EDR이란?

엔드포인트 탐지 및 대응(EDR)은 호스트 및 엔드포인트 연결에서 의심스러운 활동을 탐지하여 대응하기 위해 지속적인 실시간 모니터링, 엔드포인트 데이터 수집, 고급 상관관계 기능을 함께 활용합니다. 이러한 방식을 통해 보안팀은 수동 및 자동 대응 옵션을 이용하여 활동을 빠르게 식별하고 상관관계를 파악해 높은 신뢰도의 탐지를 수행할 수 있습니다.

EDR

엔드포인트는 네트워크에서 가장 취약한 지점입니다. Ponemon Institute의 최근 조사에 따르면, 68%의 조직이 하나 이상의 엔드포인트 공격으로 데이터 또는 전체 인프라가 침해되는 피해를 입은 것으로 나타났습니다. 또한, 동일한 보고서에서는 IT 부문 근로자의 68%가 해당 공격이 전년도에 비해 증가했다고 응답했습니다.

랜섬웨어 및 맬웨어 공격이 더 많이 발생하고 공격적으로 진화함에 따라, 잠재적인 위협을 정확하게 파악하여 조사할 수 있도록 돕는 엔드포인트 탐지 및 대응 시스템을 구축하는 것이 모든 규모의 조직에 필수적인 일이 되었습니다.

엔드포인트 탐지 및 대응(EDR)은 의심스러운 행위를 지속적으로 스캐닝하고 무력화해야 하는 잠재적 위협을 보안팀에 알려 이러한 위협 캠페인을 완화할 수 있도록 지원합니다. EDR을 구축하면 엔드포인트, 서버, 호스트 액세스 지점을 지속적으로 모니터링하면서 잠재적 위협을 끊임없이 찾을 수 있습니다.

EDR 보안 솔루션은 엔드포인트에서 발생하는 모든 활동과 이벤트를 기록합니다. 일부 벤더는 이러한 서비스를 네트워크에 연결된 워크로드까지도 확장할 수 있습니다. 이러한 기록 또는 이벤트 로그를 사용하여 탐지되지 않은 상태로 남아 있는 사고를 발견할 수 있습니다. 실시간 모니터링은 훨씬 빠르게 위협을 탐지하여 위협이 사용자 엔드포인트 너머로 확산되지 않도록 방지합니다.

엔드포인트 탐지 및 대응(EDR)에는 조사 속도를 단축하고, 취약점을 신속하게 파악하고, 수동 및 자동 옵션을 이용하여 악의적 활동에 더 빠르게 대응하는 기능 등의 이점이 있습니다.

하지만, XDR 솔루션(단일 벡터를 넘어 이메일, 네트워크, 클라우드 워크로드 등과 같은 보안 계층 포함)이 발전하면서 EDR은 빠르게 고립된 방식으로 전락하고 있습니다. 이는 탐지 및 대응 전략의 전부가 아닙니다. XDR에 대한 또 다른 데이터 입력 형태로 존재하기 때문입니다. 엔드포인트 탐지 및 대응(EDR) 시스템이 작동하는 방식을 간단하게 살펴보는 방법은 집의 문을 엔드포인트라고 생각하는 것입니다.

간단히 말해, 엔드포인트 탐지 및 대응(EDR)은 보안 환경에서 위험을 완화할 때는 중요한 전략이지만, 강력한 위험 관리 전략을 구축할 때는 다른 보안 계층을 고려하는 것이 중요합니다.

지속적이고 종합적인 가시성

네트워크 보안팀이 해야 할 중요한 일이 있습니다. 네트워크를 안정적이고 안전하게 유지하는 것 외에도 오랜 시간에 걸쳐 발생할 수 있는 잠재적인 위협이나 문제를 모니터링해야 합니다.

엔드포인트 탐지 및 대응(EDR)을 통해 보안팀은 오랜 시간에 걸쳐 발생할 수 있는 문제에 대한 실시간 알림을 받습니다. 이러한 문제에는 예상하지 못한 엔드포인트 활동이나 맬웨어나 랜섬웨어로 엔드포인트를 감염시키려는 잠재적 시도가 포함될 수 있습니다. 사이버 보안 위협은 매년 계속 증가하고 있기 때문에, 보안팀이 네트워크에서 발생하는 모든 것을 지속적으로 주시하는 데 필요한 도구를 갖추는 것이 좋습니다.

