 또는 서명 스캔을 모두 회피하기 위해 컴퓨터 메모리에서만 작동하는, 계속 늘어가는 '파일리스' 사이버 공격에도 대항하지 못합니다.
가장 중요한 점은 기존의 엔드포인트 보안 도구는 몰래 잠입하는 지능형 위협을 탐지하거나 무력화할 수 없다는 것입니다. 따라서 사이버 공격자가 수개월 동안 네트워크에 숨어 로밍하면서 데이터를 수집하고 취약성을 파악하여 랜섬웨어 공격, 제로데이 익스플로잇 또는 기타 대규모 사이버 공격을 준비할 수 있습니다.
EDR은 기존의 엔드포인트 보안 솔루션이 중단된 부분에서 시작됩니다. EDR의 위협 탐지 분석 및 대응 자동화 기능은 종종 사람의 개입 없이도 네트워크 경계에 침투하여 심각한 피해를 초래할 수 있는 잠재적 위협을 식별하고 억제할 수 있습니다. EDR은 보안 팀이 자체적으로 의심되거나 새로운 위협을 발견, 조사 및 예방하는 데도 사용할 수 있는 도구를 제공합니다.
공급업체마다 차이가 있지만, 일반적으로 EDR 솔루션은 지속적인 엔드포인트 데이터 수집, 실시간 분석 및 위협 탐지, 위협 대응 자동화, 위협 격리 및 해결, 위협 추적 지원의 5가지 핵심 기능으로 구성됩니다.
EDR은 네트워크의 모든 엔드포인트 디바이스에서 프로세스, 성능, 구성 변경, 네트워크 연결, 파일 및 데이터 다운로드 또는 전송, 최종 사용자 또는 장치 동작에 대한 데이터를 지속적으로 수집합니다. 데이터는 대개 클라우드에서 호스팅되는 중앙 집중식 데이터베이스 또는 데이터 레이크에 저장됩니다.
대부분의 EDR 보안 솔루션은 모든 엔드포인트 디바이스에 경량 데이터 수집 도구 또는 에이전트를 설치하여 데이터를 수집합니다. 단, 일부 솔루션은 엔드포인트 운영 체제의 기능을 대신 사용할 수 있습니다.
EDR은 고급 분석 및 머신 러닝 알고리즘을 사용하여 알려진 위협이나 의심스러운 활동을 나타내는 패턴이 발생할 때마다 실시간으로 식별합니다.
일반적으로 EDR은 두 가지 유형의 지표를 살피는데, 하나는 잠재적인 공격 또는 침해와 관련된 행동 또는 이벤트인 침해 지표(IOC)이고, 다른 하나는 알려진 사이버 위협 또는 사이버 범죄자와 관련된 행동이나 이벤트인 공격 지표(IOA)입니다.
이러한 지표를 식별하기 위해 EDR은 자체 엔드포인트 데이터와 위협 인텔리전스 서비스의 데이터를 실시간으로 연결하여 사용된 전술, 악용된 엔드포인트 또는 IT 인프라 취약성 등 최근의 새로운 사이버 위협에 대한 업데이트 정보를 지속적으로 제공합니다. 위협 인텔리전스 서비스는 독점(EDR 제공업체가 운영), 써드파티 또는 커뮤니티 기반일 수 있습니다. 이외에도 많은 EDR 솔루션이 Mitre ATT&CK, 즉 미국 정부가 후원하며 자유롭게 액세스 가능한 해커의 사이버 위협 전술 및 기술에 관한 글로벌 지식 기반에 데이터를 맵핑합니다.
EDR 분석 및 알고리즘은 자체적으로도 탐색을 수행하여, 실시간 데이터를 과거 데이터 및 확립된 기준과 비교하여 의심스러운 활동 및 비정상적 최종 사용자 활동 외에도 사이버 보안 인시던트 또는 위협을 나타낼 수 있는 모든 것을 식별할 수 있습니다. 또한 '신호' 또는 합법적인 위협을 거짓 양성 '노이즈'와 분리하여 보안 분석가가 중요한 인시던트에 집중할 수 있도록 합니다.
많은 기업이 엔드포인트뿐만 아니라 애플리케이션, 데이터베이스, 웹 브라우저, 네트워크 하드웨어 등 IT 인프라의 모든 계층에서 보안 관련 정보를 수집하는 보안 정보 및 이벤트 관리(SIEM) 솔루션과 EDR을 통합합니다. SIEM 데이터는 위협의 식별, 우선 순위 지정, 조사 및 해결을 위해 컨텍스트를 추가하여 EDR 분석을 강화할 수 있습니다.
