오늘날 기업들은 첨단 위협(지속적 첨단 위협이라고도 함)의 폭격에 시달리고 있습니다. 이러한 위협은 엔드포인트 예방 대책을 몰래 통과한 후 대규모 공격 또는 데이터 침해를 준비하기 위해 IT 인프라의 여러 계층을 돌아다니고 권한을 얻고, 데이터를 훔치고, 정보를 수집하면서 수주 또는 수개월 네트워크에 잠복해 있습니다. 가장 큰 피해를 입히고 많은 비용을 초래하는 사이버 공격 및 데이터 침해 중 다수(랜섬웨어 공격, 비즈니스 이메일 침해(BEC), 분산 서비스 거부(DDoS) 공격, 사이버 첩보 활동)가 첨단 위협의 예입니다.

조직들은 이러한 위협과 싸우고 사이버 범죄자가 공격을 실행하기 위해 사용하는 공격 벡터 또는 메소드를 폐쇄하기 위해 많은 사이버 보안 툴과 기술로 무장해 왔습니다. 이러한 툴 중에는 특정 인프라 계층에 중점을 두는 툴도 있고 여러 계층에 걸쳐 로그 데이터와 텔레메트리를 수집하는 툴도 있습니다.

많은 경우 이러한 툴들은 사일로화됩니다. 즉, 서로 통신하지 않습니다. 그래서 보안 팀은 긍정 오류로부터 실제 인시던트를 구분하기 위해 경보의 상관관계를 수동으로 파악하고, 심각도에 따라 인시던트를 분류하고, 수동으로 조율하여 위협을 완화하고 해결해야 합니다. IBM's Cyber Resilient Organization Study 2021(IBM의 2021년 사이버 복원력 조직 연구)에 따르면, 조직 중 32%가 각 위협에 대응하기 위해 21~30개의 개별 보안 툴을 사용한 것으로 보고했습니다. 그리고 13%는 31개 이상의 툴을 사용한 것으로 보고했습니다.

그 결과, 첨단 위협을 파악하고 통제하는 데 너무 오랜 시간이 걸리게 됩니다. IBM's Cost of a Data Breach 2022(IBM의 2022년 데이터 침해 비용) 보고서에 따르면 데이터 침해를 탐지하고 해결하는 데 평균 277일이 걸린 것으로 나타났습니다. 이 평균치로 계산하면, 침해가 1월 1일 발생한 경우 10월 4일까지 통제되지 않음을 의미합니다.

XDR은 계층별 포인트 솔루션 간의 사일로를 해소하여 과중한 업무에 시달리는 보안 팀과 SOC에게 엔드투엔드 가시성과 통합을 약속합니다. 이러한 가시성과 통합은 위협을 더 빨리 파악하고, 이에 더 빨리 대응하고, 이를 더 빨리 해결하는 데 필요합니다. 이를 통해 피해를 최소화할 수 있습니다.

도입된 후 비교적 짧은 시간이 흘렀지만 XDR은 차이를 만들어내고 있습니다. Cost of a Data Breach 2022에 따르면, XDR을 배포한 조직은 그렇지 않은 조직보다 데이터 침해 라이프사이클을 평균적으로 29% 단축하고 침해 비용을 9% 낮춘 것으로 나타났습니다.

XDR은 일반적으로 클라우드 기반 또는 SaaS(software as a service) 솔루션으로 소비됩니다. 한 산업 분석 기관인 Gartner는 XDR을 'SaaS 기반'이라고 정의합니다. XDR은 또한 클라우드 또는 보안 솔루션 제공자의 관리형 탐지 및 대응(MDR) 오퍼링의 주축이 되는 핵심 기술일 수도 있습니다.

XDR 보안 솔루션은 다음을 통합할 수 있습니다.

