2019.11.12

“의심스러운 엔드포인트 활동의 탐지와 방어” EDR의 이해

Josh Fruhlinger | CSO
엔드포인트 탐지 및 대응(Endpoint Detection and Response, EDR)은 다양한 의심스러운 활동과 행동에 대해 네트워크상의 최종 사용자 하드웨어 디바이스를 감지해 인식된 위협을 자동으로 차단하도록 대응하고 추가 조사를 위해 포렌식 데이터를 저장하는 보안 도구의 함 법주다.

EDR 플랫폼은 엔드포인트에서 발생하는 모든 것, 즉 프로세스, DLL로의 변경, 레지스트리 설정, 파일 및 네트워크 활동으로의 심층 가시성을 자동화된 프로세스나 인간의 개입으로 위협을 인식하거나 대응할 수 있는 데이터 집합과 애널리틱스에 결합시킨다. 여기서의 엔드포인트란, 노트북에서 스마트폰에 이르기까지 일체의 최종사용자 기기를 뜻하며, 사물인터넷 가젯들도 아우를 수 있다.

엔드포인트 탐지 및 대응 범주에 대한 첫 번째 인식으로는 가트너 애널리스트 안톤 추바킨이 2013년 블로그에 게시한 것이 널리 인정되고 있는데, 그는 ‘호스트/엔드포인트에서 의심스러운 활동(및 그러한 문제의 흔적)을 탐지하고 조사하는 데 주로 초점을 맞춘 도구들의 일반적 명칭’을 고안했다. 그는 ‘엔드포인트 위협 탐지 및 대응’이라는 문구를 사용했지만, 보다 간결한 ‘엔드포인트 탐지 및 대응’이 널리 퍼졌다.
 
ⓒ Getty Images Bank


EDR vs. 안티바이러스 / EDR vs. EPP

EDR과 같은 범주를 이해하는 좋은 방법은 유사한 제품과 무엇이 다른지 살펴보는 것이다. EDR은 안티바이러스 프로그램 또는 다른 익숙한 보안 도구(데이터 암호화, 방화벽, 침입 방지 시스템 등)이 통합되어 있는 엔드포인트 보호 플랫폼(Endpoint Protection Platforms, EPP)과 종종 대비된다. EPP를 구성하는 도구는 본질적으로 예방의 성격을 띄고 서명 기반인데, 즉 알려진 악성코드가 실행되어 공격하기 전에 중단하기 위해 잠재적 위협을 악성코드 데이터베이스에 매치시킨다. 

그러나 위협이 점점 더 영리해짐에 따라, 알려진 위협과 확고한 경계 방어가 있는 정적 라이브러리에 의존하는 이런 종류의 방어는 효과적이기 못하게 된다. 그리고 그 점에서 EDR이 등장한다. 구성 변경부터 시작 또는 삭제된 프로세스, 액세스, 복사 또는 유출되는 파일에 이르기까지 엔드포인트에서 발생하는 모든 조치는 해킹 작업의 핵심이며, EDR 플랫폼은 보안 담당자에게 일정 수준의 자동 대응과 함께 초동조치를 제공하는 것을 목표로 한다.

실제로 어떻게 작동할까? EDR 플랫폼은 일반적으로 최종 사용자 기기에 설치된 에이전트로 구성된다. 이들 에이전트는 활동을 모니터링하고 내부 또는 클라우드에 있을지 모르는 중앙 집중식 서버로 정보를 다시 전송한다. 서버는 자동으로 문제를 감지해 이를 수정하거나 보안 직원에게 경고를 보낼 수 있으며, 또한, 정보보안팀이 모니터링하는 대시보드를 통해 정보를 노출시킨다.
 

