클라우드 탐지 및 대응(CDR)은 클라우드에서 사이버 위협을 찾고 처리하기 위한 포괄적인 클라우드 네이티브 접근 방식입니다.
목차
조직이 클라우드 솔루션을 사용하는 주요 이유 중 하나는 거의 무한대로 확장할 수 있기 때문입니다. 그러나 확장이 클수록 더 복잡한 클라우드 환경이 되어 사이버 위협으로부터 보호하기가 어려워집니다. 클라우드 탐지 및 대응(CDR)은 기존 기능과 새로운 기능을 결합하여 보안 팀에 클라우드 위협을 탐지, 식별 및 대응하는 단일 통합 솔루션을 제공합니다.
중요한 점은 CDR은 클라우드 네이티브이며 클라우드 기반 자체이며 클라우드 애플리케이션과 인프라가 작동하는 고유한 방식을 반영한다는 것입니다. 단일 또는 다중 클라우드 환경에서 보호를 제공할 수 있습니다.
때때로 클라우드 탐지 및 대응을 클라우드 위협 탐지 및 대응(CTDR) 또는 클라우드 네이티브 탐지 및 대응(CNDR)이라고 합니다.
클라우드 탐지 및 대응이 중요한 이유는 무엇입니까?
대다수의 조직은 비즈니스를 수행하기 위해 하나 이상의 클라우드 애플리케이션 또는 클라우드 인프라 인스턴스에 의존합니다. 운영 및 트랜잭션에서 널리 사용되고 중심적인 역할을 하는 클라우드 솔루션은 사이버 공격의 주요 표적이 됩니다.
공격자는 일반적으로 계정에 액세스하기 위해 사용할 수 있는 자격 증명을 훔쳐 클라우드 환경에 침투합니다. 일단 들어오면 점점 더 민감한 기능과 데이터에 액세스할 수 있도록 권한을 \"업그레이드\"하는 방법을 탐색합니다. 개인 또는 보호 정보를 훔치려고 하거나(누출하려고) 기업이 비용을 지불하고 있는 클라우드 리소스를 도용하여 자체적으로 사용할 수 있습니다(예: 암호화폐 채굴).
기존 엔터프라이즈 네트워크/IT 환경을 위해 설계된 독립형 사이버 보안 도구는 클라우드의 개방성, 복잡성 및 규모에 적합하지 않으므로 조직은 CDR 솔루션을 배포해야 합니다.
CDR은 기존의 보안 접근 방식과 어떻게 다릅니까?
다른 사이버 보안 솔루션과 달리 클라우드 탐지 및 대응은 클라우드 네이티브입니다. 따라서 CDR 도구는 \"클라우드 규모\"로 작동하고 끊임없이 변화하는(동적) 클라우드 자체의 특성을 따라잡을 수 있습니다. 여기에는 위협을 실시간으로 탐지하고 클라우드 기능을 사용하여 이러한 위협에 자동화된 방식으로 대응하는 것이 포함되며, 이는 수동으로 작업하는 인간 팀보다 훨씬 빠릅니다.
클라우드 탐지 및 대응은 어떻게 이루어집니까?
CDR 도구는 실시간 위협 탐지 및 자동화된 위협 대응을 제공하여 작동합니다.
- 실시간 위협 탐지는 클라우드 데이터의 지속적인 모니터링 및 분석에 의존하여 사이버 위협 또는 실제 침해(위협의 지표라고도 함)의 징후를 최대한 빨리 찾습니다. 여기에는 사용자 활동 및 행동, 네트워크 트래픽 등과 관련된 다양한 소스에서 얻은 방대한 양의 정보가 포함될 수 있습니다. 목표는 클라우드 환경에 대한 완전한 가시성을 달성하는 것입니다.
- 자동화된 위협 대응은 소프트웨어 기반 도구를 사용하여 침해되었을 수 있는 클라우드 리소스를 격리하고, 의심스러운 IP 주소에서 트래픽을 차단하며, 보안 팀이 클라우드 보안 관행을 배우고 적응할 수 있도록 사후 분석을 제공하고, 위험 평가 및 클라우드 규정 준수 요구 사항을 준수하는 것입니다.
