엔드포인트 탐지 및 대응(EDR)은 실시간 분석 및 AI 기반 자동화를 사용하여 안티바이러스 소프트웨어 및 기타 기존 엔드포인트 보안 도구를 통과하는 사이버 위협으로부터 조직의 최종 사용자, 엔드포인트 장치 및 IT 자산을 보호하는 소프트웨어입니다.
EDR은 데스크톱 및 노트북, 서버, 모바일 디바이스, IoT(사물 인터넷) 디바이스 등 네트워크의 모든 엔드포인트에서 지속적으로 데이터를 수집합니다. 이 데이터를 실시간으로 분석하여 알려진 또는 의심되는 사이버 위협의 증거를 찾고, 식별된 위협으로 인한 피해를 예방하거나 최소화하기 위해 자동으로 대응할 수 있습니다.
2013년 Gartner에서 처음 인정한 EDR이 오늘날 기업에서 널리 채택되고 있는 데에는 그만한 이유가 있습니다.
연구에 따르면 성공적인 사이버 공격의 90%, 성공적인 데이터 침해의 70%가 엔드포인트 디바이스에서 시작된다고 합니다. 안티바이러스, 안티 멀웨어, 방화벽 및 기타 기존 엔드포인트 보안 솔루션은 시간이 지남에 따라 발전해 왔지만 알려진 파일 기반 또는 시그니처 기반 엔드포인트 위협을 탐지하는 데에는 여전히 한계가 있습니다. 예를 들어, 피해자가 민감한 데이터를 유출하거나 악성 코드가 포함된 가짜 웹사이트를 방문하도록 유인하는 피싱 메시지와 같은 소셜 엔지니어링 공격을 차단하는 데는 훨씬 덜 효과적입니다. (피싱은 랜섬웨어의 가장 일반적인 전달 방법입니다.) 또한 파일 또는 서명 스캐닝을 아예 피하기 위해 컴퓨터 메모리에서만 작동하는 '파일리스' 사이버 공격이 계속 증가하고 있는 상황에서 이러한 솔루션은 무력합니다.
가장 중요한 것은 기존의 엔드포인트 보안 도구는 이를 교묘히 빠져나가는 지능형 위협을 탐지하거나 무력화할 수 없다는 것입니다. 이러한 위협은 랜섬웨어 공격, 제로데이 익스플로잇 또는 기타 대규모 사이버 공격을 실행하기 위해 수개월 동안 네트워크에 잠복하고 배회하면서 데이터를 수집하고 취약점을 식별할 수 있습니다.
EDR은 이러한 기존 엔드포인트 보안 솔루션의 한계를 극복합니다. 위협 탐지 분석 및 자동 대응 기능은 대개 사람의 개입 없이 네트워크 경계를 관통하는 잠재적 위협이 심각한 피해를 입히기 전에 이를 식별하고 억제할 수 있습니다. 또한 EDR은 보안팀이 의심되는 위협과 새로운 위협을 스스로 발견, 조사하고 예방하는 데 사용할 수 있는 도구를 제공합니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
공급업체마다 차이가 있지만 EDR 솔루션은 일반적으로 지속적인 엔드포인트 데이터 수집, 실시간 분석 및 위협 탐지, 자동화된 위협 대응, 위협 격리 및 해결, 위협 헌팅 지원의 5가지 핵심 기능을 결합합니다.
EDR은 네트워크의 모든 엔드포인트 디바이스에서 프로세스, 성능, 구성 변경, 네트워크 연결, 파일 및 데이터 다운로드 또는 전송, 최종 사용자 또는 디바이스 동작에 대한 데이터를 지속적으로 수집합니다. 데이터는 일반적으로 클라우드에서 호스팅되는 중앙 데이터베이스 또는 데이터 레이크에 저장됩니다.
대부분의 EDR 보안 솔루션은 모든 엔드포인트 디바이스에 경량 데이터 수집 도구 또는 에이전트를 설치하여 이러한 데이터를 수집합니다. 일부는 엔드포인트 운영 체제의 기능에 의존할 수도 있습니다.
EDR은 고급 분석 및 머신 러닝 알고리즘을 사용하여 알려진 위협이나 의심스러운 활동을 나타내는 패턴을 실시간으로 식별합니다.