엔드포인트 감지 및 대응 사용 사례들

어떤 종류의 시나리오에서 EDR이 정말로 빛날까? 특정 바이러스나 방화벽의 침입과 같은 단순한 신호보다는 행동 패턴을 검토하면서 엔드포인트 전체에 걸쳐 여러 형태로 능동적 위협이 발생할 때가 전형적인 EDR 시나리오다. 예를 들어, 피싱 공격을 통해 유효한 자격 증명을 도용하는 공격자는 경보를 일으키거나 악성코드를 사용하지 않고 정상적으로 시스템에 로그인할 수 있다. 그들은 처음에는 엔드포인트의 자유로운 통제를 가질 수 있지만, 그 이후의 활동은 특권을 높이거나 다른 시스템으로 수평 이동하려는 시도와 같이 좋은 EDR 시스템에 의해 플래그가 지정될 가능성이 높거나 적어도 정보보안 전문가가 발견할 수 있는 데이터 흔적을 남길 것이다. 

2016년 블로그 게시물에서 가트너의 추바킨은 EDR에 대한 최상위 사용 사례를 다음과 같이 제시했다.

• 의심스러운 활동 감지(EDR에서 D를 말함)
• 데이터 검색 및 조사의 지원과 자동화(EDR에서 R을 말함)
• 잠재적으로 의심스러운 활동에 대한 분류 수행
• 데이터 탐험 및 수집 활성화
• 악성 활동의 자동 차단 및 격리
 

EDR 기능

EDR 플랫폼이 이 프레임워크 내에서 제공해야 하는 많은 특정 기능이 있지만, 광범위한 제품 범주가 그렇듯, EDR 기능에 대한 단일의 개략적인 목록은 없다. 그러나 시중의 대표적인 EDR 솔루션과 이 개념을 처음 소개한 가트너의 게시물, 디지털 가디언(Digital Guardian), 사이버리즌(Cybereason), 카본 블랙(Carbon Black) 등 다양한 공급업체의 제품을 살펴본 후, 우리는 가장 흔히 제공되는 EDR 기능의 목록을 하나로 정리했다.

• 의심스러운 활동 감지 : EDR 역할의 핵심이다. 어떤 일이 언제 잘못되고 있는지를 알 수 있다.

• 지능형 공격 차단 : 위협이 탐지되는 즉시 퇴치 작업을 시작한다.

• 경고 분류와 필터링 : 정보보안 직원들 사이의 ‘경고 피로’를 극복하는 데 중요하다. EDR 솔루션은 잠재적인 경고 신호를 분류할 수 있어야 하며, 사람의 주의를 필요로 하는 경고를 구분할 수 있어야 한다.

• 다중위협보호 : 예컨대, 랜섬웨어와 악성코드를 동시에 차단할 수 있는 능력이 지능형 공격을 방지하기 위해 필요한데, 지능형 공격은 파도처럼 밀려올 수 있다.

• 위협 사냥 및 사건 대응 : 보안 담당자가 잠재적인 공격을 찾아내는 포렌식 데이터를 통해 조사함에 따라 보안 담당자에게 도움을 주는 기능이다.

• 가시성 : 위의 모든 기능과 관련해 중요하다. EDR 플랫폼은 의심스러운 활동을 추적하기 위해 모든 엔드포인트와 그것들 사이의 연결을 볼 수 있어야 한다. 

• 통합 데이터 : EDR 플랫폼이 보는 모든 것을 이해하도록 이 플랫폼을 도와 서로 다른 출처의 정보를 일관성 있는 그림으로 통합한다.

• 다른 툴과의 통합 : EDR의 힘을 확장해 최대 이익을 얻도록 해준다. 즉, EDR 플랫폼이 제공하는 가시성과 데이터 액세스는 기존 보안 툴이 보다 효과적으로 동작하도록 해야 한다. EDR 플랫폼은 지렛대와 같은 역할을 해야 하며, 공급업체는 EDR 제품과 함께 동작할 수 있는 전체 생태계를 조성하고자 한다.
 

EDR 소프트웨어와 솔루션

시장에 플랫폼을 제공하는 수많은 엔드포인트 감지 및 대응 공급업체들이 있다. 제품 오퍼링 전반에 걸친 차이를 간략히 살펴본다.