EDR은 솔루션의 사용자 인터페이스(UI) 역할도 하는 중앙 관리 콘솔에서 중요한 데이터와 분석 결과를 요약합니다. 보안 팀 직원은 콘솔을 통해 모든 엔드포인트 및 엔드포인트 보안 문제를 완벽하게 파악한 후 모든 엔드포인트와 관련된 조사, 위협 대응 및 문제 해결을 시작합니다.
자동화는 EDR에서 '응답'(실제로는 신속한 응답)을 제공하는 것입니다. EDR 솔루션은 보안 팀이 설정했거나 머신 러닝 알고리즘이 오랜 시간 '학습한' 사전 정의된 규칙을 기반으로 다음을 자동으로 수행할 수 있습니다.
- 보안 분석가에게 특정 위협 또는 의심스러운 활동을 경고
- 심각도에 따라 경고 분류 또는 우선 순위 지정
- 네트워크에서 모든 인시던트 또는 위협은 물론 근본 원인까지 추적하는 '추적' 보고서 생성
- 엔드포인트 디바이스의 연결 해제 또는 네트워크 최종 사용자 로그오프
- 시스템 또는 엔드포인트 프로세스 중지
- 엔드포인트가 악성 또는 의심스러운 파일이나 이메일 첨부 파일을 실행(폭파)하지 않도록 방지
- 동일한 위협에 대해 네트워크의 다른 엔드포인트를 검색하도록 바이러스 백신 또는 멀웨어 방지 소프트웨어를 트리거
EDR은 위협 조사 및 문제 해결 활동을 자동화할 수 있습니다(아래 참조). 또한 보안 오케스트레이션, 자동화 및 대응(SOAR) 시스템과 통합하여 다른 보안 도구와 관련된 보안 대응 플레이북(인시던트 대응 순서)을 자동화할 수 있습니다.
모든 자동화는 보안 팀이 인시던트와 위협에 더 빠르게 대응하도록 지원하여 네트워크에서 발생할 수 있는 피해를 최소화합니다. 그리고 보안 팀은 직원들과 함께 최대한 효율적으로 작업할 수 있도록 지원합니다.
위협이 격리되면 EDR은 보안 분석가가 위협을 추가 조사하는 데 사용할 수 있는 기능을 제공합니다. 예를 들어 포렌식 분석은 보안 분석가가 위협의 근본 원인을 정확히 찾아내고, 영향을 받은 다양한 파일을 식별하고, 공격자가 네트워크에 진입 후 이동하여 인증 자격 증명에 대한 액세스 권한을 얻거나 다른 악의적 활동을 수행하기 위해 악용한 취약성을 파악하는 데 도움이 됩니다.
이 정보를 기반으로 분석가는 문제 해결 도구를 사용하여 위협을 제거할 수 있습니다. 문제 해결에는 다음이 포함될 수 있습니다.
- 악성 파일을 파괴하고 엔드포인트에서 삭제
- 손상된 구성, 레지스트리 설정, 데이터 및 애플리케이션 파일 복원
- 취약성을 제거하기 위해 업데이트 또는 패치 적용
- 재발 방지를 위한 탐지 규칙 업데이트
위협 추적(사이버 위협 추적이라고도 함)은 보안 분석가가 네트워크에서 아직 알려지지 않은 위협 또는 조직의 사이버 보안 자동화 도구에서 아직 탐지하거나 해결하지 못한 위협을 검색하는 사전 예방적 보안 활동입니다. 앞에서 살펴보았듯이 지능형 위협의 경우 탐지되기 전까지 몇 달 동안 숨어서 시스템 정보와 사용자 자격 증명을 수집하여 대규모 침해를 준비합니다. 효과적이고 시기 적절한 위협 추적은 위협을 탐지하고 해결하는 데 걸리는 시간을 줄이고 공격으로 인한 피해를 제한하거나 예방할 수 있습니다.
위협을 찾아낼 때는 다양한 전술과 기법을 사용하는데, 대부분은 EDR이 위협 탐지, 대응 및 문제 해결에 사용하는 것과 동일한 데이터 소스, 분석 및 자동화 기능을 사용합니다. 예를 들어 위협 추적 분석가는 포렌식 분석을 기반으로 하는 특정 파일, 구성 변경 또는 기타 아티팩트, 또는 특정 공격자의 공격 방법을 설명하는 MITRE ATT&CK 데이터를 검색할 수 있습니다.
