XDR 보안 레이어란?

XDR(Extended Detection and Response)은 광범위한 데이터 소스를 사용하여 여러 보안 계층에서 탐지, 조사 및 대응을 가능하게 합니다. XDR은 보안 사일로를 분석하여 전체 공격 사례를 한 번에 식별하고 공개합니다.

XDR:스토리

위협 탐지와 관련하여 SOC(보안 운영 센터) 분석가의 임무는 초기 침투에서 측면 이동을 통해 모든 유출에 이르기까지 점을 연결하는 것입니다. 이 프로세스를 통해 필요한 영향과 대응 조치를 더 빨리 이해할 수 있습니다.

데이터 소스와 보안 벡터를 하나의 통합 XDR 플랫폼으로 가져갈수록 상관 관계의 기회가 커지고 포괄적인 조사 및 대응이 가능해집니다.

예를 들어, 분석가는 엔드포인트 탐지 및 대응(EDR) 도구를 사용하여 관리되는 엔드포인트에서 의심스러운 활동에 대한 자세한 가시성을 확보한 다음 네트워크 보안 경고 및 트래픽 분석에 대한 개별적인 뷰를 가질 수 있습니다. 클라우드 워크로드의 경우 분석가는 의심스러운 활동을 식별하기 위한 가시성이 제한적일 수밖에 없습니다.

환경의 모든 부분에서 SIEM(Security Information and Event Management)으로 전송될 가능성이 높은 잡음 경고를 생성합니다. 분석가는 경고를 볼 수 있지만 경고 사이의 모든 활동에 대한 자세한 기록을 누락할 수도 있습니다. 추가 상관관계가 없으면 분석가는 관련 이벤트를 연결할 수 있는 방법이나 상황 없이 경고에 저장된 중요한 공격 세부 정보를 놓치게 됩니다. 

XDR은 보안 분석가들이 더 큰 그림을 보고, 사용자가 어떻게 감염 되었는지, 첫 번째 진입 지점이 무엇이었는지, 그리고 같은 공격의 일부인지 등 엔터프라이즈에서 어떤 일이 일어날 수 있는지를 신속하게 설명할 수 있도록 계층을 통합합니다.

엔드포인트

위협이 엔드포인트에 도달, 변경 및 확산되는 방법을 분석하려면 효율적인 엔드포인트 활동 기록이 필요합니다. XDR을 사용하면 IOC (Indication of Indicator)와 IOA (Indicator of Attack) 를 기반으로 대응할 수 있습니다.

탐지: 의심스럽거나 위험한 엔드포인트 이벤트 검색 및 식별

조사: 엔드포인트에서 발생한 일이 무엇입니까? 이벤트는 어디에서 시작되었을까요? 다른 엔드포인트에 어떻게 전파 되었을까요?

대응: 이벤트 격리, 프로세스 중지, 파일 삭제/복원

많은 기업이 EDR 툴을 통해 엔드포인트로 시작할 수 있습니다. EDR은 좋은 첫 걸음이지만, 공격의 시작과 끝을 놓칠 수 있습니다. 엔드포인트에 도달하기 전에 어떤 일이 발생했습니까? 이메일을 통해 전달됐으며, 다른 사람들이 동일한 이메일을 받았습니까? 엔드포인트에 도달한 후에 어떤 일이 발생했습니까? 서버나 컨테이너로 측면 이동이 있었습니까? 관리되지 않는 기기로 확산되었습니까?

이메일

보안 침해의 94%가 이메일을 통해 시작된다는 사실을 감안할 때,[1]  손상된 계정을 식별하고 악의적인 이메일 위협을 탐지하는 기능은 조직의 광범위한 위협 탐지 기능의 중요한 부분입니다.

탐지: 이메일 위협, 계정 손상, 공격 당한 사용자 및 이메일 공격 패턴을 찾고 식별

조사: 누가 침입을 시도했습니까? 누가 악성 이메일을 받았습니까?

대응:  이메일 격리, 이메일 발신자 차단, 계정 재설정

최고의 공격 벡터인 이메일은 계층 간 탐지 및 대응을 위한 우선 순위 확장 지점이 되어야 합니다. 이메일 위협은 종종 사용자가 첨부 파일이나 이메일에 포함된 링크를 클릭 할 때까지 엔드포인트에 영향을 미치지 않습니다. 공격받지 않은 위협은 탐지되지 않은 여러 개의 받은 편지함에 있을 수 있습니다. 엔드포인트 탐지를 원본 전자 메일에 연결하면 받은편지함을 자동으로 검색하여 악의적인 전자메일을 수신한 다른 사용자를 찾을 수 있으며 악의적인 첨부 파일 또는 URL이 다른 사용자의 사서함에도 있는지 확인할 수 있습니다. 그런 다음 전자 메일을 격리하고 위협을 제거하여 추가 확산 및 손상을 방지할 수 있습니다.

네트워크

네트워크 분석은 측면으로 확산되거나 명령 및 제어와 통신 할 때 표적 공격을 찾는 가장 좋은&방법입니다. 네트워크 분석을 통해 노이즈에서 이벤트를 필터링하고 사물 인터넷(IoT) 및 관리되지 않는 장치와 같은 사각 지대를 줄일 수 있습니다.

탐지: 위협이 확산됨에 따라 비정상적인 행위를 검색하고 식별합니다.

조사: 어떻게 위협 커뮤니케이션을 하십니까? 조직 내에서 어떻게 이동합니까? 

대응: 공격 범위 개요

네트워크 로그는 공격의 범위를 이해하는 데 도움이 되는 포괄적인 데이터 소스를 제공하지만 해당 로그를 다른 보안 경고와 연관시키지 않으면 관련된 내용과 중요한 내용을 평가하는 데 필요한 상황을 파악하기가 어렵습니다. 이러한 이유로 네트워크와 엔드포인트는 강력한 조합을 만듭니다. 데이터의 상관 관계를 지정하면 의심스러운 PowerShell 활동과 같이 엔드포인트 계층에서만 정상으로 보였을수 있는 항목이서버와의 연결된 C&C 통신과 함께 고려될 때 높은 우선 순위 경고가 됩니다.

서버 및 클라우드 워크로드

엔드포인트와 마찬가지로, 여기에는 효율적인 활동 기록이 포함되어 서버와 클라우드 워크로드에 위협이 도달하고 확산되는 방법을 분석합니다. IoC를 스윕하고 IoA를 기반으로 사냥할 수 있습니다.

탐지: 서버, 클라우드 워크로드 및 컨테이너를 대상으로 하는 위협 검색 및 식별

조사: 워크로드내에 무슨일이 있었습니까? 어떻게 전파되었습니까? 

대응: 서버 격리, 프로세스 중지

조직은 서버 및 클라우드 워크로드에 EDR 도구를 사용할 수 있지만 그렇게 하면 효율성이 떨어질 수 있습니다. EDR만으로는 새로운 클라우드 모델을 처리하거나 필요한 유형의 데이터 및 가시성을 제공할 수 없습니다. 모든 벡터와 마찬가지로, 서버 환경의 정보를 상관시키면 엔드포인트 및/또는 네트워크 등 다른 계층의 활동 데이터와 연결하여, 서버가 이전에 통신한 적 없는 국가의 IP 주소와 통신하는 것 등의 활동을 의심스러운 것으로 확인할 수 있습니다.

[1] Verizon 2019 데이터 유출 조사 보고서