팔콘(Falcon)의 가장 큰 차이점은 플랫폼의 두뇌가 완전히 클라우드에 존재한다는 점인데, 이는 플랫폼에 사용자와 기업의 엄청난 공간 뿐만 아니라 무제한의 확장성을 제공한다. 팔콘이 보호하고 있는 기업 내 어디에서나 보호되는 엔드포인트에 대한 일체의 공격은 팔콘을 사용ㅎㅏ는 조직에 있는 모든 다른 엔드포인트에 이익이 될 것이다.

센티널원(SentinalOne)은 일선에서 위협을 가로챌 수 있는 엔드포인트에 지능형 탐지 및 대응 기능을 갖춘 강력한 에이전트를 배치할 수 있다. 모든 에이전트는 완전히 독립적이며, 보호 중인 엔드포인트가 코어 네트워크에서 분리되거나 연결이 전혀 없는 경우에도 동작할 수 있다. 독립적으로 행동하는 것 외에도, 각 에이전트들은 어떠한 공격이나 시도된 공격에 대한 자세한 포렌식 자료를 수집한다.

싸이넷 360(Cynet 360)의 각 에이전트는 완전히 자율적이며 스스로 조치를 취할 수 있다. 에이전트들은 섬에 존재하지 않고, 단지 어떤 자산에 설치되었는지를 감시할 뿐이다. 대신, 끊임없이 네트워크에 있는 다른 에이전트들과 소통하며, 호스트에서 발견된 것에 대한 첩보를 공유한다. 이는 예를 들어, 공격이 고립된 사건인지 아니면 동시에 여러 노드를 공격하고 있는 캠페인의 일부인지 판단하는 데 빠르게 도움을 줄 수 있다. 그런 다음 필요한 경우 전체 네트워크를 통해 적절한 조치를 취할 수 있다.

이 밖에 두드러진 제품들은 다음과 같은 것이 있다.
안티바이러스, 메모리 악용 방지, 속임수 기술, 디바이스 네트워크 방화벽, 침입 방지 및 EDR을 포함하는 시만텍 엔드포인트 보호(Symantec Endpoint Protection)
물리적이거나 가상 기기에 이용 가능한 RSA 넷위트니스 엔드포인트(RSA NetWitness Endpoint)

EDR 데이터와 SIEM 도구와 방화벽에서의 경고를 결합할 수 있는 사이버리즌 엔드포인트 감지 및 대응(Cyberseason Endpoint Detection and Response)
4개의 감지 엔진을 갖춘 에이전트를 포함하는 파이어아이 엔드포인트 시큐리티(FireEye Endpoint Security)

VM웨어가 소유하고 가상화된 데이터센터에 대한 보안을 제공하는 카본 블랙(Carbon Black)
 

EDR 시장

EDR 시장은 이미 거대하며 성장하고 있다. 스태티스타(Statista)는 EDR 도구 시장이 2020년까지 15억 달러에 이를 것으로 추정한다. 가트너는 EDR 플랫폼이 대기업의 필수품이 될 것이라고 생각한다. 즉, 2025년까지 5,000개 이상의 엔드포인트를 가진 조직의 70%가 EDR 소프트웨어를 배치할 것으로 예상하고 있다.

그러나 한 가지 명심해야 할 것은 전체 EDR 시장이 어떤 면에서 다소 이질적인 범주에 상위 라벨을 붙이려는 시도이며, 따라서 항상 진화하고 있다는 점이다. EDR과 EPP 플랫폼을 모두 제공하고, 각 플랫폼의 서로 다른 툴이 함께 동작할 수 있도록 하는 많은 공급업체들이 70억 달러 이상의 매출을 차지할 수 있는 보다 일반적인 통합 엔드포인트 보호 시장의 등장을 주도하고 있다. editor@itworld.co.kr
 


2019.11.12

“의심스러운 엔드포인트 활동의 탐지와 방어” EDR의 이해

Josh Fruhlinger | CSO
엔드포인트 탐지 및 대응(Endpoint Detection and Response, EDR)은 다양한 의심스러운 활동과 행동에 대해 네트워크상의 최종 사용자 하드웨어 디바이스를 감지해 인식된 위협을 자동으로 차단하도록 대응하고 추가 조사를 위해 포렌식 데이터를 저장하는 보안 도구의 함 법주다.

