동작 분석이란?

동작을 통해 악의적인 활동에 대해 파악할 수 있는 것

일반적이지 않은 이벤트 발생 시점, 비정상적인 동작 순서 또는 데이터 이동 증가는 환경 내부의 악성 활동을 나타내는 몇 가지 징후에 불과합니다. 진행 중인 공격을 식별할 수 있는 비정상적인 동작의 몇 가지 구체적인 예시는 다음과 같습니다.

• 합법적인 것으로 보이는 파일의 링크가 메모리에 로드된 다음 스크립트를 원격으로 로드하고 기밀 데이터를 찾아 공격자에게 다시 전송합니다.
  
  
• 악성 코드는 Microsoft Word, Flash, Adobe PDF Reader, 웹 브라우저 또는 JavaScript 등 이미 설치된 애플리케이션에 침투하여 취약점을 타겟으로 악성 코드를 실행합니다.
  
  
• 일반적으로 신뢰도가 높은 것으로 간주되는 Microsoft WMI(Windows Management Instrumentation) 및 Microsoft PowerShell 스크립팅 언어와 같은 기본 시스템 툴은 스크립트를 원격으로 실행하기 위해 공격 대상이 됩니다.

Industry Pulse: "필수"로 자리 잡은 동작 분석

2016년 초 SANS Institute는 Using Analytics to Predict Future Attacks and Breaches(분석을 통한 향후 공격 및 침해 예측)라는 제목의 백서에서 동작 분석의 중요성을 강조했습니다. 저자는 "더 많은 고급 데이터 분석 플랫폼을 활용하여 보다 다양한 유형의 데이터를 더 많이 수집하고, 증가된 네트워크 위협 가시성에 집중하며, 감지 및 대응 작업을 자동화하면 보안 팀이 현재와 미래에 이러한 당면 과제를 해결할 수 있다"고 결론짓습니다.

그 미래가 지금 눈앞에 다가왔으며, 2018년에는 동작 분석이 기본적으로 고급 엔드포인트 보안에 필수적인 요구 사항이 되었습니다. 실제로 Gartner는 Magic Quadrant for Endpoint Protection Platforms(엔드포인트 보호 플랫폼 관련 매직 쿼드런트) 보고서에서 머신 러닝 및 동작 모니터링을 전략가와 리더의 강점으로 보고 있습니다. 또한 이 보고서에서는 "2018년과 2019년에는 [엔드포인트 감지 및 대응] 기능으로 수집한 데이터를 사용하여 고객에게 맞춤화된 실행 가능한 지침과 조언을 제공하는 벤더가 가장 앞선 기술로 선도하게 될 것"이라고 강조합니다.

17%의 2017년 발생한 침해가 악의적인 의도가 아닌 인적 오류로 인해 발생했습니다.

해결책: 클라우드

동작 분석을 완전하게 실현하기 위해 기업은 클라우드와 그에 따른 엄청난 컴퓨팅 성능, 무한한 확장성, 관리 용이성을 활용해야 합니다. 클라우드는 빅데이터와 강력한 분석을 결합하여 가장 위협이 되는 최신 공격을 앞지르는 사전 예방적 접근 방식을 제공합니다.

예를 들어 클라우드는 정상 및 비정상 엔드포인트 활동을 모니터링하고 필터링되지 않은 과거의 모든 엔드포인트 데이터와 비교할 수 있는 스트리밍 분석을 지원합니다. 클라우드는 이러한 이벤트 스트림을 분석하고 정상적인 이벤트 스트림과 비교함으로써 공격을 감지할 뿐만 아니라 이전에는 보지 못한 공격을 예측하는 글로벌 위협 모니터링 시스템을 구축합니다.

이 강력한 접근 방식은 서명 기반의 기존 AV 솔루션으로는 불가능하지만 차세대 바이러스 백신(NGAV) 소프트웨어가 있으면 가능합니다.

클라우드의 NGAV는 엔드포인트와의 양방향 통신을 제공하므로 필터링되지 않은 모든 엔드포인트 데이터를 모니터링하고 예측 분석으로 전환하여 정교한 공격으로부터 기업을 사전 예방적으로 보호할 수 있습니다.

또한 클라우드는 대부분의 기업이 다른 엔터프라이즈 소프트웨어를 통해 이미 경험하고 있는 인프라의 이점, 즉 운영 간소화 및 비용 절감, 배포 속도 향상, 가장 혁신적인 최신 기술을 제공합니다.