XDR이란?
XDR(Extended Detection and Response)은 이메일, 엔드포인트, 서버, 클라우드 워크로드, 네트워크 등 여러 보안 계층에서 데이터를 수집하고 자동으로 상호 연관시킵니다. 이를 통해 보안 분석을 통해 위협을 더 빠르게 탐지하고 조사 및 대응 시간을 단축할 수 있습니다.
XDR
탐지를 회피하는 위협 보안 사일로와 연결이 끊긴 솔루션 알람 사이에 숨어 시간이 지남에 따라 전파됩니다. 한편, 부담을 느끼는 보안 분석가는 좁은 공격 관점을 가지고 탐색하고 조사하려고 합니다.
XDR은 탐지 및 응답에 대한 전체적인 접근 방식을 사용하여 이러한 사일로를 분류합니다. XDR은 이메일, 엔드포인트, 서버, 클라우드 워크로드 및 네트워크와 같은 여러 보안 계층에서 탐지 및 심층 활동 데이터를 수집하고 연관시킵니다. 이 방대한 양의 데이터를 자동으로 분석하면 위협을 빨리 탐지할 수 있습니다. 이에 따라 보안 분석가는 더 많은 일을 하고 조사에서 더 신속한 조치를 취할 수 있는 역량을 갖추고 있습니다.
XDR에 공급할 수 있는 보안 계층 에 대해 자세히 알아보십시오.
SOC의 어려움
탐지 및 대응에 대해서 SOC(보안 운영 센터) 분석가는 감당하기 어려운 책임에 직면해 있습니다. 위험과 조직의 침해 사고에 대응하기 위해 중요한 위협을 신속하게 식별해야 합니다.
알람 과부하
IT 및 보안팀이 다른 솔루션에서 발생하는 알람에 놀라는 것은 당연한 일입니다. 평균 직원수 1000명인 회사는 초당 최대 22,000개의 이벤트가 SIEM에 진입하는 것을 볼 수 있습니다. 이는 하루에 거의 2백만 건의 이벤트입니다.[1] 이러한 경고의 상관 관계를 지정하고 우선 순위를 지정하는 수단이 제한되어 있으며 중요한 이벤트에 대한 소음을 효과적으로 제거하는데 어려움을 겪고 있습니다. XDR은 신뢰도가 낮은 일련의 활동을 신뢰도가 높은 이벤트에 자동으로 연결하여 우선순위 알림을 표시합니다.
보안 솔루션 간의 가시성 격차
많은 보안 제품은 활동에 대한 가시성을 제공합니다. 각각의 솔루션은 특정 관점을 제공하고 해당 기능에 관련된 유용한 데이터를 수집 및 제공합니다. 보안 솔루션 간의 통합에서는 데이터 교환 및 통합이 가능해야 합니다. 이러한 가치는 수집된 데이터의 유형과 깊이, 가능한 상관 분석 수준에 따라 종종 제한되기도 합니다. 이는 분석가가 보고 수행할 수 있는 작업에 공백이 있음을 의미합니다. 이와 대조적으로 XDR은 탐지, 원격 측정, 메타데이터 및 넷플로우를 포함한 개별 보안 도구 전반에 걸쳐 활동의 전체 데이터 레이크에 대한 액세스를 수집하고 제공합니다. 정교한 분석 및 위협 인텔리전스를 적용한 XDR은 보안 계층 전반에 걸쳐 전체 이벤트 체인에 대한 필요한 전체 컨텍스트를 제공합니다.
조사의 어려움
많은 로그와 경고에 직면했지만 명확한 지표가 없는 상황에서 무엇을 찾아야 할지 알기가 어렵습니다. 문제나 위협을 발견하면 그 경로와 기업 전체에 미치는 영향을 파악하기가 어렵습니다. 조사할 자원이 있는 경우 조사를 수행하는 데 시간이 오래 걸리고 수작업이 필요할 수 있습니다. XDR은 수동 단계를 제거하여 프로세스를 자동화하고 그렇지 않으면 불가능한 분석을 위한 데이터와 도구를 제공합니다. 자동화된 원인 분석을 확인하십시오. 분석가는 이메일, 엔드포인트, 서버, 클라우드, 워크로드 및 네트워크를 가로지르는 타임 라인과 공격 경로를 명확하게 볼 수 있습니다. 그런 다음 각 단계를 평가하여 필요한 대응 조치를 정할 수 있습니다.
늦은 탐지 및 응답 시간
이러한 과제의 결과로, 위협이 너무 오랫동안 탐지되지 않아 응답 시간이 증가하여 공격의 위험과 결과가 발생합니다. XDR은 궁극적으로 위협 탐지 속도 및 대응 시간을 크게 개선시킵니다. MTTD(Mean-Time-to-Detect) 및 MTTR(Mean-Time-Respond)은 보안 조직의 핵심 성능 지표로 점점 더 많이 측정 및 모니터링되고 있습니다. 마찬가지로, 이러한 측정 기준을 어떻게 추진하여 기업의 비즈니스 리스크를 줄이는지라는 측면에서 솔루션 가치 및 투자가 평가됩니다.
