NGAV(차세대 안티바이러스)란?
차세대 안티바이러스 솔루션은 공격자의 TTP(전략, 기술 및 절차)를 모니터링하고 대응하여 알려지거나 알려지지 않은 모든 유형의 공격을 차단합니다.
NGAV(차세대 안티바이러스) 정의
차세대 안티바이러스는 기존의 안티바이러스 소프트웨어를 새로운 고급 엔드포인트 보안 보호로 끌어올립니다. 이 솔루션은 시스템 중심의 클라우드 기반 접근 방식을 취하므로 알려진 파일 기반 멀웨어 서명 및 경험적 방법론보다 우수합니다. NGAV는 머신 러닝 및 인공 지능 기반의 예측 분석을 사용하고 위협 인텔리전스와 결합하여 다음을 수행합니다.
- 멀웨어 및 파일 미사용 비멀웨어 공격 탐지 및 방지
- 알 수 없는 소스의 악성 동작 및 TTP 식별
- 포괄적인 엔드포인트 데이터 수집 및 분석을 통해 근본 원인 파악
- 이전에는 탐지되지 않았던 새로운 위협에 대응

하이브리드 배포를 위한 위협 헌팅 및 사고 대응

VMware 보안 개요
기존 안티바이러스 소프트웨어가 더 이상 작동하지 않는 이유
오늘날의 공격자는 조직의 네트워크 경계 보안에서 허점과 약점이 있는 위치를 정확히 알고 있으며, 기존의 안티바이러스 소프트웨어를 쉽게 우회하는 방식으로 네트워크에 침투합니다. 이러한 공격자는 고도로 개발된 툴을 사용하여 다음을 활용하는 취약점을 표적으로 삼습니다.
- 메모리 기반 공격
- PowerShell 스크립팅 언어
- 원격 로그인
- 매크로 기반 공격
또한 기존 AV는 서명 파일 또는 정의 기반 위협에만 초점을 맞추기 때문에 시스템에 새로운 파일을 추가하지 않는 최신 위협으로 인해 발생하는 환경 변화를 탐지할 수 없습니다.
그러나 NGAV는 파일, 프로세스, 애플리케이션 및 네트워크 연결과 같은 이벤트에 중점을 두어 이러한 각 영역의 작업 또는 이벤트 스트림이 어떻게 관련되어 있는지 확인합니다. 이벤트 스트림을 분석하면 악의적인 의도, 동작 및 활동을 식별하는 데 도움이 될 수 있으며, 일단 식별되면 공격자를 차단할 수 있습니다.
오늘날에는 이러한 종류의 접근 방식이 더욱 중요해지고 있습니다. Major League Baseball, National Hockey League, 기타 주요 스포츠 조직을 비롯한 기업에서 공격자들이 특히 개별 네트워크를 표적으로 삼고 있다는 사실을 점점 더 많이 확인하고 있기 때문입니다. 공격은 다단계로 이루어지고 맞춤화되어 있으며 리스크가 상당히 높지만 안티바이러스 솔루션으로는 이를 막을 수 없습니다.
EDR: NGAV의 기본 요건
2017 Market Guide for Endpoint Detection and Response Solutions에 따르면 Gartner는 이제 EDR(엔드포인트 탐지 및 대응)을 기본 보안 기능으로 간주합니다. 이를 NGAV와 결합하면, 기업은 의심스럽거나 승인되지 않은 활동을 보다 정확하게 식별하여 이러한 활동 대부분을 완전히 차단하며 진화한 악의적인 위협에 그 어느 때보다 신속하고 효과적인 방식으로 대응하고 문제를 해결할 수 있습니다.
NGAV 솔루션이 기존 AV를 통과하는 위협을 식별할 수 있도록 EDR은 데이터 수집에 대한 전체적인 접근 방식을 제공하며, 이를 통해 환경을 완벽히 파악하고 머신 러닝, 예측 분석 및 동작 모니터링을 지원합니다. 이러한 기술을 함께 사용하면 기업이 이벤트를 모니터링하고 의심스러운 패턴을 식별한 다음 이를 관리자와 대응 담당자가 쉽게 사용할 수 있는 공격 시각화 자료로 전환할 수 있습니다.
EDR을 사용하면 파일, 레지스트리 및 네트워크의 가장 작은 변경 사항까지도 발견하여 보안 팀에서 의심이 가지 않는 곳에 숨겨진 악의적인 활동을 식별할 수 있습니다. 나아가 EDR은 대응 담당자가 식별된 위협을 억제하고 대부분의 NGAV 솔루션을 통과할 수 있는 새롭고 알려지지 않은 공격을 차단할 수 있도록 지원합니다.
2017년에 보고된 월별 사이버 공격 성장률 328%
Industry Pulse: 공격자와 보안 솔루션 간의 경쟁
다음은 Ponemon Institute에서 진행한 State of Endpoint Security 보고서의 내용 중 일부입니다.
안티바이러스 소프트웨어 회사는 유사한 제품을 제공하는 벤더뿐만 아니라 악의적인 공격자와도 직접적으로 경쟁해야 합니다. 이 경쟁의 일대일 구도에서는 공격자의 입장이 더 유리합니다.
또한 이 보고서에서는 회사에 피해를 입히는 엔드포인트 공격을 경험한 조직 중에서 77%가 자신들이 받은 공격이 파일 미사용 공격 또는 악용 공격이라고 답했습니다.
안티바이러스 소프트웨어가 이 경쟁에서 지고 있는 것은 분명합니다.
해결책: 클라우드 환경의 NGAV와 EDR 결합
NGAV 및 EDR 솔루션을 완전하게 실현하기 위해 기업은 단순히 클라우드뿐 아니라 클라우드의 엄청난 컴퓨팅 성능, 무한한 확장성, 관리 용이성을 활용해야 합니다. 클라우드에 엔드포인트 보안을 도입하면 사후 대응에서 벗어나 사전 예방적 접근 방식을 통해 빅데이터와 강력한 분석 기능을 결합하여 가장 큰 위협이 되는 최신 공격을 제압할 수 있습니다.
예를 들어 클라우드는 정상 및 비정상 엔드포인트 활동을 모니터링하고 필터링되지 않은 과거의 모든 엔드포인트 데이터와 비교할 수 있는 스트리밍 분석을 지원합니다. 클라우드는 이러한 이벤트 스트림을 분석하고 정상적인 이벤트 스트림과 비교함으로써 공격을 탐지할 뿐만 아니라 경험한 적 없는 공격을 예측하는 글로벌 위협 모니터링 시스템을 구축합니다. 기존 AV 솔루션만으로는 이 강력한 접근 방식을 도입할 수 없습니다.
또한 클라우드의 NGAV는 엔드포인트와의 양방향 통신을 제공하므로 필터링되지 않은 모든 엔드포인트 데이터를 모니터링하고 예측 분석으로 전환하여 정교한 공격으로부터 기업을 사전 예방적으로 보호할 수 있습니다.
그리고 클라우드는 대부분의 기업이 다른 엔터프라이즈 소프트웨어를 통해 이미 경험하고 있는 인프라의 이점, 즉 운영 간소화 및 비용 절감, 배포 속도 향상, 가장 혁신적인 최신 기술을 제공합니다.
조직 중에서 31%만이 안티바이러스 솔루션으로 악의적인 위협을 차단할 수 있다고 답했습니다.
관련 솔루션 및 제품
vRealize Operations
자율 IT 운영 관리
Anywhere Workspace 솔루션
직원들이 안전하고 원활한 환경에서 원격 근무할 수 있도록 지원
Horizon
보안 가상 데스크톱(VDI) 및 애플리케이션 플랫폼