엔드포인트 감지 및 대응(EDR)이란?
엔드포인트 감지 및 대응(EDR)은 엔드포인트 보안 데이터의 실시간 모니터링 및 수집과 자동화된 위협 대응 메커니즘을 포함하는 엔드포인트 보안 솔루션입니다.
EDR은 보안 팀에 정보를 제공하고 신속한 대응을 가능하게 하는 고도의 자동화를 활용하여 달성할 수 있는, 호스트와 엔드포인트 모두에서 의심스러운 활동을 감지하고 조사하는 새로운 보안 시스템 클래스를 설명하기 위해 Gartner가 제안한 용어입니다.
EDR 시스템은 다음을 수행하는 5가지 주요 기능을 제공합니다.
- 엔드포인트를 적극적으로 모니터링하고 위협이 나타날 수 있는 활동에서 데이터 수집
- 수집된 데이터를 분석하여 알려진 위협 패턴 식별
- 식별된 모든 위협에 대한 자동 대응을 생성하여 위협을 제거 또는 억제
- 보안 담당자에게 위협이 감지되었음을 자동으로 통보
- 분석 및 포렌식 도구를 활용하여 다른 의심스러운 활동으로 이어질 수 있는 식별된 위협을 연구
하이브리드 배포를 위한 위협 수색 및 인시던트 대응
엔터프라이즈 EDR 사용 사례 - 위협 수색 및 인시던트 대응
EDR의 이점
EDR 시스템은 현대 보안 팀의 필수 점검 요소로 자리잡고 있습니다. EDR은 알려졌거나 진화 중인 위협 및 보안 문제를 상대로 다양한 방법으로 디지털 경계를 보호합니다.
첫 번째로, EDR 시스템은 포괄적인 모니터링 데이터 수집을 바탕으로 잠재적 공격을 완전히 확인할 수 있게 합니다. 온라인과 오프라인을 비롯한 모든 엔드포인트를 지속적으로 모니터링하면 분석 및 인시던트 대응을 쉽게 수행할 수 있습니다. 이를 통해 심층 분석과 통찰력을 확보하면, 전문가는 조직 네트워크의 이상 및 취약점을 이해하여 향후 사이버 범죄 사건에 더 잘 대비할 수 있습니다. 모든 엔드포인트 위협 감지는 기존 바이러스 백신으로는 불가능한 일이며, 다양한 위협 어레이에 대한 실시간 대응을 제공하는 EDR 기능을 사용하면 보안 팀은 진화 중인 잠재적인 공격과 위협까지도 실시간으로 시각화할 수 있습니다.
이렇게 하면 심각한 손실이나 손상이 발생하기 전 초기 단계에서 공격을 차단하여 손실을 방지할 수 있습니다. 또한 조직은 실시간 대응을 통해 네트워크에서 의심스럽거나 승인되지 않은 동작을 발견하여, 운영이 영향받기 전에 위협의 근본 원인을 찾을 수 있습니다. 마지막으로, 엔드포인트 감지 및 대응 시스템은 다른 보안 도구를 통합하여 엔드포인트, 네트워크 및 SIEM의 데이터 상관관계를 파악함으로써 디지털 자산에 대한 무단 액세스를 시도하는 해커가 적용하는 관행과 기술을 심층적으로 이해할 수 있습니다.
EDR이 중요한 이유는 무엇입니까?
매일 새로운 바이러스, 멀웨어 및 기타 사이버 위협이 등장하면서 위협 환경이 끊임없이 변화하고 있습니다. 이렇게 진화하는 위협에 대처하기 위한 이상 징후의 실시간 수집 및 감지가 점점 더 중요해지고 있습니다.
이러한 당면 과제는 모바일 인력이 증가하면서 더욱 심화되고 있습니다. 코로나19 팬데믹 상황 때문에 가속화되고 있는 직원의 원격 연결의 경우, 조직의 디지털 자산에 액세스하는 데 사용하는 대부분의 엔드포인트는 직원 소유입니다. 이러한 BYOD 기기는 직원의 가족이 공유하거나 가족이 공유하는 네트워크를 사용할 수 있으며, 따라서 직원 본인이 모르는 사이에 멀웨어에 감염될 수 있습니다.
EDR을 채택하면, 조직은 다음과 같은 방법으로 이러한 당면 과제를 개선할 수 있습니다.