일반적으로 EDR은 두 가지 유형의 지표를 탐지합니다. 하나는 침해 지표(IOC)로, 잠재적 공격이나 침해와 일치하는 행위 또는 이벤트이며, 다른 하나는 공격 지표(IOA)로, 알려진 사이버 위협이나 사이버 범죄자와 관련된 행위 또는 이벤트입니다.
이러한 지표를 식별하기 위해 EDR은 자체 엔드포인트 데이터를 위협 인텔리전스 서비스의 데이터와 실시간으로 상호 연관시켜 새로운 사이버 위협이 사용하는 전술, 악용하는 엔드포인트 또는 IT 인프라 취약성 등 지속적으로 업데이트되는 최신 정보를 제공합니다. 위협 인텔리전스 서비스는 독점적(EDR 공급자가 운영), 타사 또는 커뮤니티 기반일 수 있습니다. 또한 많은 EDR 솔루션은 미국 정부가 기여하는 해커의 사이버 위협 전술 및 기술에 대한 무료 액세스 글로벌 지식 기반인 Mitre ATT&CK에 데이터를 매핑합니다.
EDR 분석 및 알고리즘은 또한 자체 조사를 수행하여 실시간 데이터를 기록 데이터 및 설정된 기준과 비교하여 의심스러운 활동, 비정상적인 최종 사용자 활동 및 사이버 보안 인시던트 또는 위협을 나타낼 수 있는 모든 것을 식별할 수 있습니다. 또한 '신호' 또는 합법적인 위협과 오탐의 '노이즈'를 구분할 수 있으므로 보안 분석가는 중요한 인시던트에 집중할 수 있습니다.
많은 기업이 엔드포인트뿐만 아니라 애플리케이션, 데이터베이스, 웹 브라우저, 네트워크 하드웨어 등 IT 인프라의 모든 계층에 걸쳐 보안 관련 정보를 수집하는 SIEM(보안 정보 및 이벤트 관리) 솔루션과 EDR을 통합합니다. SIEM 데이터는 위협을 식별하고, 우선순위를 지정하고, 조사하고, 수정하기 위한 추가 컨텍스트를 통해 EDR 분석을 강화할 수 있습니다.
EDR은 솔루션의 사용자 인터페이스(UI) 역할도 하는 중앙 관리 콘솔에 중요한 데이터와 분석 결과를 요약합니다. 보안 팀원은 콘솔에서 전사적으로 모든 엔드포인트 및 엔드포인트 보안 문제에 대한 완전한 가시성을 확보하고 모든 엔드포인트와 관련된 조사, 위협 대응 및 해결을 시작할 수 있습니다.
자동화는 EDR에서 '대응', 즉 신속한 대응을 가능하게 하는 요소입니다. 보안팀이 설정하거나 머신 러닝 알고리즘에 의해 시간이 지남에 따라 '학습'된 사전 정의된 규칙을 기반으로 EDR 솔루션은 자동으로 다음과 같은 작업을 수행할 수 있습니다.
EDR은 위협 조사 및 해결 활동을 자동화할 수 있습니다(아래 참조). 또한 SOAR(보안 오케스트레이션, 자동화 및 대응) 시스템과 통합되어 다른 보안 도구가 포함된 보안 대응 플레이북(인시던트 대응 시퀀스)을 자동화할 수 있습니다.
이 모든 자동화를 통해 보안 팀은 인시던트와 위협에 더 빠르게 대응하여 네트워크에 미칠 수 있는 피해를 최소화할 수 있습니다. 또한 보안 팀이 현재 보유하고 있는 직원으로 최대한 효율적으로 작업할 수 있도록 지원합니다.
위협이 격리되면 EDR은 보안 분석가가 위협을 추가로 조사하는 데 사용할 수 있는 기능을 제공합니다. 예를 들어, 포렌식 분석은 보안 분석가가 위협의 근본 원인을 정확히 찾아내고, 영향을 받은 다양한 파일을 식별하고, 공격자가 네트워크에 진입 및 이동하여 인증 자격 증명에 액세스하거나 기타 악의적인 활동을 수행하도록 만든 취약성을 식별하는 데 도움이 됩니다.
이러한 정보를 바탕으로 분석가는 해결 도구를 사용하여 위협을 제거할 수 있습니다. 해결에는 다음이 포함될 수 있습니다.
