네트워크 탐지 및 대응(NDR)이란 무엇인가요?

NDR은 본래 원시 네트워크 트래픽 데이터에서 네트워크 트래픽 모델을 추출하기 위해 개발된 기술인 네트워크 트래픽 분석(NTA)에서 발전한 개념입니다. NTA 솔루션에 행동 분석 및 위협 대응 기능이 추가됨에 따라 Gartner의 업계 분석가들은 2020년에 카테고리 이름을 '네트워크 탐지 및 대응'으로 변경했습니다.

네트워크는 오늘날 연결된 세상의 기반이자 위협 행위자의 주요 표적입니다.

전통적으로 조직은 네트워크 보안을 보장하기 위해 바이러스 백신 소프트웨어, 침입 탐지 시스템(IDS) 및 방화벽과 같은 위협 탐지 도구에 의존했습니다.

이러한 도구 중 다수는 시그니처 기반 탐지 접근 방식을 사용하여 IOC(손상 지표)를 사이버 위협 시그니처 데이터베이스와 일치시켜 위협을 식별합니다.

시그니처는 특정 멀웨어의 코드 라인이나 특정 피싱 이메일 제목 등 알려진 사이버 공격과 관련된 모든 특징일 수 있습니다. 서명 기반 도구는 네트워크에서 이전에 발견된 이러한 시그니처를 모니터링하고, 시그니처를 발견하면 경고를 발생시킵니다.

시그니처 기반 도구는 알려진 사이버 위협을 효과적으로 차단하지만 새로 등장하거나 알려지지 않은 위협을 탐지하는 데에는 어려움을 겪습니다. 또한 다음과 같이 고유한 시그니처가 없거나 합법적인 행동과 유사한 위협을 탐지하는 데에도 어려움을 겪습니다.

• 사이버 공격자가 훔친 자격 증명을 사용하여 네트워크에 액세스하는 경우
  
  
• 해커가 경영진의 이메일 계정을 사칭하거나 탈취하는 비즈니스 이메일 침해(BEC) 공격인 경우
  
  
• 직원이 회사 데이터를 개인 USB 드라이브에 저장하거나 악성 이메일 링크를 클릭하는 등의 위험한 행동에 의도치 않게 가담하는 경우

랜섬웨어 갱단 및 기타 지능형 지속 위협은 이러한 가시성의 격차를 악용하여 네트워크에 침투하고 정찰을 수행하며 권한을 에스컬레이션하여 적절한 순간에 공격을 시작할 수 있습니다.

NDR은 조직이 시그니처 기반 솔루션의 허점을 메우고 점점 더 복잡해지는 최신 네트워크를 보호하는 데 기여할 수 있습니다.

NDR은 고급 분석, 머신 러닝 및 행동 분석을 사용하여 알려진 시그니처 없이도 잠재적인 위협을 탐지할 수 있습니다. 이러한 방식으로 NDR은 실시간 보안 계층을 제공하여 조직이 다른 보안 도구가 놓칠 수 있는 취약점과 공격을 포착하도록 지원합니다.

네트워크 탐지 및 대응 솔루션은 네트워크 위협을 관리하기 위해 선제적이고 동적으로 대응하는 접근 방식을 취합니다. NDR 도구는 네트워크 활동과 트래픽 패턴을 실시간으로 지속적으로 모니터링하고 분석하여 사이버 위협의 지표일 수 있는 의심스러운 활동을 식별합니다.

NDR 솔루션을 사용한 위협 탐지에는 일반적으로 다음 5단계가 포함됩니다.

1. 데이터 수집
2. 네트워크 동작 기준선 설정
3. 악의적 활동 모니터링
4. 인시던트에 대응
5. 시간에 따른 조정

NDR 솔루션은 기존의 시그니처 기반 위협 탐지 도구에 비해 이점을 선사할 수 있는 다양한 기능을 지원합니다. 그러한 기능은 다음과 같습니다. 

NDR 솔루션은 실시간 모니터링 및 분석을 제공하여 잠재적 위협을 보다 신속하게 식별하고 대응할 수 있도록 합니다. 일부 NDR 도구는 잠재적인 위협 심각도에 따라 우선순위를 지정하고 보안팀이나 SOC(보안 운영 센터)에 경고를 보낼 수도 있습니다.

NDR은 온프레미스 및 하이브리드 클라우드 환경의 모든 네트워크 활동에 대한 가시성을 제공할 수 있습니다. 이러한 포괄적인 가시성은 조직이 더 많은 보안 사고를 차단하는 데 도움이 될 수 있습니다.

NDR 솔루션은 남북(출입구) 및 동서(내부) 네트워크 트래픽을 모두 모니터링하기 때문에 네트워크 경계에서의 침입과 네트워크 내 수평 이동을 모두 탐지할 수 있습니다. 네트워크 내부의 이상 징후를 찾아내는 기능은 NDR이 잠복하여 대기 중인 지능형 위협을 포착하는 데 도움이 될 수 있습니다. 일부 NDR 도구는 암호화된 트래픽에 숨어 있는 위협도 탐지할 수 있습니다.