- 악의적인 행위를 수행할 수 있는 실행 파일을 식별하고 차단
- 승인되지 않은 데이터에 액세스하거나 기밀 정보 또는 보호 대상 정보를 다운로드하는 데 USB 기기를 사용하지 못하게 함
- 엔드포인트 기기를 감염시킬 수 있는 파일 없는 멀웨어 공격 기술 차단
- 스크립트 실행 제어
- 악성 e-메일 페이로드가 첨부 파일을 파괴하지 못하게 함
- 제로데이 공격으로부터 보호하고 피해를 입지 않게 함
EDR은 타사 위협 인텔리전스 서비스와 함께 작동하여 엔드포인트 보안 솔루션의 효율성을 개선할 수도 있습니다. 이러한 서비스의 집단 지성을 바탕으로 제로데이 공격 및 기타 다중 계층 공격을 식별하는 EDR의 능력이 개선되기 때문입니다. 현재 많은 엔드포인트 감지 및 대응 솔루션이 머신 러닝과 인공 지능(ML/AI)을 통합하여, 조직의 기준선이 되는 동작을 '학습'하고 이 정보를 사용하여 공격 감지 시 결과를 해석함으로써 프로세스를 더욱 자동화하고 있습니다.
EDR 작동 방식
EDR은 네트워크 및 엔드포인트의 트래픽을 모니터링하고 보안 문제와 관련된 정보를 나중에 분석할 수 있도록 중앙 데이터베이스에 수집하는 방식으로 작동하며, 위협 이벤트에 대한 보고 및 조사를 용이하게 합니다.
EDR 솔루션은 저마다 다른 방식으로 생성됩니다. 솔루션에서 수행하는 활동의 범위는 벤더마다 다를 수 있습니다. 일반적인 EDR 솔루션의 주요 구성 요소는 다음과 같습니다.
- 데이터 수집 에이전트 엔드포인트에 설치되는 이러한 에이전트는 실행 중인 프로세스에서의 데이터 수집, 네트워크 및 기기에 대한 연결, 활동 볼륨 및 데이터 전송을 모니터링하고 수행합니다.
- 중앙 허브. 이 통합 허브는 엔드포인트 데이터를 수집하고, 상관 관계를 파악하고, 수집된 데이터를 분석합니다. 또한 중앙 허브는 즉각적인 위협에 대한 경고와 대응을 조정하는 역할도 합니다.
- 응답 자동화. EDR 시스템은 대부분 사전에 구성되는 규칙을 활용하여 수집된 데이터가 알려진 위협을 나타내는 경우를 인식하고, 보안 담당자에게 경고하거나 시스템에서 사용자를 로그오프하는 등의 자동 응답을 트리거합니다.
- 포렌식 및 분석. EDR에는 위협 근절과 사후 분석 수행을 지원하는 포렌식 도구와, 기존 사전 구성된 규칙과 일치하지 않는 위협을 신속하게 발견하는 실시간 분석 지원이 포함될 수 있습니다.
EDR과 바이러스 백신의 차이점
EDR 솔루션은 새로운 EDR 솔루션에 비하면 범위가 제한적인 기존 바이러스 백신 프로그램의 상위 집합이라 할 수 있습니다. 따라서 바이러스 백신은 EDR 솔루션의 일부가 됩니다.
바이러스 백신은 바이러스 검사, 감지 및 제거 같은 기본 기능을 수행하며, EDR은 다른 많은 기능을 수행합니다. EDR에는 바이러스 백신 외에 모니터링, 화이트리스트/블랙리스트 같은 다양한 기능이 포함될 수 있으며, 이 모든 기능은 알려진 위협과 새로운 위협에 대한 더욱 포괄적인 보호를 제공하도록 설계되었습니다.
디지털 네트워크 경계가 전방위로 확장되면서, 기존 바이러스 백신만으로는 기업 리소스에 액세스하는 데 사용하는 다양한 기기를 보호할 수 없게 되었습니다. 엔드포인트 감지 및 대응 시스템은 첨단 사이버 공격을 방어하는 데 더 적합하며, EDR 자동 응답을 사용하면 IT 팀은 공격으로부터 조직을 보호하느라 과부하가 걸리지 않게 됩니다.
위협 환경의 급속하게 발전하면서 이 기능이 점점 더 중요해지고 있습니다. 해커들은 공격을 지속적으로 개선하고 첨단 위협을 활용하여 네트워크에 진입하기 때문에, 단순한 서명 기반 바이러스 백신은 제로데이 또는 다중 계층 위협을 적시에 감지하지 못하게 될 것입니다. 하지만 EDR 시스템은 모든 유형의 엔드포인트 위협을 감지하여, 식별된 위협에 대한 실시간 대응을 제공합니다.