EDR 플랫폼은 엔드포인트에서 발생하는 모든 것, 즉 프로세스, DLL로의 변경, 레지스트리 설정, 파일 및 네트워크 활동으로의 심층 가시성을 자동화된 프로세스나 인간의 개입으로 위협을 인식하거나 대응할 수 있는 데이터 집합과 애널리틱스에 결합시킨다. 여기서의 엔드포인트란, 노트북에서 스마트폰에 이르기까지 일체의 최종사용자 기기를 뜻하며, 사물인터넷 가젯들도 아우를 수 있다.

엔드포인트 탐지 및 대응 범주에 대한 첫 번째 인식으로는 가트너 애널리스트 안톤 추바킨이 2013년 블로그에 게시한 것이 널리 인정되고 있는데, 그는 ‘호스트/엔드포인트에서 의심스러운 활동(및 그러한 문제의 흔적)을 탐지하고 조사하는 데 주로 초점을 맞춘 도구들의 일반적 명칭’을 고안했다. 그는 ‘엔드포인트 위협 탐지 및 대응’이라는 문구를 사용했지만, 보다 간결한 ‘엔드포인트 탐지 및 대응’이 널리 퍼졌다.
 
ⓒ Getty Images Bank


EDR vs. 안티바이러스 / EDR vs. EPP

EDR과 같은 범주를 이해하는 좋은 방법은 유사한 제품과 무엇이 다른지 살펴보는 것이다. EDR은 안티바이러스 프로그램 또는 다른 익숙한 보안 도구(데이터 암호화, 방화벽, 침입 방지 시스템 등)이 통합되어 있는 엔드포인트 보호 플랫폼(Endpoint Protection Platforms, EPP)과 종종 대비된다. EPP를 구성하는 도구는 본질적으로 예방의 성격을 띄고 서명 기반인데, 즉 알려진 악성코드가 실행되어 공격하기 전에 중단하기 위해 잠재적 위협을 악성코드 데이터베이스에 매치시킨다. 

그러나 위협이 점점 더 영리해짐에 따라, 알려진 위협과 확고한 경계 방어가 있는 정적 라이브러리에 의존하는 이런 종류의 방어는 효과적이기 못하게 된다. 그리고 그 점에서 EDR이 등장한다. 구성 변경부터 시작 또는 삭제된 프로세스, 액세스, 복사 또는 유출되는 파일에 이르기까지 엔드포인트에서 발생하는 모든 조치는 해킹 작업의 핵심이며, EDR 플랫폼은 보안 담당자에게 일정 수준의 자동 대응과 함께 초동조치를 제공하는 것을 목표로 한다.

실제로 어떻게 작동할까? EDR 플랫폼은 일반적으로 최종 사용자 기기에 설치된 에이전트로 구성된다. 이들 에이전트는 활동을 모니터링하고 내부 또는 클라우드에 있을지 모르는 중앙 집중식 서버로 정보를 다시 전송한다. 서버는 자동으로 문제를 감지해 이를 수정하거나 보안 직원에게 경고를 보낼 수 있으며, 또한, 정보보안팀이 모니터링하는 대시보드를 통해 정보를 노출시킨다.
 