NDR은 AI 및 고급 머신 러닝 알고리즘을 활용하여 네트워크 데이터를 분석하고, 패턴을 식별하고, 기존 도구는 놓치기 쉬운, 기존에 알려지지 않은 위협을 비롯한 잠재적 위협을 탐지합니다.

일부 NDR 솔루션에는 의심스러운 네트워크 연결 종료와 같은 자동 대응 기능이 있어 공격이 발생하는 즉시 이를 차단할 수 있습니다. 또한 NDR 도구는 다른 보안 도구와 통합하여 보다 복잡한 인시던트 대응 계획을 실행할 수 있습니다. 예를 들어 NDR은 위협을 탐지한 후 SOAR(보안 오케스트레이션, 자동화 및 대응) 플랫폼에 미리 정의된 대응 플레이북을 실행하도록 요청할 수 있습니다.

많은 NDR 도구는 위협 인텔리전스 피드 및 MITRE ATT&CK 프레임워크와 같은 데이터베이스와 통합할 수 있습니다. 이러한 통합은 동작 모델을 개선하고 위협 탐지의 정확도를 향상시킬 수 있습니다. 결과적으로 NDR 도구에 오탐이 발생할 가능성을 줄일 수 있습니다.

NDR 솔루션은 보안팀이 이전에 감지되지 않은 위협을 미리 검색하는 위협 사냥 활동에 사용할 수 있는 상황별 데이터와 기능을 제공합니다.

NDR 솔루션의 장점에도 불구하고 제약이 없는 것은 아닙니다. 현재 NDR 도구의 일반적인 약점은 다음과 같습니다.

NDR 도구는 하드웨어, 소프트웨어 및 사이버 보안 인력에 대한 상당한 투자를 요할 수 있습니다. 예를 들어, 초기 설정 시 네트워크 세그먼트 전체에 센서를 배포하고 대량의 네트워크 트래픽 데이터를 위한 고용량 데이터 스토리지에 투자해야 할 수 있습니다.

성장하는 네트워크에 맞게 NDR 솔루션을 확장하기 어려울 수 있습니다. 데이터 흐름이 증가하면 리소스에 부담이 가고 병목 현상이 발생하여 대기업의 경우 위협 탐지 및 대응 솔루션의 효율성이 떨어질 수 있습니다.

NDR 도구는 많은 오탐을 생성하고 경고 피로로 보안팀을 압도할 수 있습니다. 정상적인 패턴에서 조금이라도 벗어나는 경우에도 의심스러운 것으로 플래그가 지정되어 시간이 낭비되고 실제 위협을 놓칠 수 있습니다.

암호화된 통신을 포함한 네트워크 트래픽의 지속적인 모니터링은 개인정보 보호 문제를 야기할 수 있습니다. GDPR(일반 데이터 보호 규정) 및 PCI-DSS(결제 카드 업계 데이터 보안 표준)와 같은 규정을 준수하지 않을 경우 막대한 벌금과 처벌을 받을 수 있습니다.

오늘날의 엔터프라이즈 네트워크는 분산되고 확장되어 온프레미스와 클라우드 환경 모두에서 데이터 센터, 하드웨어, 소프트웨어, IoT 장치 및 워크로드를 연결합니다.

조직과 보안 운영 센터(SOC)에는 이러한 복잡한 네트워크를 완벽하게 파악할 수 있는 강력한 도구가 필요합니다. 이러한 조직과 보안 운영 센터가 NDR과 다른 보안 솔루션을 함께 사용하는 사례가 증가하고 있습니다.

예를 들어, NDR은 엔드포인트 탐지 및 대응(EDR), 보안 정보 및 이벤트 관리(SIEM)와 함께 Gartner의 SOC 가시성 3대 요소의 한 축을 담당하고 있습니다.

• EDR은 사이버 위협으로부터 조직의 최종 사용자, 엔트포인트 디바이스, IT 자산을 자동으로 보호하도록 설계된 소프트웨어입니다. NDR이 네트워크 트래픽의 "조감도"를 제공하는 반면, EDR은 개별 엔드포인트의 활동에 대한 "지상에서의 관점"을 추가로 제공할 수 있습니다.
  
  
• SIEM은 서로 다른 보안 툴과 네트워크 소스(예: 서버, 애플리케이션, 디바이스)의 보안 관련 로그 및 이벤트 데이터를 결합하고 상호 연관시킵니다. NDR 도구는 네트워크 트래픽 데이터와 분석을 SIEM 시스템으로 스트리밍하여 이러한 노력을 보완함으로써 SIEM의 보안 및 규정 준수 효과를 향상시킬 수 있습니다.

최근에는 많은 SOC가 확장 탐지 및 대응(XDR) 솔루션도 도입하고 있습니다. XDR은 엔드포인트, 네트워크와 클라우드 워크로드를 포함한 조직의 하이브리드 IT 인프라 전체에 사이버 보안 도구를 통합합니다. 많은 XDR 제공업체는 NDR 기능을 포함하는 반면, 개방형 XDR 솔루션은 조직의 기존 NDR 기능을 활용하여 기존 보안 워크플로우에 맞출 수 있습니다.