확장된 탐지 및 대응(XDR)이란?

    확장된 탐지 및 대응(XDR)은 애플리케이션과 엔드포인트뿐만 아니라 네트워크와 클라우드 전반에 걸쳐 확장된 가시성, 분석 및 대응을 제공하는 툴과 데이터의 통합입니다.

    XDR은 엔드포인트 및 워크로드 보안 기능을 네트워크 및 클라우드에 대한 중요한 가시성과 통합하여 사각 지대를 줄이고 위협을 더 빠르게 탐지하며 이러한 도메인 전반에서 신뢰할 수 있는 컨텍스트를 통해 문제 해결을 자동화합니다.

    미래 대비형 SOC: XDR을 사용하여 통합 가시성 및 제어 실현

    백서 다운로드

    ESG가 제공하는 최신 SOC에서 XDR의 영향

    eBook 다운로드

    보안에서 XDR의 작동 방식

    XDR은 근본적으로 툴과 데이터를 통합한 것이며, 엔터프라이즈 보안 기능을 한 단계 높은 차원으로 끌어올립니다. XDR은 환경 전반에서 수집된 원시 데이터에 액세스할 수 있으므로 합법적인 소프트웨어를 사용하여 시스템에 액세스하는 악성 행위자를 탐지할 수 있습니다. 이는 SIEM(보안 정보 및 이벤트 관리) 소프트웨어로는 불가능한 경우가 많습니다. XDR은 활동 데이터의 자동화된 분석을 수행하고 상관 관계를 파악하므로 보안 팀은 위협을 보다 효과적으로 차단할 수 있습니다. 예를 들어 네트워크 탐지, 수평 이동, 비정상적인 연결, 비콘, 유출, 악성 아티팩트 전달을 포함하도록 확장할 수 있습니다.

    EDR과 마찬가지로 XDR은 위협에 대응하여 위협을 억제하고 제거합니다. 그러나 XDR은 탁월한 데이터 수집과 환경과의 통합으로 영향을 받는 자산에 보다 효과적으로 대응할 수 있습니다. 진정한 XDR 플랫폼은 보안 분석가가 대상을 명확히 하고 효과적인 방식으로 위협에 대응하는 데 필요한 종합적인 가시성과 상황 인식을 제공합니다. 이 맞춤형 대응 방식은 위협 자체뿐만 아니라 위협에 대한 대응이 시스템에 미치는 영향을 억제하는 데 도움이 됩니다. 이를테면 중요한 서버의 다운타임을 줄일 수 있는 것입니다.

    XDR은 원격 측정 및 데이터 분석, 탐지, 대응이라는 세 가지 요소로 구성됩니다.

    • 원격 측정 및 데이터 분석: XDR은 엔드포인트, 네트워크, 서버 및 클라우드를 포함한 여러 보안 계층에서 데이터를 모니터링하고 수집합니다. 그런 다음 데이터 분석을 사용해 해당 계층 전반에서 발생하는 수천 개의 알림으로부터 컨텍스트의 상관 관계를 파악함으로써 우선 순위가 높은 보다 적은 수의 알림만 표시하고, 그 결과 보안 팀의 부담이 줄어듭니다.
    • 탐지: XDR의 탁월한 가시성을 통해 알림을 검토하고 대응이 필요한 알림을 보고할 수 있습니다. 이와 동일한 가시성을 통해 환경 내에서 정상적인 동작의 기준선을 생성하여 소프트웨어, 포트 및 프로토콜을 활용하는 위협을 탐지하고, 위협이 시스템의 다른 부분에 영향을 미치지 않도록 위협의 출처를 조사할 수 있습니다.
    • 대응: EDR과 마찬가지로 XDR에는 탐지된 위협을 억제하고 제거할 뿐만 아니라 유사한 침해가 다시 발생하지 않도록 보안 정책을 업데이트하는 기능이 있습니다. 그러나 엔드포인트 및 워크로드에서만 이 기능을 수행하는 EDR과 달리 XDR은 엔드포인트 보호를 넘어 컨테이너 보안에서 네트워크 및 서버에 이르기까지 연결된 모든 보안 제어 지점에서 위협에 대응합니다.

    XDR의 이점은 무엇입니까?

    EDR을 능가하는 추가 기능으로 XDR은 조직의 IT 환경을 보호하는 데 몇 가지 실질적인 이점을 제공합니다. 이점은 다음과 같습니다.