XDR vs EDR
XDR은 현재 포인트 솔루션, 단일 벡터 접근 방식을 넘어 탐지 및 대응의 진화를 의미합니다.
엔드포인트 탐지 및 대응(EDR)은 매우 중요했습니다. 그러나 성능의 깊이에도 불구하고 EDR은 관리되는 엔드포인트 내부의 위협에 대해서만 탐지 및 대응할 수 있기 때문에 한정적입니다. 이를 통해 탐지할 수 있는 위협의 범위와 영향을 받는 사람 및 대상에 대한 관점이 제한됩니다. 이러한 제한은 궁극적으로 SOC 내에서 대응 효율성을 제한합니다.
마찬가지로, 네트워크 트래픽 분석(NTA) 도구의 청사진은 네트워크와 모니터링되는 네트워크 세그먼트로 제한됩니다. NTA 솔루션은 대량의 로그를 생성하는 경향이 있습니다. 네트워크 경고와 기타 활동 데이터 간의 상관관계는 네트워크 경고의 의미를 이해하고 가치를 창출하는 데 아주 중요합니다.
SIEM 강화
SIEM을 사용하여 여러 솔루션에서 로그 및 알람을 수집할 수 있습니다. SIEM을 통해 기업은 중앙 집중식 가시성을 위해 여러 곳에서 많은 정보를 수집 할 수 있지만, 개별 경고의 개수가 크게 증가합니다. 알람은 무엇이 중요하고 주의가 필요한지 파악하기가 어렵습니다. SIEM 솔루션만으로는 상황을 파악하기 위한 모든 정보 로그를 연결하기 어렵습니다.
반대로 XDR은 심층 활동 데이터를 수집하고 해당 정보를 공급하여 보안 계층 전반에서 확장된 스위핑, 헌팅 및 조사를 수행합니다. 풍부한 데이터 세트에 AI 및 전문가 분석을 적용하면 상황에 따른 경보가 줄어들어 회사의 SIEM 솔루션으로 전송할 수 있습니다. XDR은 SIEM을 대체하는 것이 아니라 SIEM을 강화하여 보안 분석가가 관련 경고 및 로그를 평가하고 주의가 필요한 사항을 결정하는 데 필요한 시간을 단축하며, 심층 조사를 가능하게 합니다.
필수 역량
엔드포인트를 개선한 멀티 보안 레이어
- 확장된 탐지 및 대응 활동을 위해서는 최소 두 개의 계층이 필요하며, 엔드포인트, 이메일, 네트워크, 서버 및 클라우드 워크로드의 계층이 많을수록 효과적입니다.
- XDR은 여러 계층의 활동 데이터를 데이터 레이크로 공급합니다. 모든 적용 가능한 정보는 가장 관련성이 높은 구조에서 효과적인 상관 관계 및 분석을 위해 제공됩니다.
- 한개 보안 벤더의 기본 보안 스택에서 가져 오면 솔루션의 확산을 방지할 수 있습니다. 또한 탐지, 조사 및 응답 기능 간에 비교할 수 없는 깊이 있는 통합 및 상호 작용을 제공합니다.
인공지능 및 전문적인 보안 분석
- 데이터 수집은 XDR의 이점 중 하나이지만, 분석과 인텔리전스를 적용하여 더 나은, 더 빠른 탐지를 추구하는 것이 최종 목표입니다.
- 원격 측정 수집이 필수가 됨에 따라 위협 인텔리전스와 결합된 보안 분석에 의해 가치가 결정됩니다.
- 기본 지능형 센서가 제공하는 분석 엔진은 타사 제품 및 원격 분석을 통해 얻을 수 있는 것보다 효과적인 보안 분석을 제공합니다. 어떤 공급업체든 타사 데이터보다 자사 솔루션의 데이터를 훨씬 더 깊이 이해할 수 있습니다. 최적화된 분석 기능을 보장하기 위해 공급 업체의 기본 보안 스택을 위해 특수 제작된 XDR 솔루션을 우선적으로 고려해야 합니다.
완벽한 가시성을 위한 단일 통합 및 자동화 플랫폼
- XDR은 단일뷰내에서 제공되는 데이터를 논리적으로 연결하여 통찰력 있는 조사가 가능합니다.
- 그래픽 기반의 공격 중심 타임 라인보기는 다음을 포함하여 한 곳에서 답변을 제공 할 수 있습니다.
- 유저가 감염된 경로
- 공격의 첫 번째 진입 지점
- 동일한 공격을 받은 사용자 또는 대상
- 위협이 발생한 위치
- 위협 확산 방법
- 동일한 위협에 액세스 할 수 있는 다른 사용자 수
- XDR은 보안 분석가의 기능을 강화하고 워크플로우를 간소화합니다. XDR은 수동 단계를 가속화하거나 제거하여 팀의 노력을 최적화하고 미디어에서 수행할 수 없는 보기 및 분석을 가능하게 합니다.
- SIEM 및 보안 오케스트레이션, 자동화 및 대응(SOAR)과의 통합을 통해 광범위한 보안 에코시스템을 통해 XDR 통찰력을 조정할 수 있습니다.
[1] 출처: 보안 정보 이벤트 및 로그 관리를 위한 로그 생성 추정