위협 추적을 지원하기 위해 EDR은 UI 기반 또는 프로그래밍 방식을 통해 보안 분석가에게 이러한 기능을 제공하여 임시 검색 데이터 쿼리, 위협 인텔리전스와의 상관 관계 및 기타 조사를 수행할 수 있도록 합니다. EDR 도구는 위협 추적을 위해 특별히 설계되었으며, 간단한 스크립팅 언어(일반 작업 자동화용)부터 자연어 쿼리 도구까지 모든 것을 포함합니다.
EPP, 즉 엔드포인트 보호 플랫폼은 차세대 바이러스 백신(NGAV) 및 멀웨어 방지 소프트웨어를 웹 제어/웹 필터 소프트웨어, 방화벽, 이메일 게이트웨이 및 기타 기존 엔드포인트 보안 기술과 결합한 통합 보안 플랫폼입니다.
앞에서 살펴보았듯이 EPP 기술은 주로 엔드포인트에서 알려진 위협 또는 알려진 방식으로 동작하는 위협을 차단하는 데 초점을 맞춥니다. EDR은 기존의 엔드포인트 보안 기술을 넘어서는 알려지지 않았거나 잠재적인 위협을 식별하고 억제할 수 있습니다. 그렇지만 많은 EPP는 고급 위협 탐지 분석 및 사용자 행동 분석과 같은 EDR 기능을 포함하도록 발전했습니다.
EDR과 마찬가지로 확장형 탐지 및 대응(XDR) 및 관리형 탐지 및 대응(MDR)은 분석 및 AI 기반 엔터프라이즈 위협 탐지 솔루션입니다. 보호 범위와 제공 방식 면에서 EDR과는 다릅니다.
XDR은 엔드포인트뿐만 아니라 네트워크, 이메일, 애플리케이션, 클라우드 워크로드 등 조직의 하이브리드 인프라 전체에 걸쳐 있는 보안 도구를 통합하므로, 이러한 도구는 사이버 위협 예방, 탐지 및 대응을 위해 상호 운용하고 조정할 수 있습니다. EDR과 마찬가지로 XDR은 SIEM, SOAR 및 기타 엔터프라이즈 사이버 보안 기술을 통합합니다. 여전히 새로운 기술이지만 빠르게 발전하고 있는 XDR은 보안 제어 지점, 원격 측정, 분석 및 운영을 중앙의 단일 엔터프라이즈 시스템으로 통합함으로써 이미 과부하 상태인 보안 운영 센터(SOC)의 효율성을 증대할 수 있는 잠재력이 있습니다.
MDR은 자체 사이버 보안 운영을 넘어서는 위협으로부터 조직을 보호하는 사이버 보안 아웃소싱 서비스입니다. MDR 제공업체는 일반적으로 클라우드 기반 EDR 또는 XDR 기술을 사용하여 원격으로 작업하는 숙련도가 높은 보안 분석가 팀을 통해 연중 무휴 24시간 위협 모니터링 및 문제 해결 서비스를 제공합니다. MDR은 직원이 보유한 것 이상의 보안 전문 지식이 필요하거나 예산을 초과하는 보안 기술이 필요한 조직에 매력적인 솔루션이 될 수 있습니다.
AI 기반의 자동화된 엔드포인트 보안 기능을 통해 거의 실시간으로 위협을 탐지하고 해결할 수 있습니다.
AI 기반의 관리형 예방, 탐지 및 대응 서비스를 통해 엔드포인트 전반의 위협에 빠르게 대응합니다.
최신의 사이버 보안 위협으로부터 일반 사용자와 해당 디바이스를 보호하기 위한 최신 엔드포인트 관리를 제공합니다.
개방형 클라우드, AI 접근법을 사용하여 UEM 솔루션으로 모든 장치를 보호하고 관리합니다.
네트워크 감지 및 응답 솔루션은 네트워크 활동의 실시간 분석을 통해 보안 팀을 지원합니다.
IBM Security Verify IAM 솔루션을 사용하여 모든 사용자를 적절한 액세스 수준으로 연결합니다.
사이버 공격 시에 기업을 통합할 수 있도록 인시던트 대응을 오케스트레이션합니다.
모든 사용자, 모든 장치 및 모든 연결을 포괄하는 보안 솔루션을 살펴봅니다.
가시성과 지능형 보안 분석을 중앙 집중화하여 가장 치명적인 사이버 보안 위협을 탐지, 조사하고 이에 대응할 수 있도록 지원합니다.