What Is Endpoint Detection and Response?

ETDR(엔드포인트 위협 탐지 및 대응)이라고도 하는 EDR(엔드포인트 탐지 및 대응)은 엔드포인트 데이터의 실시간 지속적 모니터링 및 수집을 규칙 기반의 자동화된 대응 및 분석 기능과 결합하는 통합 엔드포인트 보안 솔루션입니다. 이 용어는 보안 팀이 위협을 신속하게 식별하여 대응할 수 있도록 고도로 자동화하여 호스트 및 엔드포인트에서 의심스러운 활동을 탐지하고 조사하는 새로운 보안 시스템을 설명하기 위해 Gartner의 Anton Chuvakin이 제안했습니다.

EDR 보안 시스템의 기본 기능은 다음과 같습니다.

  • 위협을 나타낼 수 있는 작업 데이터를 엔드포인트에서 모니터링 및 수집
  • 이 데이터를 분석하여 위협 패턴 식별
  • 식별된 위협에 자동으로 대응하여 제거 또는 격리하고 보안 담당자에게 알림
  • 식별된 위협을 연구하고 의심스러운 활동을 검색하는 포렌식 및 분석 도구

EDR 솔루션 채택

EDR 채택은 향후 몇 년 동안 크게 증가할 것으로 예상됩니다. Stratistics MRC의 Endpoint Detection and Response - Global Market Outlook(2017년-2026년)에 따르면, EDR 솔루션(온프레미스 및 클라우드 기반 모두) 매출은 2026년까지 72억 7천만 달러에 도달하여 약 26%의 연간 성장률을 기록할 것으로 예상됩니다.

EDR 채택이 증가하는 요인 중 하나는 네트워크에 연결되는 엔드포인트의 수가 증가하기 때문입니다. 또 다른 주요 요인은 네트워크에 침투하기 쉬운 대상인 엔드포인트에 초점을 맞추어 점점 더 고도로 발전하는 사이버 공격에 있습니다.

EDR 보안의 주요 구성 요소

EDR 보안은 엔드포인트 데이터의 수집, 상관 관계 및 분석과 즉각적인 위협에 대한 경고 및 대응 조정을 위한 통합 허브를 제공합니다. EDR 도구에는 세 가지 기본 구성요소가 있습니다.

엔드포인트 데이터 수집 에이전트. 소프트웨어 에이전트는 엔드포인트를 모니터링하고 프로세스, 연결, 작업 볼륨, 데이터 전송과 같은 데이터를 중앙 데이터베이스로 수집합니다.

자동화된 응답. EDR 솔루션의 사전 구성된 규칙은 수신 데이터가 알려진 유형의 보안 위반을 나타낼 경우 이를 인식하고 최종 사용자를 로그오프하거나 직원에게 경고를 보내는 등 자동 응답을 트리거할 수 있습니다.

분석 및 포렌식. 엔드포인트 탐지 및 대응 시스템은 사전 구성된 규칙에 맞지 않는 위협의 신속한 진단을 위한 실시간 분석과 위협 추적 또는 공격의 사후 분석 수행을 위한 포렌식 도구를 모두 통합할 수 있습니다.

  • 실시간 분석 엔진은 알고리즘을 사용하여 대량의 데이터를 평가하고 상호 연결하여 패턴을 검색합니다.
  • 포렌식 도구 를 사용하면 IT 보안 전문가가 과거 위반을 조사하여 익스플로잇의 작동 방식과 보안 침투 방식을 더 잘 이해할 수 있습니다. 또한 IT 보안 전문가는 포렌식 도구를 사용하여 엔드포인트에서 탐지되지 않은 상태로 도사릴 수 있는 맬웨어 또는 기타 익스플로잇과 같은 시스템 위협을 추적합니다.

위협 인텔리전스를 개선하는 새로운 EDR 기능

새로운 기능 및 서비스가 위협을 탐지하고 조사하는 EDR 솔루션의 기능을 확장하고 있습니다.

예를 들어 Trellix Global Threat Intelligence와 같은 타사 위협 인텔리전스 서비스는 엔드포인트 보안 솔루션의 효율성을 높입니다. 위협 인텔리전스 서비스는 조직에 현재 위협 및 특성에 관한 글로벌 정보 풀을 제공합니다. 포괄적인 인텔리전스는 익스플로잇, 특히 다중 계층 및 제로 데이 공격을 식별하는 EDR의 기능을 강화하는 데 도움이 됩니다. 많은 EDR 보안 공급업체에서 위협 인텔리전스 구독을 엔드포인트 보안 솔루션의 일부로 제공합니다.

또한 일부 EDR 솔루션의 새로운 조사 기능은 AI 및 기계 학습을 활용하여 조사 프로세스의 단계를 자동화할 수 있습니다. 이러한 새로운 기능은 조직의 기준 동작을 학습하고 이 정보를 다양한 다른 위협 인텔리전스 소스와 함께 활용하여 결과를 해석할 수 있습니다.

다른 유형의 위협 인텔리전스로는 미국 정부와 협력하는 비영리 연구 그룹인 MITRE에서 진행 중인 ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge) 프로젝트가 있습니다. ATT&CK는 수백만 건의 실제 사이버 공격에 대한 연구를 기반으로 구축된 기술 자료 겸 프레임워크입니다.

ATT&CK에서는 IT 시스템에 침투하는 데 사용되는 전술, 악용되는 시스템 취약성 유형, 사용된 맬웨어 도구, 공격에 연루된 범죄 집단과 같은 다양한 요소에 따라 사이버 위협을 분류합니다. 익스플로잇에 대한 사소한 변경에 상관없이 변경되지 않고 유지되는 패턴 및 특성을 식별하는 데 집중합니다. IP 주소, 레지스트리 키, 도메인 번호와 같은 세부 정보는 자주 변경될 수 있습니다. 하지만 공격자의 방법 또는 '작동 방식'은 일반적으로 동일하게 유지됩니다. EDR은 이러한 공통된 동작을 활용하여 다른 방식으로 변경되었을 가능성이 있는 위협을 식별할 수 있습니다.

IT 보안 전문가는 점점 더 복잡한 사이버 위협에 직면하고 네트워크에 액세스하는 엔드포인트의 수와 유형이 더욱 다양해짐에 따라 엔드포인트 탐지 및 대응 솔루션에서 제공하는 자동화된 분석 및 대응의 도움이 더 필요합니다.

Explore more Security Awareness topics