• 안티바이러스, UEBA(사용자 및 개체 행동 분석) 또는 방화벽과 같은 개별 보안 툴(또는 포인트 솔루션)
  
  
• EDR, 엔드포인트 보호 플랫폼(EPP), 네트워크 탐지 및 대응(NDR) 또는 네트워크 트래픽 분석(NTA)과 같은 계층별 보안 솔루션
  
  
• 보안 정보 및 이벤트 관리(SIEM) 또는 보안 오케스트레이션, 자동화 및 대응(SOAR)과 같은 여러 보안 계층에 걸쳐 데이터를 수집하거나 워크플로우를 조율하는 솔루션
   

지속적인 데이터 수집

XDR은 모든 통합된 보안 툴로부터 로그 데이터와 텔레메트리를 수집하여 인프라에서 일어나는 모든 일(로그인(성공한 로그인 및 실패한 로그인), 네트워크 연결 및 트래픽 흐름, 이메일 메시지 및 첨부파일, 생성 및 저장된 파일, 애플리케이션 및 디바이스 프로세스, 구성 및 레지스트리 변경)에 대한 지속적으로 업데이트된 레코드를 효과적으로 작성합니다. 또한 XDR은 다양한 보안 제품이 생성한 특정 경보를 수집합니다. 

개방형 XDR 솔루션은 일반적으로 개방형 애플리케이션 프로그래밍 인터페이스(API)를 사용하여 이 데이터를 수집합니다. (네이티브 XDR 솔루션은 디바이스 및 애플리케이션에 설치된 경량 데이터 수집 툴 또는 에이전트를 필요로 할 수 있습니다.) 수집된 모든 데이터는 중앙의 클라우드 기반 데이터베이스 또는 데이터 레이크에서 정규화되고 저장됩니다. 

실시간 분석 및 위협 탐지

XDR은 고급 분석 및 머신 러닝 알고리즘을 사용하여 알려진 위협이나 의심스러운 활동을 나타내는 패턴이 발생할 때마다 실시간으로 식별합니다.

이를 위해 XDR은 새로운 최근 사이버 위협 전술, 벡터 등 에 관한 지속적으로 업데이트된 정보를 제공하는 위협 인텔리전스 서비스로 부터 얻은 데이터로 다양한 인프라 계층에 걸쳐 데이터 및 텔레메트리의 상관관계를 파악합니다. 위협 인텔리전스 서비스는 독점(XDR 제공업체가 운영), 써드파티 또는 커뮤니티 기반일 수 있습니다. 대부분의 XDR 솔루션은 또한 무료로 이용 가능한 해커들의 사이버 위협 전술 및 기법에 관한 글로벌 지식 기반인 MITRE ATT&CK에 데이터를 매핑합니다.

XDR 분석 및 알고리즘은 자체적으로도 탐색을 수행하여, 실시간 데이터를 과거 데이터 및 확립된 기준과 비교하여 의심스러운 활동 및 비정상적 최종 사용자 활동 외에도 사이버 보안 인시던트 또는 위협을 나타낼 수 있는 모든 것을 식별할 수 있습니다. 또한 '신호' 또는 합법적인 위협을 긍정 오류인 '노이즈'로부터 분리하여 보안 분석가가 중요한 인시던트에 집중할 수 있도록 합니다. 아마도 가장 중요한 것은 머신 러닝 알고리즘이 시간이 흐름에 따라 위협 탐지 능력을 향상하기 위해 데이터로부터 지속적으로 학습한다는 점일 것입니다.

XDR은 솔루션의 사용자 인터페이스(UI) 역할도 하는 중앙 관리 콘솔에서 중요한 데이터와 분석 결과를 요약합니다.  보안 팀원은 이 콘솔을 사용하여 전사적으로 모든 보안 문제에 대한 완전한 가시성을 얻고 확장된 인프라 어디에서나 조사, 위협 대응 및 해결을 수행할 수 있습니다.
 

탐지 및 대응 기능 자동화

자동화는 XDR의 빠른 대응을 가능하게 합니다. 보안 팀이 사전 정의하거나 장시간 머신 러닝 알고리즘을 통해 '학습한' 규칙을 기반으로 XDR은 자동화된 대응을 수행합니다. 자동화를 통해 위협 탐지 및 해결 속도를 높이고 보안 분석가가 더 중요한 일에 집중하도록 지원할 수 있습니다. XDR은 다음과 같은 작업을 자동화할 수 있습니다.