    • 가시성 및 상황 인식 강화: EDR(엔드포인트 및 워크로드로 제한됨) 및 타사 보안 서비스(일반적으로 뷰가 제한됨)와 달리 XDR은 보안 환경에 대한 포괄적인 가시성을 제공합니다. 이 가시성을 통해 보안 분석가는 합법적인 소프트웨어, 포트 및 프로토콜을 활용하여 진입점을 확보하는 위협을 비롯하여 모든 보안 계층에 존재하는 위협, 공격이 발생한 방식, Blueprint, 진입점, 영향을 받는 다른 요소, 위협이 발생한 위치, 확산 방식 등을 파악할 수 있습니다. 상황을 이해하는 데 필요한 분석 기능과 함께 제공되는 이 추가적인 상황 인식은 위협에 신속하게 대응하는 데 매우 중요합니다.
    • 우선 순위 지정: IT 및 보안 팀은 보안 서비스에서 생성된 수천 개의 알림을 처리하는 데 어려움을 겪는 경우가 많습니다. XDR의 데이터 분석 및 상관 관계 분석 기능을 활용하면 MITRE ATT&CK 프레임워크 전반에서 관련 알림을 그룹화하고, 우선 순위를 지정하고, 가장 중요한 알림만 표시할 수 있습니다.
    • 자동화: XDR은 자동화를 사용하여 탐지 및 대응 속도를 높이고 보안 프로세스에서 수동 단계를 제거하므로 IT 팀이 대량의 보안 데이터를 처리하고 복잡한 프로세스를 반복 가능한 방식으로 수행할 수 있습니다.
    • 운영 효율성: XDR은 파편화된 보안 툴 모음 대신 환경 전반에 걸친 위협에 대한 총체적인 관점을 제공합니다. 환경 및 보다 광범위한 보안 에코시스템에 긴밀하게 통합된 중앙 집중식 데이터 수집 및 대응을 제공합니다.
    • 신속한 탐지 및 대응: 이 모든 이점이 더해져 더욱 강력하고 효과적인 보안 태세를 갖추게 됩니다. XDR의 향상된 효율성을 통해 조직은 위협을 더 빠르게 탐지하고 대응할 수 있으며 이는 오늘날의 보안 환경에서 핵심적인 부분입니다.
    • 보다 정교한 대응: 기존의 EDR은 영향을 받는 엔드포인트를 차단하는 방식으로 위협에 대응하는 경우가 많았습니다. 엔드포인트가 사용자 기기인 경우에는 이 방식에 문제가 없지만, 중요한 서버가 감염되면 문제가 발생할 수 있습니다. XDR의 보다 정교한 기능과 향상된 가시성을 활용하면 특정 시스템에 맞춤형으로 대응하면서 다른 제어 지점을 통해 전반적인 영향을 최소화할 수 있습니다.

    XDR의 사용 사례

    • 위협 헌팅: 특정 네트워크에 이미 위협이 존재할 가능성이 높지만, 많은 보안 팀은 선제적인 위협 헌팅을 수행할 시간을 내기 위해 노력하고 있습니다. XDR의 원격 측정 및 자동화 기능을 사용하면 이러한 작업의 상당 부분을 자동으로 수행할 수 있으므로 업무 부담이 대폭 줄어들어 보안 팀에서 다른 작업과 동시에 위협 헌팅을 수행하면서 필요한 경우에만 개입할 수 있습니다.
    • 분류: 보안 팀의 가장 중요한 역할 중 하나는 알림의 우선 순위를 지정하거나 알림을 분류하고 가장 중요한 알림에 신속하게 대응하는 것입니다. XDR은 수천 개의 알림의 상관 관계를 분석하여 우선 순위가 높은 소수의 알림으로 정리하는 강력한 분석을 통해 노이즈를 걸러냅니다.
    • 조사: XDR의 광범위한 데이터 수집, 우수한 가시성 및 자동화된 분석을 통해 보안 팀은 위협이 발생한 위치, 확산 방식, 영향을 받을 수 있는 다른 사용자 또는 기기를 빠르고 쉽게 파악할 수 있습니다. 이는 위협을 제거하고 향후 위협에 대비하여 네트워크를 강화하는 과정에서 매우 중요합니다.

    피해야 할 XDR 실수

    XDR은 강력한 보안 전략이지만 이점을 극대화하려면 XDR의 기능을 최대한 활용할 수 있도록 지원하는 솔루션을 선택해야 합니다. 플랫폼을 선택할 때 다음 문제를 고려하십시오.

