확장 탐지 및 대응(XDR)은 사용자, 엔드포인트, 이메일, 애플리케이션, 네트워크, 클라우드 워크로드 및 데이터 등 모든 보안 계층에 걸쳐 보안 도구를 통합하고 보안 운영을 통합하는 개방형 사이버 보안 아키텍처입니다.
XDR을 사용하면 함께 작동하도록 설계되지 않은 보안 솔루션도 위협 예방, 탐지, 조사 및 대응에서 원활하게 상호 운용할 수 있습니다.
XDR은 보안 도구와 계층 간의 가시성 격차를 제거하여 과중한 업무에 시달리는 보안 팀이 위협을 더 빠르고 효율적으로 탐지 및 해결하고, 더 나은 보안 결정을 내리고 미래의 사이버 공격을 방지하기 위해 보다 완전하고 상황에 맞는 데이터를 캡처할 수 있도록 합니다.
XDR은 2018년에 처음 정의되었지만, 보안 전문가와 업계 분석가가 XDR에 대해 이야기하는 방식은 그 이후로 빠르게 발전해 왔습니다. 예를 들어, 많은 보안 전문가들은 XDR을 '엔드포인트 탐지 및 대응(EDR)을 대폭 강화해 모든 엔터프라이즈 보안 계층으로 확장한 것'이라고 설명합니다. 그러나 오늘날 전문가들은 XDR의 잠재력이 통합된 도구와 기능의 단순한 합을 넘어선다고 보고, 엔드투엔드 위협 가시성, 통합 인터페이스, 위협 탐지, 조사 및 대응을 위한 최적화된 워크플로 등 다양한 이점을 강조합니다.
또한 분석가와 공급업체들은 XDR 솔루션을 두 가지로 분류합니다. 하나는 솔루션 공급업체의 보안 도구만 통합하는 네이티브 XDR이고, 다른 하나는 공급업체와 상관없이 조직의 보안 에코시스템에 있는 모든 보안 도구를 통합하는 오픈 XDR입니다. 그러나 엔터프라이즈 보안팀과 보안 운영 센터(SOC)조차도 네이티브 XDR 솔루션이 개방형이어야 하며, 현재 사용 중이거나 향후 선호할 수 있는 타사 보안 도구까지 통합할 수 있는 유연성을 제공하기를 기대한다는 점이 점점 더 명확해지고 있습니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
오늘날 조직은 지능형 지속 위협 (지능형 지속 위협이라고도 함)의 공격에 시달리고 있습니다. 이러한 위협은 엔드포인트 방지 조치를 피해 몇 주 또는 몇 달 동안 네트워크에 잠복하여 이동하면서 권한을 획득하고 데이터를 훔치며 대규모 공격이나 데이터 유출에 대비하여 IT 인프라의 여러 계층에서 정보를 수집합니다. 랜섬웨어 공격, 비즈니스 이메일 침해(BEC), 분산 서비스 거부(DDoS) 공격, 사이버 스파이 활동 등은 가장 피해가 크고 비용이 많이 드는 사이버 공격 및 데이터 유출 사례로, 모두 지능형 위협의 대표적인 예시입니다.
조직은 이러한 위협에 맞서 싸우고 사이버 범죄자가 위협을 시작하는 데 사용하는 공격 벡터 또는 방법을 차단하기 위해 수십 개의 사이버 보안 도구와 기술로 무장하고 있습니다. 이러한 도구 중 일부는 특정 인프라 계층에 초점을 맞추고, 다른 도구는 여러 계층에 걸쳐 로그 데이터와 원격 분석을 수집합니다.
대부분의 경우 이러한 도구는 서로 통신하지 않고 사일로화되어 있습니다. 따라서 보안팀은 경보를 수동으로 상호 연관시켜 실제 인시던트와 오탐을 구분하고, 심각도에 따라 인시던트를 분류한 후 수동으로 조율하여 위협을 완화하고 해결해야 합니다. IBM의 2021년 사이버 탄력적 조직 연구에 따르면 조직의 32%가 위협에 대응할 때 21~30개의 개별 보안 도구를 사용한다고 응답했습니다. 13%는 31개 이상의 도구를 사용한다고 보고했습니다.