탐지, 조사 및 검토

EDR을 구축하면 보안 시스템이 환경 내에 있는 잠재적 위협의 움직임을 탐지하여 추적할 수 있습니다. 이렇게 탐지된 문제는 보안팀에 위임되어 추가 조사가 이루어집니다. EDR 보안 솔루션은 엔드포인트, 서버, 워크로드를 모니터링할 수 있기 때문에, 탐지된 위협을 조사하고 대응하는 역량이 기업이 안전한 플랫폼을 마련하는 데 있어 중요합니다.

EDR은 모든 엔드포인트에 대한 지속적이고 종합적인 가시성을 확보해 주므로 은밀한 공격자를 찾아낼 수 있습니다. 즉, 엔드포인트에서 발생하는 활동을 종합적으로 확인하고 발생하는 모든 이상 징후에 쉽게 대응할 수 있도록 지원합니다.

EDR이 보안팀에 제공할 수 있는 유용한 정보의 예는 다음과 같습니다.

  • 직접 또는 원격 접근을 통해 로그인한 사용자 계정
  • ASP 키, 실행 파일, 기타 관리 도구 사용에 대한 변경 사항
  • 프로세스 실행 목록
  • .ZIP 및 .RAR 파일을 포함한 파일 생성 기록
  • USB 드라이브 등 이동식 미디어 사용
  • 호스트에 연결된 모든 로컬 및 외부 주소

EDR은 엔드포인트의 보안 관련 프로세스를 완벽하게 감독할 수 있도록 지원합니다. EDR은 이처럼 적용 범위가 넓기 때문에 보안팀은 실시간으로 문제에 집중하고 엔드포인트에서 사용 중인 모든 명령이나 프로세스를 관찰할 수 있습니다.

선제적 방어

엔드포인트 탐지 및 대응(EDR)을 구축하면 위협을 찾는 담당자들이 네트워크 및 다양한 엔드포인트에 나타날 수 있는 위협을 찾을 수 있어 보안 네트워크를 더욱 선제적으로 방어할 수 있습니다. 이러한 담당자들은 시스템에서 탐지하는 위협을 검색 및 조사하여 빠르게 처리할 수 있도록 보안팀에 문제와 활동을 알릴 수 있습니다.

알람 피로

보안 알람은 사이버 위협 관리에서 중요한 역할을 합니다. 보안 알람은 환경 내에서 벌어지는 일에 대한 최신 정보를 제공하지만, 이와 동시에 알람 피로도 생성할 수 있습니다. 따라서 MTTR(Mean-Time-To-Respond) 및 MTTD(Mean-Time-To-Detect)와 같은 핵심 성능 지표에 부정적인 영향을 미칠 수 있습니다.

알람 피로는 보안팀이 너무 많은 알람에 정기적으로 노출될 때 발생할 수 있습니다. 알람 피로가 오랜 시간 지속되면 분석가의 부담을 높이고 대응 시간에 영향을 미칠 수 있습니다.

일반적으로 알람 자체는 별로 걱정할 것이 없습니다. 그러나 여러 개의 경보가 일정한 간격으로 울리면 분석가들은 가양성 오류를 조사하느라 대부분의 시간을 소요하여 잠재적으로 비용이 많이 들거나 파괴적인 보안 사고를 해결하지 못 할 수 있습니다.

일상적으로 모니터링을 하는 분석가들은 궁극적으로 사이버 위험을 완화하기 위해 많은 알람을 꼼꼼하게 살펴볼 것입니다. 시간이 흐르면서 이는 번아웃을 유발할 수 있습니다. 종종 대응해야 하는 엄청난 수의 경고를 항상 제대로 파악하기 위해 보안팀이 필사적으로 노력해야 하기 때문입니다. EDR과 일부 최적화된 자동 대응 기능으로 알람 피로를 줄일 수 있습니다.

EDR 보안 솔루션에 지속적인 모니터링과 엔드포인트 데이터 수집, 그리고 맞춤형 자동 대응을 맡기면, 분석가들이 스트레스를 훨씬 덜 느끼면서 업무를 수행할 수 있습니다.

