XDR

XDR은 계층간 위협 탐지 및 대응 기능을 제공합니다.

탐지를 회피하는 위협 솔루션 알람이 끊긴 상태에서 보안 사일로 사이에 숨어 있다가 시간이 흐를수록 전파되는데, 보안 분석가는 연결이 끊긴 공격 관점에서 추적하고 조사하려고 합니다.

XDR은 탐지 및 응답에 대한 전체적인 접근 방식을 사용하여 이러한 사일로를 분류합니다. XDR은 이메일, 엔드 포인트, 서버, 클라우드 워크로드 및 네트워크와 같은 여러 보안 계층에서 탐지 및 심층 활동 데이터를 수집하고 연관시킵니다. 풍부한 데이터의 상위 집합을 자동화된 분석은 빠른 위협이 탐지되는것을 의미하며, 보안 분석가는 보다 빠른 철저한 조사를 수행하고 신속하게 후속 조치를 취할 수 있습니다.

XDR의 보안 계층 에 대해 알아보십시오.

탐지 및 대응과 관련하여 SOC 분석가는 조직에 대한 위험과 피해를 제한하기 위해 중요한 위협을 신속하게 식별해야 할 책임이 있습니다. 

알람 과부하

IT 및 보안팀이 다른 솔루션에 의해 발생하는 알람에 놀라는것은 당연한 일입니다. 평균 직원수 1000명인 회사는 초당 최대 22,000 개의 이벤트가 SIEM에 진입하는 것을 볼 수 있습니다. 하루에 거의 2 백만 건의 이벤트입니다.^[1] 상관 관계가 있고 우선 순위를 정할 수단이 거의 없는 풍부한 양의 알람에 직면한 숙련된 분석가조차도 중요한 이벤트를 찾기 위해 노이즈를 신속하고 효과적으로 제거하는 데 어려움을 겪고 있습니다.  XDR은 일련의 신뢰도가 낮은 활동을 신뢰도가 높은 이벤트에 자동으로 연결하여 우선 순위가 낮은 조치에 대한 알람을 표시합니다.

가시성 갭

많은 보안 제품이 경고 및 활동에 대한 가시성을 제공하지만 각 제품은 특정 관점을 제공하고 해당 기능에 관련성이 있고 유용한 데이터를 수집 / 제공합니다. 보안솔루션 간 통합으로 데이터 교환 및 통합이 가능하지만 수집된 데이터의 유형과 깊이, 상관 분석 수준에 따라 종종 값이 제한됩니다. 볼 수 있는것과 할 수 있는 것에 차이가 있음을 의미합니다. 이와는 대조적으로 XDR은 개별 보안 툴에 걸쳐 활동 데이터의 전체 데이터 호수(탐지, 원격 측정, 메타데이터, 넷플로 등)에 대한 액세스를 수집하고 제공합니다. XDR은 정교한 분석 및 위협 인텔리전스를 적용하여 보안 계층에서 전체 이벤트 체인을 공격 중심으로 보는 데 필요한 전체 컨텍스트를 제공합니다.

조사의 어려움

많은 로그와 경고에 직면했지만 명확한 지표가 없는 상황에서 무엇을 찾아야 할지 알기가 어렵습니다. 문제나 위협을 발견하면 그 경로와 기업 전체에 미치는 영향을 파악하기가 어렵습니다. 조사할 자원이 있는 경우 조사를 수행하는 데 시간이 오래 걸리고 수작업이 필요할 수 있습니다. XDR은 수동 단계를 제거하여 프로세스를 자동화하고 그렇지 않으면 불가능한 분석을 위한 풍부한 데이터와 도구를 제공합니다. 이메일, 엔드포인트, 서버, 클라우드 및 네트워크를 통과 할 수 있는 타임 라인 및 공격 경로를 확인하고 공격의 각 단계를 평가하기 위해 자동 근본 원인 분석을 고려하십시오.

늦은 탐지 및 응답 시간

언급된 과제의 결과로 위협이 너무 오랫동안 탐지되지 않아 응답 시간이 증가하여 공격의 위험과 결과가 발생합니다. 교차 계층 탐지 및 대응은 궁극적으로 위협 탐지 속도 및 대응 시간을 크게 개선시킵니다. 점점 더 MTTD (Mean-Time-to-Detect) 및 MTTR (Mean-Time-Respond)이 보안 조직의 핵심 성능 지표로 측정되고 모니터링됩니다. 마찬가지로, 솔루션 가치 및 투자는 이러한 측정 기준을 어떻게 추진하여 기업의 비즈니스 리스크를 줄이는가에 따라 평가됩니다.

XDR은 현재 포인트 솔루션, 단일 벡터 접근 방식을 넘어 탐지 및 대응의 진화를 제공합니다.

엔드포인트 탐지 및 대응(EDR)은 매우 중요했습니다. 그러나 성능의 깊이에도 불구하고 EDR은 관리되는 엔드포인트만 볼 수 있기 때문에 한정적입니다. 이를 통해 탐지 할 수있는 위협 범위와 영향을 받는 사람 및 대상에 대한 관점과 이에 가장 잘 대응하는 방법이 제한됩니다.