따라서 지능형 위협을 식별하고 억제하는 데는 너무 오랜 시간이 걸립니다. IBM의 2022년 데이터 침해 비용 보고서에 따르면 데이터 침해를 탐지하고 해결하는 데 평균 277일이 걸린다고 합니다. 이 평균에 따르면 1월 1일에 발생한 침해는 10월 4일이 되어서야 해결될 수 있습니다.
XDR은 계층별 포인트 솔루션 간의 사일로를 허물어 과도하게 확장된 보안 팀과 SOC에 위협을 더 빨리 식별하고, 더 빠르게 대응하고, 더 빠르게 해결하고, 이로 인한 피해를 최소화하는 데 필요한 엔드투엔드 가시성과 통합을 약속합니다.
XDR은 도입 이후 비교적 짧은 기간에 변화를 일으키고 있습니다. 2022년 데이터 침해 비용에 따르면, XDR을 구축한 조직은 XDR을 구축하지 않은 조직에 비해 데이터 침해 라이프사이클을 29일 단축하고 침해 비용을 평균 9% 절감했습니다.
XDR은 일반적으로 클라우드 기반 또는 SaaS(서비스형 소프트웨어) 솔루션으로 사용됩니다. 업계 분석 기관 중 하나인 Gartner는 XDR을 'SaaS 기반'으로 정의합니다. 또한 클라우드 또는 보안 솔루션 제공업체의 관리형 탐지 및 대응(MDR) 제품을 구동하는 핵심 기술일 수도 있습니다.
XDR 보안 솔루션은 다음을 통합할 수 있습니다.
XDR은 모든 통합 보안 도구에서 로그 데이터와 텔레메트리를 수집하여, 로그인(성공 및 실패), 네트워크 연결과 트래픽 흐름, 이메일 메시지와 첨부 파일, 생성 및 저장된 파일, 애플리케이션 및 장치 프로세스, 구성 및 레지스트리 변경 등 인프라 내에서 발생하는 모든 활동을 지속적으로 업데이트된 기록으로 남깁니다. 또한 XDR은 다양한 보안 제품에서 생성된 특정 알림을 수집합니다.
Open XDR 솔루션은 일반적으로 개방형 애플리케이션 프로그래밍 인터페이스 (API)를 사용하여 이 데이터를 수집합니다. (네이티브 XDR 솔루션을 사용하려면 디바이스 및 애플리케이션에 설치된 경량 데이터 수집 도구 또는 에이전트가 필요할 수 있습니다.) 수집된 모든 데이터는 정규화되어 중앙 클라우드 기반 데이터베이스 또는 데이터 레이크에 저장됩니다.
XDR은 고급 분석 및 머신 러닝 알고리즘을 사용하여 알려진 위협이나 의심스러운 활동이 전개되는 동안 이를 나타내는 패턴을 실시간으로 식별합니다.
이를 위해 XDR은 다양한 인프라 계층의 데이터 및 텔레메트리를 위협 인텔리전스 서비스의 데이터와 상호 연관시켜 신종 및 최신 사이버 위협의 전술, 벡터 등의 정보를 지속적으로 업데이트합니다. 위협 인텔리전스 서비스는 독점적( XDR 공급자가 운영), 타사 또는 커뮤니티 기반일 수 있습니다. 또한 대부분의 XDR 솔루션은 해커들의 사이버 위협 전술과 기법을 담고 있는 누구나 자유롭게 액세스할 수 있는 글로벌 지식 기반인 MITRE ATT&CK에 데이터를 매핑합니다.
XDR 분석 및 머신 러닝 알고리즘은 자체 조사를 수행하여 실시간 데이터를 기록 데이터 및 설정된 기준과 비교하여 의심스러운 활동, 비정상적인 최종 사용자 행동 및 사이버 보안 인시던트 또는 위협을 나타낼 수 있는 모든 것을 식별할 수 있습니다. 또한 '신호' 또는 합법적인 위협을 오탐의 '노이즈'와 분리할 수 있으므로 보안 분석가는 중요한 인시던트에 집중할 수 있습니다. 가장 중요한 것은 머신 러닝 알고리즘이 데이터를 통해 지속적으로 학습하여 시간이 지남에 따라 위협을 더 잘 탐지할 수 있다는 점입니다.