    • 통합 부족: XDR은 IT 환경 내에서 완전히 통합될 때만 효과를 발휘합니다. 통합이 복잡하여 유지 관리 작업이 필요하면 IT 팀의 시간을 빼앗아 XDR 솔루션의 효율성이 저해될 수 있습니다.
    • 자동화 부족: 자동화는 XDR의 가장 강력한 기능 중 하나이며, 효과적인 플랫폼은 현재 상황에 적응하는 것 외에도 단순히 영향을 받는 기기에 대한 트래픽을 차단하는 것 이상으로 더욱 명확하게 대상에 대응할 수 있어야 합니다.
    • 운영 복잡성: 유용한 XDR 솔루션은 통합되어 있으며 보안 및 IT 팀이 액세스할 수 있어야 합니다. 그렇지 않으면 팀이 솔루션 구현을 통해 확보하는 시간이 솔루션을 학습하고 설정하는 데 드는 시간과 노력으로 상쇄될 것입니다.

    사이버 보안에서 탐지 및 대응이란 무엇입니까?

    탐지 및 대응 기술은 시스템을 실시간으로 지속적으로 모니터링하여 잠재적 위협을 탐지하고 조사합니다. 그런 다음 자동화를 사용하여 이러한 위협을 억제하고 제거합니다.

    현재 다음과 같은 다양한 유형의 탐지 및 대응 솔루션이 있습니다.

    • EDR(엔드포인트 탐지 및 대응) EDR은 엔드포인트에서 위협을 모니터링하고 이에 대응합니다. 탐지 및 대응 시스템의 최초 유형으로, 이전의 보안 기술에 비해 가시성을 높이고 위협에 더 빠르게 대응할 수 있습니다. 또한 향상된 멀웨어 탐지 기능을 자랑하며 파일 미사용 멀웨어와 같은 보다 정교한 위협을 포착할 수 있습니다. 하지만 그 범위가 엔드포인트 및 워크로드 보안으로 제한되어 복잡한 환경 전반에서 위협의 상관 관계를 파악하기가 어렵습니다.
    • NDR(네트워크 탐지 및 대응) NDR은 네트워크 내의 위협을 검사하고 위협이 탐지되면 대응책을 배포합니다. 이러한 유형의 탐지 및 대응은 내부 네트워크에 중점을 두어 보안 팀이 경계를 침해한 위협을 확인할 수 있습니다. NDR은 NTA, IDPS, 네트워크 Sandbox 등의 기술 조합과 감독되거나 감독되지 않은 머신 러닝을 함께 사용하여 엔드포인트 너머의 악성 활동과 양성 활동을 구분합니다.
    • MDR(관리형 탐지 및 대응): MDR은 외부 전문가가 조직의 시스템에 대한 탐지 및 대응을 수행하는 아웃소싱 서비스로 실행되며, 일반적으로 EDR 및 NDR 툴을 사용합니다. 이 솔루션은 탐지 및 대응 툴을 운영할 수 있는 사내 전문 인력이나 리소스가 없는 조직에 적합한 옵션이 될 수 있습니다. MSSP(관리형 보안 서비스 공급업체)와 같은 다른 아웃소싱 보안 서비스와 달리 MDR 서비스는 엔드포인트, 워크로드 및 네트워크 내에서 탐지된 최신 위협을 탐지하고 대응하는 데 중점을 둡니다.

    XDR과 EDR은 어떤 차이가 있습니까?

    XDR은 로드, 기기, 사용자, 네트워크 등 환경의 모든 보안 계층에 걸쳐 EDR의 기능을 확장합니다.

    XDR은 EDR이 제공하는 단일 관점이 아닌 여러 보안 계층 전반에서 원격 측정 및 동작 분석을 제공하여 보안 팀이 전체적으로 상황을 파악하도록 지원합니다.

    악의적인 행위자의 공격은 단일 보안 계층으로 제한되지 않으며, 보안 팀도 자신의 시야를 한 계층으로 제한할 여유가 없습니다. EDR은 보안 전문가에게 손상되었을 수 있는 엔드포인트에 대한 가시성을 제공하지만, 보안 팀이 인지하기 전에 공격이 네트워크를 통해 다른 시스템으로 이동한 경우에는 가시성을 제공하는 것만으로는 충분하지 않습니다. 바로 이 경우에 XDR이 필요합니다. 가시성 격차를 방지하기 위해 시스템 전반의 활동에 대한 총체적인 관점을 제공하는 XDR을 활용하면 보안 팀이 위협의 출처와 더불어 환경 전반에서 위협이 확산되는 방식을 파악하여 위협을 제거할 수 있습니다. 즉, XDR은 향상된 분석 및 상관 관계 분석 기능과 함께 총체적인 관점을 제공합니다.

    권장 사항

    관련 솔루션 및 제품

    VMware Carbon Black Cloud

    필요에 따라 조정되는 지능형 엔드포인트 및 워크로드 보호 기능을 통해 보안 혁신

    VMware Carbon Black EDR

    온프레미스 EDR(엔드포인트 탐지 및 대응)

    VMware NSX Network Detection and Response

    AI 기반 NDR(네트워크 탐지 및 대응)