마찬가지로, 네트워크 트래픽 분석(NTA) 도구의 청사진은 네트워크와 모니터링되는 네트워크 세그먼트로 제한됩니다. NTA 솔루션은 대량의 로그를 구동하는 경향이 있으므로 네트워크 경고와 기타 활동 데이터 간의 상관관계가 네트워크 경고의 의미를 이해하고 가치를 창출하기 위해 매우 중요합니다.

업계는 탐지 및 대응에 큰 진전을 이루었지만 현재까지는 개별 솔루션 및 보안 계층을 통해 기능이 제공되었습니다. 따라서 데이터 수집 및 분석의 이점은 여전히 남아 있습니다. XDR은 탐지 및 대응을 통합된 중앙 집중식 활동으로 발전시켜 큰 결과를 제공합니다.

SIEM을 사용하여 여러 솔루션에서 로그 및 알람을 수집할 수 있습니다. SIEM을 통해 기업은 중앙 집중식 가시성을 위해 여러 곳에서 많은 정보를 수집 할 수 있지만, 개별 알람이 크게 증가합니다. 알람은 무엇이 중요하고 주의가 필요한지 분류하기가 어렵습니다. SIEM만으로 상황을 파악하기 위한 모든 정보 로그를 연결하는 것이 어렵습니다.

반대로 XDR은 심층 활동 데이터를 수집하여 데이터 호수에 정보를 입력하여 계층간 조사를 수행합니다. 풍부한 데이터 세트에 AI 및 전문가 분석을 적용하면 상황에 따른 경보가 줄어들어 회사의 SIEM 솔루션으로 전송할 수 있습니다. XDR은 SIEM을 대체하는 것이 아니라 SIEM을 강화하여 보안 분석가가 관련 알람과 로그를 평가하고 주의가 필요한 사항을 결정하고 심층 조사를 하는데 필요한 시간을 단축합니다.

엔드포인트를 뛰어넘는 여러 보안 계층

• 계층 간 탐지 및 대응을 수행하려면 최소 두 개의 계층이 필요하며, 엔드포인트, 이메일, 네트워크, 서버 및 클라우드 워크로드의 계층이 많을수록 효과적입니다.
• XDR은 엔드포인트를 뛰어넘는 탐지 및 대응 범위를 확장합니다. EDR을 중요한 추가 활동 영역으로 확장합니다. 예를 들어 이메일이 최다의 공격 소스라는 점을 감안할 때 매우 중요합니다.
• XDR은 여러 계층에서 데이터를 공급하므로 가장 관련성이 높은 구조에서 적용 가능한 모든 정보를 효과적으로 상관 및 분석 할 수 있습니다.
• 단일 벤더의 기본 보안 스택에서 분리함으로써 벤더/솔루션 확산을 방지하고 탐지, 조사 및 대응 능력 간의 탁월한 통합 및 상호 작용을 제공합니다.

인공지능 및 전문적인 보안 분석

• 데이터 수집은 XDR의 이점 중 하나이지만, 분석과 인텔리전스를 적용하여 더 나은, 더 빠른 탐지를 추구하는 것이 XDR의 최종 목표입니다.
• 원격 측정 수집이 필수가 됨에 따라 위협 인텔리전스와 결합된 보안 분석에 의해 가치가 결정됩니다.
• 네이티브 지능형 센서가 제공하는 분석 엔진은 타사 제품 / 원격 분석을 통해 달성 할 수 있는 것보다 더 효과적인 보안 분석을 제공합니다. 특정 공급 업체는 타사의 데이터보다 자신의 제품 데이터에 대해 더 깊이 이해합니다. 최적화 된 분석 기능을 보장하기 위해 공급 업체의 기본 보안 스택을 위해 특수 제작된 XDR 솔루션을 우선적으로 고려해야 합니다.

완벽한 가시성을 위한 단일 통합 및 자동화 플랫폼

• XDR은 단일보 내에 제공된 데이터를 논리적으로 연결하여 통찰력있는 조사가 가능합니다.
• 그래픽 기반의 공격 중심 타임 라인보기는 다음을 포함하여 한 곳에서 답변을 제공 할 수 있습니다.

유저가 감염된 경로
공격의 첫 번째 진입 지점
동일한 공격을 받은 유저
위협이 발생한 위치
위협 확산 방법
동일한 위협에 액세스 할 수 있는 다른 사용자 수

• XDR은 보안 분석가의 기능을 강화하고 워크 플로우를 간소화합니다. 수동 단계를 가속화하거나 제거하여 팀의 노력을 최적화하고 즉시 수행 할 수 없는 보기 및 분석을 가능하게합니다.
• SIEM 및 SOAR과의 통합을 통해 광범위한 보안 에코 시스템을 통해 XDR 통찰력을 조정할 수 있습니다.