XDR은 솔루션의 사용자 인터페이스(UI) 역할도 하는 중앙 관리 콘솔에 중요한 데이터와 분석 결과를 요약합니다. 보안 팀원은 콘솔에서 전사적으로 모든 보안 문제를 완벽하게 파악하고 확장된 인프라의 어느 곳에서나 조사, 위협 대응 및 해결을 시작할 수 있습니다.
자동화는 XDR에서 신속한 대응을 가능하게 합니다. XDR은 보안팀이 미리 정한 규칙이나 시간이 지나면서 머신러닝 알고리즘이 '학습'한 규칙을 바탕으로 자동화된 대응을 가능하게 합니다. 이를 통해 위협 탐지와 해결을 신속하게 수행하고 보안 분석가가 더 중요한 업무에 집중할 수 있게 해줍니다. XDR은 다음과 같은 작업을 자동화할 수 있습니다.
XDR은 위협 조사 및 해결 작업을 자동화할 수도 있습니다(다음 섹션 참조). 이러한 모든 자동화를 통해 보안팀은 인시던트에 더 빠르게 대응하고, 인시던트로 인한 피해를 예방하거나 최소화할 수 있습니다.
보안 위협이 격리되면 XDR 플랫폼은 보안 분석가가 위협을 추가로 조사하는 데 사용할 수 있는 기능을 제공합니다. 예를 들어, 포렌식 분석과 '추적' 보고서는 보안 분석가가 위협의 근본 원인을 정확히 파악하고, 영향을 받은 다양한 파일을 식별하는 데 도움을 줍니다. 또한 공격자가 네트워크에 침입하고 이동하면서 인증 자격 증명에 액세스하거나 기타 악의적인 행위를 수행할 때 악용한 취약점도 찾아낼 수 있게 해줍니다.
이러한 정보를 바탕으로 분석가는 해결 도구를 조정하여 위협을 제거할 수 있습니다. 해결에는 다음이 포함될 수 있습니다.
위협 헌팅 (사이버 위협 헌팅이라고도 함)은 보안 분석가가 네트워크에서 아직 알려지지 않은 위협 또는 조직의 자동화된 보안 도구가 아직 감지하거나 대응하지 못한 기존 위협을 찾아내는 사전 예방적 보안 활동입니다.
다시 말하지만, 지능형 위협은 탐지되기까지 몇 달 동안 숨어서 대규모 공격이나 침해에 대비할 수 있습니다. 효과적이고 시기적절한 위협 헌팅은 이러한 위협을 탐지하고 해결하는 데 걸리는 시간을 단축하고 공격으로 인한 피해를 제한하거나 예방할 수 있습니다.
위협 헌터는 XDR이 위협 탐지, 대응 및 해결에 사용하는 것과 동일한 데이터 소스, 분석 및 자동화 기능을 사용하는 다양한 전술과 기술을 사용합니다. 예를 들어, 위협 헌터는 포렌식 분석 또는 특정 공격자의 방법을 설명하는 MITRE ATT&CK 데이터를 기반으로 특정 파일, 구성 변경 또는 기타 아티팩트를 검색할 수 있습니다.
이러한 노력을 지원하기 위해 XDR은 UI 기반 또는 프로그래밍 방식을 통해 보안 분석가가 분석 및 자동화 기능을 사용할 수 있도록 하여 임시 검색, 데이터 쿼리, 위협 인텔리전스와의 상관 관계 및 기타 조사를 수행할 수 있도록 합니다. 일부 XDR 솔루션에는 간단한 스크립팅 언어(일반적인 작업 자동화용) 및 자연어 쿼리 도구와 같은 위협 헌팅을 위해 특별히 제작된 도구가 포함되어 있습니다.