이러한 방식으로 CDR 솔루션은 확장 탐지 및 대응(XDR) 및 엔드포인트 탐지 및 대응(EDR)과 같은 다른 유형의 기존 사이버 보안 솔루션과 유사하게 작동하지만 특히 클라우드 네이티브 방식으로 작동합니다.
CDR 도구의 주요 기능은 무엇입니까?
클라우드 위협을 검색하고 대응할 때 CDR 솔루션은 종종 다음과 같은 기능을 제공합니다.
- 클라우드 환경을 지속적으로 모니터링하여 데이터 액세스 방법, 액세스 대상, 정책 준수 여부 등과 같은 비정상적인 활동이나 행동을 지속적으로 감시합니다. CDR 솔루션은 의심스러운 활동이 탐지되는 경우 실시간으로 자동으로 경보를 제기할 수 있어야 합니다.
- 최신 위협을 항상 감시하기 위한 위협 인텔리전스의 통합은 AI 및 머신 러닝과 결합하여 알려진 위협이 클라우드 환경에서 활성화될 수 있다는 사실을 알립니다. 위협 인텔리전스와 과거 분석 및 예측 머신러닝을 결합한 CDR을 통해 보안 팀은 클라우드 보안에 대한 적극적 접근 방식을 채택할 수 있습니다.
- 조직이 자체 정책 및 외부 개인정보 보호 및 보안 규정 또는 법률(지급 거래에 대한 PCI DSS, 건강 데이터에 대한 HIPAA 및 EU에서 더 광범위하게 데이터 보호를 위한 GDPR 포함)을 준수하도록 지원하는 보고 및 정책 시행. CDR 솔루션은 방대한 양의 데이터를 자동으로 추적, 소화, 분석 및 실행하므로 이러한 방식으로 규정 준수를 지원하는 보고서와 인텔리전스를 생성할 수 있습니다.
- 적절한 클라우드 위치 또는 관할권 또는 적절한 수준의 암호화 및 액세스 제어와 같은 보안 및 개인정보 보호 요구 사항에 따라 데이터가 올바르게 분류되고 저장되도록 하여 데이터 및 개인정보 보호를 자동화합니다.
- 에이전트 기반(예: EDR, CWPP) 및 에이전트리스(예: CSPM, 클라우드 API 로그) 소스에서 원격 측정의 수집 및 상관 관계는 클라우드 워크로드 및 인프라에 대한 포괄적인 가시성을 제공합니다. CDR은 이러한 다양한 데이터 스트림에 걸쳐 이벤트를 상호 연관시킴으로써 하이브리드 및 멀티 클라우드 환경 전반에서 더 빠른 위협 탐지, 상황별 분석 및 우선 순위가 지정된 대응 조치를 제공할 수 있습니다.
클라우드 탐지 및 대응 구현
여러 면에서 사이버 보안은 기업에 점점 더 전략적으로 변화하고 있습니다. 전반적인 비즈니스 관리에 더 많이 통합되고 비즈니스 목표와 더 밀접하게 연결됩니다. 클라우드 기술이 보안 팀에 복잡성을 더하는 것처럼, 이는 전략적 사고방식으로 전환됩니다.
CDR은 비즈니스 크리티컬 클라우드 리소스 보호에 중점을 두고 전반적인 사이버 위험 관리에 필수적인 부분이므로 \"전략적 사이버 보안\" 범주에 적합합니다. 따라서 CDR 솔루션을 구현하려면 신중한 전략적 계획이 필요합니다.
실제로 조직은 지속적인 적응형 클라우드 보안을 처리하고 머신 러닝 및 AI를 효과적으로 사용하여 오탐을 최소화하고 팀이 증가하는 경보에 압도되는 것을 방지하기 위해 적절한 기술과 지식을 보유해야 합니다.
CDR은 클라우드 환경을 위한 정교한 대규모 전략적 사이버 보안 접근 방식이므로 조직은 이를 성공적으로 구현하고 장기간 유지할 예산을 확보해야 합니다.
클라우드 탐지 및 대응의 미래
조직은 새로운 위협에 대응하고 비즈니스 운영에 클라우드가 얼마나 중요한지 반영하기 위해 클라우드 보안에 대한 접근 방식을 진화시키고 있습니다. 많은 사람들이 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)을 채택하여 클라우드 보호에 대한 보다 통합된 엔드투엔드 라이프사이클 접근 방식을 얻고 있습니다.