엔드포인트 감지 및 대응 사용 사례들

어떤 종류의 시나리오에서 EDR이 정말로 빛날까? 특정 바이러스나 방화벽의 침입과 같은 단순한 신호보다는 행동 패턴을 검토하면서 엔드포인트 전체에 걸쳐 여러 형태로 능동적 위협이 발생할 때가 전형적인 EDR 시나리오다. 예를 들어, 피싱 공격을 통해 유효한 자격 증명을 도용하는 공격자는 경보를 일으키거나 악성코드를 사용하지 않고 정상적으로 시스템에 로그인할 수 있다. 그들은 처음에는 엔드포인트의 자유로운 통제를 가질 수 있지만, 그 이후의 활동은 특권을 높이거나 다른 시스템으로 수평 이동하려는 시도와 같이 좋은 EDR 시스템에 의해 플래그가 지정될 가능성이 높거나 적어도 정보보안 전문가가 발견할 수 있는 데이터 흔적을 남길 것이다. 

2016년 블로그 게시물에서 가트너의 추바킨은 EDR에 대한 최상위 사용 사례를 다음과 같이 제시했다.

• 의심스러운 활동 감지(EDR에서 D를 말함)
• 데이터 검색 및 조사의 지원과 자동화(EDR에서 R을 말함)
• 잠재적으로 의심스러운 활동에 대한 분류 수행
• 데이터 탐험 및 수집 활성화
• 악성 활동의 자동 차단 및 격리
 

EDR 기능

EDR 플랫폼이 이 프레임워크 내에서 제공해야 하는 많은 특정 기능이 있지만, 광범위한 제품 범주가 그렇듯, EDR 기능에 대한 단일의 개략적인 목록은 없다. 그러나 시중의 대표적인 EDR 솔루션과 이 개념을 처음 소개한 가트너의 게시물, 디지털 가디언(Digital Guardian), 사이버리즌(Cybereason), 카본 블랙(Carbon Black) 등 다양한 공급업체의 제품을 살펴본 후, 우리는 가장 흔히 제공되는 EDR 기능의 목록을 하나로 정리했다.

• 의심스러운 활동 감지 : EDR 역할의 핵심이다. 어떤 일이 언제 잘못되고 있는지를 알 수 있다.

• 지능형 공격 차단 : 위협이 탐지되는 즉시 퇴치 작업을 시작한다.

• 경고 분류와 필터링 : 정보보안 직원들 사이의 ‘경고 피로’를 극복하는 데 중요하다. EDR 솔루션은 잠재적인 경고 신호를 분류할 수 있어야 하며, 사람의 주의를 필요로 하는 경고를 구분할 수 있어야 한다.

• 다중위협보호 : 예컨대, 랜섬웨어와 악성코드를 동시에 차단할 수 있는 능력이 지능형 공격을 방지하기 위해 필요한데, 지능형 공격은 파도처럼 밀려올 수 있다.

• 위협 사냥 및 사건 대응 : 보안 담당자가 잠재적인 공격을 찾아내는 포렌식 데이터를 통해 조사함에 따라 보안 담당자에게 도움을 주는 기능이다.

• 가시성 : 위의 모든 기능과 관련해 중요하다. EDR 플랫폼은 의심스러운 활동을 추적하기 위해 모든 엔드포인트와 그것들 사이의 연결을 볼 수 있어야 한다. 

• 통합 데이터 : EDR 플랫폼이 보는 모든 것을 이해하도록 이 플랫폼을 도와 서로 다른 출처의 정보를 일관성 있는 그림으로 통합한다.

• 다른 툴과의 통합 : EDR의 힘을 확장해 최대 이익을 얻도록 해준다. 즉, EDR 플랫폼이 제공하는 가시성과 데이터 액세스는 기존 보안 툴이 보다 효과적으로 동작하도록 해야 한다. EDR 플랫폼은 지렛대와 같은 역할을 해야 하며, 공급업체는 EDR 제품과 함께 동작할 수 있는 전체 생태계를 조성하고자 한다.
 

EDR 소프트웨어와 솔루션

시장에 플랫폼을 제공하는 수많은 엔드포인트 감지 및 대응 공급업체들이 있다. 제품 오퍼링 전반에 걸친 차이를 간략히 살펴본다.

