허용 목록의 효과

허용 목록은 보안의 필수 요소로 알려져 있지만(아래 Industry Pulse 참조), 포괄적이고 완전한 엔드포인트 보안을 제공하는 여러 툴 중 하나에 불과합니다.

허용 목록을 동작 분석 및 머신 러닝과 같은 다른 고급 기술과 결합하면 악성 공격을 차단하고 방지하는 데 큰 도움이 됩니다.

한 예로, 사이버 보안 지침을 제공하는 독립 조직인 NSS Labs에서 고급 엔드포인트 보호(AEP) 제품을 테스트하여 그 효과를 확인했습니다. 테스트의 목적은 알려지거나 알려지지 않은 위협에 대한 사전 예방적 차단 및 적극적인 탐지 기능을 검증하는 것이었습니다.

NSS Labs의 2017년 고급 엔드포인트 보호의 보안 가치 맵에서 확인할 수 있듯이, 이 테스트를 통해 허용 목록 등의 툴과 기타 엔드포인트 보안 기능을 사용하여 공격을 100% 막을 수 있음이 입증되었습니다.

Industry Pulse: 핵심 보안 전략인 허용 목록

보안 전문가들은 랜섬웨어와 같은 악의적인 공격을 차단할 수 있는 필수적인 기본 보안 전략으로 허용 목록을 꼽았습니다.

실제로 CSO 관련 기사에 따르면 권장 사항, 평판 점수, 기타 데이터를 기반으로 하는 실시간 허용 목록은 이론적으로 "매우 낮은 관리 부담으로 거의 완벽한 엔드포인트 보안을 보장"할 수 있습니다.

최근 Help Net Security는 Gartner 선임 보안 및 개인정보 보호 애널리스트인 Neil MacDonald의 말을 빌어 허용 목록을 사용하여 악성 공격을 차단하는 방법에 대해 이와 유사한 관점을 소개했습니다. MacDonald는 "모든 유형의 취약점에 대한 향후 공격의 리스크를 줄이기 위해 서버에서 애플리케이션 제어 및 허용 목록을 사용할 것을 오랫동안 권장해 왔습니다. 물리적, 가상, 퍼블릭 클라우드, 컨테이너 기반 워크로드에 서버 워크로드 보호에 대한 기본적인 거부 방식을 아직 적용하지 않았다면, 지금이 적기입니다. 이는 2018년 모든 보안 및 리스크 관리 선두주자의 표준 관행이자 우선 과제가 되어야 합니다."라고 밝혔습니다.

보안 솔루션 기업인 Red Canary의 디지털 포렌식 및 인시던트 대응(DFIR) 전략가인 Phil Hagen도 이에 동의합니다. Hagen의 최근 블로그에 따르면, "파트너인 Carbon Black이 제공하는 이와 같은 애플리케이션 제어 솔루션은 조직이 취할 수 있는 가장 효과적이며 유일한 예방 조치입니다. 이러한 방법론을 통해 사내 시스템에서 승인된 바이너리 목록만이 실행되도록 할 수 있습니다. 피싱 페이로드가 흔한 종류의 랜섬웨어든, 특정 대상을 겨냥한 맞춤형 맬웨어든, 피해로 인해 발생하는 비용이 허용 목록 솔루션을 배포하고 유지하는 비용보다 훨씬 높습니다."

400,000대의 머신이 1주 만에 WannaCry 랜섬웨어에 감염되었습니다.

해결책: 실시간 동적 허용 목록

리스크가 높은 오늘날의 사이버 환경에서는 중요 데이터를 지속적으로 보호할 수 있도록 허용 목록을 지원하는 완전한 엔드포인트 보안 솔루션이 필요합니다. 허용 가능한 활동에 대한 엄격한 정책에 따라, 허용 목록 및 애플리케이션 제어를 통해 실시간으로 주요 시스템 잠금을 수행하여 모든 신뢰할 수 없는 파일, 애플리케이션, 프로세스가 실행되지 않도록 할 수 있습니다. 이러한 정교한 기능을 통해 기업은 다음을 수행할 수 있습니다.

공격 중지 - 승인된 소프트웨어만 실행하도록 허용
소프트웨어 자동화 - IT 및 클라우드 기반 정책을 통한 승인 및 업데이트
불필요한 변경 방지 - 커널 및 사용자 모드 수준에서 시스템 구성 변경 방지
전력 기기 제어 - 파일 무결성 모니터링 및 제어(FIM/FIC) 기능
IT 리스크 충족 - 주요 규제 요건에 대한 감사 제어