게시일: 2021년 12월 20일
기고자: Gregg Lindemulder, Amber Forrest
시그니처 기반 탐지에 의존해 기존에 알려진 위협을 식별하는 전통적인 안티바이러스 소프트웨어와는 달리 NGAV는 알려지지 않은 멀웨어 위협과 악의적인 행동을 거의 실시간으로 탐지할 수 있습니다. 이 방식은 랜섬웨어, 스크립팅 공격, 파일리스 멀웨어, 제로데이 취약점 등의 최신 위협을 해결하는 보다 효과적인 방법을 제공합니다.
IBM 보안 관련 최신 글 구독
레거시 AV 솔루션은 멀웨어 시그니처와 휴리스틱 데이터베이스를 활용해 데스크톱 컴퓨터, 노트북, 태블릿, 스마트폰 등의 엔드포인트 디바이스에서 바이러스를 탐지합니다. 시그니처는 실제로 바이러스가 존재할 수 있음을 알리는 파일 내 문자열을 말합니다.
이 접근 방식의 경우, 아직 식별되거나 분류되지 않은 잠재적인 위협으로 인해 시그니처 데이터베이스의 엔드포인트가 취약해집니다. 시그니처를 자주 업데이트하더라도 새로운 악성 파일이나 알려지지 않은 악성 파일은 탐지되지 않을 수 있습니다.
반면, 차세대 안티바이러스 솔루션은 행동 탐지 기술을 사용해 사이버 공격과 관련된 전략, 전술, 절차(TTP)를 식별하며, 머신 러닝 알고리즘이 지속적으로 이벤트, 프로세스, 파일, 애플리케이션에서 악의적인 행위를 모니터링합니다.
알려지지 않은 취약점이 제로데이 공격의 첫 번째 표적이 되는 경우, NGAV는 이러한 시도를 탐지하고 차단할 수 있습니다. 또한, NGAV는 Windows PowerShell과 문서 매크로를 악용하는 공격이나, 파일리스 멀웨어를 실행하는 링크를 클릭하도록 유도하는 피싱 이메일 등의 파일리스 공격을 차단할 수 있습니다.
클라우드 기반 기술인 NGAV는 전통적인 안티바이러스 솔루션보다 배포와 관리가 더 빠르고, 더 간편하며, 비용 효율성도 더 높습니다. 엔드포인트 활동을 모니터링하고 즉각적인 사고 대응을 제공하는 기능이 탑재되어 있어 해커가 시스템에 침투할 때 사용하는 다양한 공격 벡터를 차단할 수 있습니다.
클라우드 기반 NGAV는 전통적인 AV보다 더 적은 리소스를 사용해 훨씬 빠르고 쉽게 배포하고, 업데이트하고, 관리할 수 있습니다. 설치하고 구성할 추가 하드웨어나 소프트웨어가 없고, 지속적으로 시그니처 업데이트를 관리할 필요도 없으며, 엔드포인트 성능에 거의 또는 전혀 영향을 미치지 않습니다.
레거시 안티바이러스는 이미 식별되어 데이터베이스에 입력된 멀웨어 시그니처만 탐지할 수 있습니다. NGAV는 거의 실시간으로 엔드포인트 동작을 모니터링하고 분석해 제로데이 공격을 비롯한 알려진 위협과 알려지지 않은 위협을 모두 탐지하고 차단합니다.
NGAV는 보안팀에 빠르게 진화하는 지능형 위협을 선제적으로 방어할 수 있는 기능을 제공합니다. 시간이 흐르며 머신 러닝 알고리즘이 어떤 엔드포인트 동작이 정상이고 어떤 것이 사이버 공격의 가능성을 나타내는지 더 효과적으로 식별할 수 있습니다.
공급업체마다 제공하는 기능이 다르지만, 대부분의 NGAV 솔루션은 다음과 같은 기능을 제공합니다.
- 머신 러닝 알고리즘: NGAV는 수천 개의 파일 특성과 엔드포인트 활동을 거의 실시간으로 검사하며, 알려진 위협과 알려지지 않은 위협을 탐지하고 차단하는 데 도움이 되는 이상 징후와 예기치 않은 동작을 식별할 수 있습니다.
- 행동 분석: 사용자, 디바이스, 애플리케이션, 시스템의 행동을 분석해 기준 행동을 설정하고, 악의적인 활동이나 사이버 공격이 진행 중임을 나타내는 의심스러운 행동을 식별할 수 있습니다.
- 위협 인텔리전스: 많은 NGAV 솔루션이 특정 멀웨어 공격의 출처, 전략, 영향에 관한 최신 위협 인텔리전스를 통합해 공격을 더 빠르고 효과적으로 탐지하고 차단할 수 있습니다.
- 예측 분석: NGAV는 수집한 방대한 양의 데이터를 예측 모델에 입력해 멀웨어나 잠재적인 사이버 공격이 발생하기 전에 이를 감지해 피해를 예방하거나 최소화하는 조치를 취할 수 있습니다.
NGAV는 전통적인 안티바이러스 소프트웨어보다 더 효과적이지만 완벽하지는 않습니다. 간혹 오탐을 반환할 수도 있고, 바이러스를 탐지하지 못할 수도 있습니다. 사이버 범죄자와 해커들은 최신 안티바이러스 보호 기술을 피하는 새로운 방법을 지속적으로 개발하고 테스트합니다.
엔드포인트 기기에서 NGAV 방어가 뚫릴 경우 조직은 엔드포인트 탐지 및 대응(EDR), 통합 엔드포인트 관리(UEM), 보안 정보 및 이벤트 관리(SIEM) 등의 다른 기술을 사용할 수 있습니다. 이러한 보안 솔루션은 다양한 엔드포인트에서 사이버 위협을 예방하고 완화하는 보다 광범위하고 시스템 전반에 걸친 접근 방식을 제공합니다.
고급 모바일 위협 방어 솔루션을 원활하게 배포해 사이버 위협과 사용자 기반 위험으로부터 모바일 환경 전체를 보호하세요.
단일 콘솔에서 현장과 원격에서 사용하는 기업과 개인의 모든 디바이스를 등록하고, 관리하고, 보호하세요.
즉시 사용 가능한 수천 개의 사용 사례, 사용자와 네트워크 행동 분석, 애플리케이션 취약성 데이터, X-Force Threat Intelligence를 바탕으로 수백만 개의 이벤트를 거의 실시간으로 분석해 위협을 탐지하세요.
UEM은 IT팀과 보안팀이 하나의 도구를 사용해 일관된 방식으로 네트워크의 모든 최종 사용자 디바이스를 모니터링하고, 관리하고, 보호할 수 있도록 지원합니다.
SIEM은 보안팀이 사용자 행동에서 이상 징후를 탐지하고, AI를 사용해 위협 탐지 및 사고 대응과 관련된 수동 프로세스를 자동화할 수 있도록 지원합니다.
네트워크의 첫 번째 사이버 보안 방어선인 엔드포인트 보안은 사용자와 디바이스(데스크톱, 노트북, 모바일 디바이스, 서버)를 사이버 공격으로부터 보호합니다.