팔콘(Falcon)의 가장 큰 차이점은 플랫폼의 두뇌가 완전히 클라우드에 존재한다는 점인데, 이는 플랫폼에 사용자와 기업의 엄청난 공간 뿐만 아니라 무제한의 확장성을 제공한다. 팔콘이 보호하고 있는 기업 내 어디에서나 보호되는 엔드포인트에 대한 일체의 공격은 팔콘을 사용ㅎㅏ는 조직에 있는 모든 다른 엔드포인트에 이익이 될 것이다.

센티널원(SentinalOne)은 일선에서 위협을 가로챌 수 있는 엔드포인트에 지능형 탐지 및 대응 기능을 갖춘 강력한 에이전트를 배치할 수 있다. 모든 에이전트는 완전히 독립적이며, 보호 중인 엔드포인트가 코어 네트워크에서 분리되거나 연결이 전혀 없는 경우에도 동작할 수 있다. 독립적으로 행동하는 것 외에도, 각 에이전트들은 어떠한 공격이나 시도된 공격에 대한 자세한 포렌식 자료를 수집한다.

싸이넷 360(Cynet 360)의 각 에이전트는 완전히 자율적이며 스스로 조치를 취할 수 있다. 에이전트들은 섬에 존재하지 않고, 단지 어떤 자산에 설치되었는지를 감시할 뿐이다. 대신, 끊임없이 네트워크에 있는 다른 에이전트들과 소통하며, 호스트에서 발견된 것에 대한 첩보를 공유한다. 이는 예를 들어, 공격이 고립된 사건인지 아니면 동시에 여러 노드를 공격하고 있는 캠페인의 일부인지 판단하는 데 빠르게 도움을 줄 수 있다. 그런 다음 필요한 경우 전체 네트워크를 통해 적절한 조치를 취할 수 있다.

이 밖에 두드러진 제품들은 다음과 같은 것이 있다.
안티바이러스, 메모리 악용 방지, 속임수 기술, 디바이스 네트워크 방화벽, 침입 방지 및 EDR을 포함하는 시만텍 엔드포인트 보호(Symantec Endpoint Protection)
물리적이거나 가상 기기에 이용 가능한 RSA 넷위트니스 엔드포인트(RSA NetWitness Endpoint)

EDR 데이터와 SIEM 도구와 방화벽에서의 경고를 결합할 수 있는 사이버리즌 엔드포인트 감지 및 대응(Cyberseason Endpoint Detection and Response)
4개의 감지 엔진을 갖춘 에이전트를 포함하는 파이어아이 엔드포인트 시큐리티(FireEye Endpoint Security)

VM웨어가 소유하고 가상화된 데이터센터에 대한 보안을 제공하는 카본 블랙(Carbon Black)
 

EDR 시장

EDR 시장은 이미 거대하며 성장하고 있다. 스태티스타(Statista)는 EDR 도구 시장이 2020년까지 15억 달러에 이를 것으로 추정한다. 가트너는 EDR 플랫폼이 대기업의 필수품이 될 것이라고 생각한다. 즉, 2025년까지 5,000개 이상의 엔드포인트를 가진 조직의 70%가 EDR 소프트웨어를 배치할 것으로 예상하고 있다.

그러나 한 가지 명심해야 할 것은 전체 EDR 시장이 어떤 면에서 다소 이질적인 범주에 상위 라벨을 붙이려는 시도이며, 따라서 항상 진화하고 있다는 점이다. EDR과 EPP 플랫폼을 모두 제공하고, 각 플랫폼의 서로 다른 툴이 함께 동작할 수 있도록 하는 많은 공급업체들이 70억 달러 이상의 매출을 차지할 수 있는 보다 일반적인 통합 엔드포인트 보호 시장의 등장을 주도하고 있다. editor@itworld.co.kr
 


X