위협 헌팅(사이버 위협 헌팅이라고도 함)은 보안 분석가가 네트워크에서 아직 알려지지 않은 위협 또는 조직의 자동화된 사이버 보안 도구에 의해 아직 감지되거나 해결되지 않은 알려진 위협을 검색하는 사전 예방적 보안 활동입니다. 지능형 위협은 대규모 침해에 대비하여 시스템 정보와 사용자 자격 증명을 수집하면서 탐지되기까지 수개월 동안 잠복할 수 있다는 점을 기억하세요. 효과적이고 시기적절한 위협 헌팅은 이러한 위협을 탐지하고 해결하는 데 걸리는 시간을 단축하고 공격으로 인한 피해를 제한하거나 예방할 수 있습니다.
위협 헌터는 다양한 전술과 기술을 사용하며, 그 중 대부분은 EDR이 위협 탐지, 대응 및 수정에 사용하는 것과 동일한 데이터 소스, 분석 및 자동화 기능에 의존합니다. 예를 들어 위협 헌팅 분석가는 포렌식 분석 또는 특정 공격자의 방법을 설명하는 MITRE ATT&CK 데이터를 기반으로 특정 파일, 구성 변경 또는 기타 아티팩트를 검색할 수 있습니다.
위협 헌팅을 지원하기 위해 EDR은 UI 기반 또는 프로그래밍 방식을 통해 보안 분석가가 이러한 기능을 사용할 수 있도록 하여 임시 검색, 데이터 쿼리, 위협 인텔리전스와의 상관 관계 및 기타 조사를 수행할 수 있도록 합니다. 위협 헌팅을 위해 특별히 고안된 EDR 도구에는 간단한 스크립팅 언어(일반적인 작업 자동화용)에서 자연어 쿼리 도구에 이르기까지 모든 것이 포함됩니다.
EPP(엔드포인트 보호 플랫폼)는 차세대 안티바이러스(NGAV) 및 안티멀웨어 소프트웨어를 웹 제어/웹 필터 소프트웨어, 방화벽, 이메일 게이트웨이 및 기타 기존 엔드포인트 보안 기술과 결합한 통합 보안 플랫폼입니다.
다시 말하지만, EPP 기술은 주로 엔드포인트에서 알려진 위협 또는 알려진 방식으로 행동하는 위협을 방지하는 데 중점을 둡니다. EDR은 기존 엔드포인트 보안 기술을 우회하는 알려지지 않았거나 잠재적인 위협을 식별하고 차단하는 기능을 갖추고 있습니다. 그럼에도 불구하고 많은 EPP 솔루션은 지능형 위협 탐지 분석, 사용자 행위 분석 등 EDR 기능을 포괄하도록 진화해 왔습니다.
EDR과 마찬가지로 XDR(확장 감지 및 대응) 및 MDR(관리형 감지 및 대응)은 분석 및 AI 기반 엔터프라이즈 위협 감지 솔루션입니다. 이들은 제공하는 보호 범위와 제공 방식이 EDR과 다릅니다.
XDR은 엔드포인트뿐만 아니라 네트워크, 이메일, 애플리케이션, 클라우드 워크로드 등 조직의 전체 하이브리드 인프라에 걸쳐 보안 도구를 통합하므로 이러한 도구가 사이버 위협 방지, 탐지 및 대응을 위해 상호 운용되고 조정될 수 있습니다. EDR과 마찬가지로 XDR은 SIEM, SOAR 및 기타 엔터프라이즈 사이버 보안 기술을 통합합니다. 아직 신흥이지만 빠르게 진화하고 있는 기술인 XDR은 보안 제어 지점, 원격 측정, 분석 및 운영을 단일 중앙 엔터프라이즈 시스템으로 통합하여 과중한 보안 운영 센터(SOC)를 훨씬 더 효율적이고 효과적으로 만들 수 있는 잠재력을 가지고 있습니다.
MDR은 자체 사이버 보안 운영을 통과하는 위협으로부터 조직을 보호하는 아웃소싱 사이버 보안 서비스입니다. MDR 제공업체는 일반적으로 클라우드 기반 EDR 또는 XDR 기술을 사용하여 원격으로 작업하는 고도로 숙련된 보안 분석가 팀을 통해 연중무휴 24시간 위협 모니터링, 탐지 및 해결 서비스를 제공합니다. MDR은 직원이 보유하고 있는 것 이상의 보안 전문 지식이 필요하거나 예산을 초과하는 보안 기술이 필요한 조직에 매력적인 솔루션이 될 수 있습니다.