• 심각도에 따라 경보 분류 및 우선순위 지정
  
  
• 영향을 받은 디바이스 연결 해제 또는 종료, 네트워크에서 사용자 로그오프, 시스템/애플리케이션/디바이스 프로세스 중단, 데이터 소스를 오프라인으로 전환
  
  
• 동일한 위협에 대해 네트워크의 다른 엔드포인트를 스캔하도록 안티바이러스/안티멀웨어 소프트웨어 실행
  
  
• 관련된 SOAR 인시던트 대응 플레이북(특정 보안 인시던트에 대응하기 위해 여러 보안 제품을 오케스트레이션하는 자동화된 워크플로우) 실행  

XDR은 또한 위협 조사 및 해결 활동도 자동화할 수 있습니다(다음 섹션 참조). 이 모든 자동화를 통해 보안 팀은 인시던트에 더 빨리 대응하고 피해를 예방하거나 최소화할 수 있습니다.
 

위협 조사 및 해결

보안 위협을 식별한 후, XDR 플랫폼은 보안 분석가가 위협을 추가로 조사하는 데 사용할 수 있는 기능을 제공합니다. 예를 들어 포렌식 분석과 '역추적' 보고서는 보안 분석가가 위협의 근본 원인을 정확히 찾아내고, 영향을 받은 다양한 파일을 식별하고, 공격자가 네트워크에 진입 후 돌아다니면서 인증 자격 증명에 대한 액세스 권한을 얻거나 다른 악의적 활동을 수행하기 위해 악용한 취약성을 파악하는 데 도움이 됩니다.

이 정보를 기반으로 분석가는 여러 문제 해결 툴을 조율하여 위협을 제거할 수 있습니다. 문제 해결에는 다음과 같은 작업이 수반될 수 있습니다.

• 악의적 파일을 파괴하고 엔드포인트, 서버 및 네트워크 디바이스에서 삭제
  
  
• 손상된 디바이스와 애플리케이션의 구성, 레지스트리 설정, 데이터 및 애플리케이션 파일 복원
  
  
• 인시던트를 유발한 취약성을 제거하기 위해 업데이트 또는 패치 적용
  
  
• 재발 방지를 위한 탐지 규칙 업데이트
   

위협 사냥 지원

위협 사냥(사이버 위협 사냥이라고도 함)은 보안 분석가가 네트워크에서 아직 알려지지 않은 위협 또는 조직의 사이버 보안 자동화 도구로 아직 탐지하거나 해결하지 못한 알려진 위협을 검색하는 사전 예방적 보안 활동입니다.

다시 말하지만, 고급 위협은 대규모 공격 또는 침해를 준비하기 위해 수개월 동안 잠복해 있은 후 탐지될 수도 있습니다. 효과적이고 시기적절한 위협 사냥은 위협을 탐지하고 해결하는 데 걸리는 시간을 줄이고 공격으로 인한 피해를 제한하거나 예방할 수 있습니다.

위협 사냥꾼은 다양한 전술과 기법을 사용하는데, 이러한 전술과 기법은 XDR이 위협 탐지, 대응 및 문제 해결에 사용하는 것과 동일한 데이터 소스, 분석 및 자동화 기능을 사용합니다. 예를 들어 위협 사냥꾼은 포렌식 분석을 기반으로 하는 특정 파일, 구성 변경 또는 기타 아티팩트, 또는 특정 공격자의 공격 방법을 설명하는 MITRE ATT&CK 데이터를 검색할 수 있습니다.

이러한 노력을 지원하기 위해 XDR은 UI 기반 또는 프로그래밍 방식을 통해 보안 분석가에게 분석 및 자동화 기능을 제공하여 임시 검색 데이터 쿼리, 위협 인텔리전스와의 상관 관계 파악 및 기타 조사를 수행할 수 있도록 합니다. 일부 XDR 솔루션은 단순 스크립팅 언어(공통 작업 자동화용) 그리고 심지어 자연어 쿼리 툴과 같은 위협 사냥을 위해 특별히 제작된 툴을 포함할 수 있습니다.