탐지 및 대응 기능을 제공함으로써 CDR은 클라우드 환경의 복잡성과 위협의 성격이 함께 진화함에 따라 미래 대비 사이버 보안에서 중요한 역할을 수행하는 CNAPP 구현의 핵심 부분입니다.
클라우드 탐지 및 대응에 대한 도움을 어디에서 받을 수 있습니까?
Trend Vision One™ Cloud Security는 실시간 위험 평가, 공격 경로 예측, 노출 관리 등과 같은 고부가가치 추가 기능과 함께 멀티 클라우드 및 하이브리드 환경에 대한 CDR의 위협 탐지 및 대응 기능을 제공합니다.
클라우드 보안은 사고 대응 및 클라우드 보안 규정 준수를 간소화하는 포괄적인 솔루션에서 사이버 위험에 대한 지속적인 모니터링, 평가 및 우선 순위 지정과 함께 최대의 가시성을 제공합니다.
자주 묻는 질문(FAQ)
클라우드 대응은 무엇을 의미합니까?
“클라우드 대응”은 클라우드 리소스를 손상시킬 수 있는 잠재적 위협에 대응하는 사이버 보안 팀의 능력을 의미합니다.
탐지 및 대응 프로세스란 무엇입니까?
탐지 및 대응에는 위협을 탐지하고 그러한 위협에 대응하여 잠재적 피해를 최소화하기 위한 적절한 조치를 구현하기 위한 기술 환경의 지속적인 모니터링이 포함됩니다.
XDR과 CDR의 차이점은 무엇입니까?
XDR(확장 탐지 및 대응)과 CDR(클라우드 탐지 및 대응)은 모두 탐지 및 대응 기능을 수행합니다. XDR은 엔터프라이즈 네트워크/IT 환경의 다양한 보안 계층을 다룹니다. CDR은 특히 클라우드 환경을 보호하도록 설계되었습니다.
클라우드 기반 탐지란 무엇입니까?
클라우드 기반 탐지는 클라우드 내에서 작동하고 클라우드 기능을 사용하여 사이버 위협을 탐지하는 모든 기술을 의미합니다.
통신에서 CDR 및 EDR이란 무엇입니까?
CDR은 클라우드 탐지 및 대응을 의미하며 EDR은 엔드포인트 탐지 및 대응을 의미합니다. 두 가지 모두 전반적인 사이버 보안의 중요한 측면입니다.
EDR과 CDR의 차이점은 무엇입니까?
EDR(엔드포인트 탐지 및 대응)은 조직의 IT 환경에서 물리적 장치(“엔드포인트”)를 보호하는 데 중점을 둡니다. CDR(클라우드 탐지 및 대응)은 클라우드 애플리케이션과 인프라를 보호합니다.
탐지와 대응 및 SOC의 차이점은 무엇입니까?
SOC는 사이버 보안을 처리하는 중앙 집중식 그룹 또는 사무실인 보안 운영 센터입니다. 탐지 및 대응은 SOC가 조직을 보호하기 위해 수행하는 기능입니다. 즉, 잠재적 위협을 찾고 대처하는 기능입니다.
사이버 보안에서 탐지 및 대응이란 무엇입니까?
이름에서 알 수 있듯이 “탐지 및 대응”은 잠재적인 사이버 위협을 탐지(탐지 및 식별)하고 대응하여 피해를 제한하는 프로세스를 의미합니다.
SOC를 SOC로 만드는 것은 무엇입니까?
보안 운영 센터는 사내에 있거나(조직이 자체적으로 직원을 고용하고 운영한다는 의미) 아웃소싱될 수 있습니다(관리형 서비스 제공업체가 기능을 제공한다는 의미). 어떤 경우든 SOC를 SOC로 만드는 것은 사이버 보안 운영이 수행되는 중앙 집중식 장소라는 것입니다.
SOC에서 사고 대응의 주요 목표는 무엇입니까?
“사고 대응”은 사이버 공격과 같은 사이버 위협으로 인한 피해를 억제 및 차단하거나 최소화하기 위한 조치를 취하는 것입니다. 보안 운영 센터(SOC)는 사고 대응이 신속하고 효과적으로 이루어지도록 할 책임이 있습니다.