해결 가속화

엔드포인트 탐지 및 대응(EDR)은 심층 분석 및 포렌식 구현을 사용합니다. 까다로운 일은 EDR 솔루션이 처리하므로, 보안팀은 발생한 문제에 최대한 빨리 대응하는 데 집중할 수 있습니다. 이렇게 하면 문제 해결 속도가 빨라집니다. 즉, 잠재적인 위험이 네트워크 내에서 문제를 일으킬 시간이 줄어듭니다. 보안팀은 EDR을 이용하여 위협이 침해로 발전하기 전에 이를 식별하여 처리할 수 있습니다.

예방으로 모든 위협을 차단할 수는 없습니다.

보안 스택에 EDR 솔루션이 없다면, 잠재적인 문제를 선제적으로 모니터링하기 위해 최선을 다하지 않은 것입니다. EDR이 없는 상태에서 기존의 포인트 제품 및 방지 시스템이 장애를 일으킨다면, 보안팀이 모르는 사이 악의적 공격자 몇 주, 어쩌면 몇 개월에 걸쳐 시스템에 접근할 수 있습니다. EDR은 예방 조치를 통과할 수 있는 문제를 제거하는 데 도움이 되는 실시간 모니터링을 제공하여 이런 가능성을 낮춰 줍니다.

앞서 말한 대로 환경을 지속적으로 모니터링하는 기술이 없으면, 악의적 공격자가 네트워크에 접근한 후 마음대로 돌아올 수 있습니다. 결국 맬웨어와 랜섬웨어가 데이터를 수집하고 외부자가 기밀 데이터에 접근할 수 있는 문이 열리는 것입니다. EDR을 사용하면 시스템을 항상 감시할 수 있습니다. EDR을 통과하는 모든 위협이 식별되며 범위가 확대되기 전에 처리됩니다.

충분하지 않은 데이터

엔드포인트에서 수집하는 위협 데이터는 언제나 충분하지 않습니다. 보안팀은 발생하는 모든 문제와 위협을 처리하는 데 필요한 모든 도구를 갖춰야 합니다. 실행 가능한 인텔리전스가 없다면 위협을 처리할 수 없기 때문에, 악의적 공격가 중요한 데이터에 접근할 수 있게 됩니다.

또한, 보안팀은 EDR을 통해 이전에 사용할 수 없었던 새로운 도구 세트를 최대한 활용할 수 있습니다. EDR은 보안팀이 최고의 품질과 속도로 업무를 수행할 수 있는 기회를 제공합니다. 위협에 신속하게 대처하는 것은 위협을 식별하는 것만큼 중요합니다.

보안팀은 EDR을 통해 실시간 모니터링 시스템과 이미 보유하고 있는 데이터를 함께 활용해 위협이 어디에서 왔는지, 시스템에 어떻게 접근했는지, 해당 위협으로 어떤 종류의 시스템이 영향을 받았는지 정확하게 파악할 수 있습니다. 이는 특히 오늘날 많은 기업을 괴롭히는 증가하는 사이버 보안 문제에 대응할 때 특히 중요합니다.

또한, 보안팀은 EDR을 통해 절차를 더 신속하게 처리할 수 있습니다. 문제 해결에 시간이 너무 오래 걸리면 비용이 많이 들 수 있습니다. 데이터가 손실될 수도 있고, 공격에 랜섬웨어가 사용된 경우 돈을 잃을 수도 있습니다. EDR을 사용하면 시스템을 지속적으로 모니터링하기 때문에, 보안팀이 위협 처리에 노력을 집중하여 민감한 데이터에 대한 무단 접근과 시간과 돈이 낭비되는 일을 방지할 수 있습니다.

클라우드에서의 보호

대부분의 EDR 시스템은 클라우드 기반 솔루션을 통해 제공됩니다. 이는 중요한 요소입니다. 클라우드 기반 솔루션은 엔드포인트에 영향을 미치지 않기 때문입니다. 위협이 탐지되거나 엔드포인트가 공격당하는 경우에도, 클라우드 기반 EDR 시스템은 정상적으로 작동할 수 있습니다. 보안 환경이 동일한 수준의 완전한 모니터링을 제공하고 잠재적 위험으로부터 시스템을 보호하기 때문입니다.

또한, 클라우드 기반 EDR 시스템을 사용하면 엔드포인트에서 발생한 문제로 인해 실시간 모니터링과 기타 중요한 보안 측면이 중단되지 않습니다.