[XDR②] AI 적용한 위협 탐지·분석 기능 개선
상태바
[XDR②] AI 적용한 위협 탐지·분석 기능 개선
  • 김선애 기자
  • 승인 2021.06.05 10:00
  • 댓글 0
이 기사를 공유합니다

네트워크·엔드포인트·클라우드 통합 가시성 제공하는 XDR
정교한 포렌식·위협 인텔리전스로 지능형 위협도 대응

[데이터넷] 트렌드마이크로의 ‘비전원(Vision One)’은 모든 보안 솔루션을 통합한다는 개념으로 XDR에 접근한다. 비전원은 이메일, 엔드포인트, 서버, 클라우드 워크로드, 네트워크에서 데이터를 수집하고 위협 인텔리전스를 연계한 자동 상관분석과 심층 분석을 제공한다.

XDR과 지능적인 위협 탐지 센서를 이용해 우회공격 을 탐지하며 전체 공격 과정을 신속하게 확인하고 대응할 수 있다. 매니지드 XDR 서비스를 이용하면 전문적인 위협 헌팅과 조사를 통해 보안을 강화할 수 있다. 비전원은 써드파티 솔루션의 로그와 이벤트, SIEM·SOAR, SASE 구성요소와도 유연하게 연계해 신속하고 정확한 위협 대응이 가능하다.

트렌드마이크로는 가트너, 포레스터 등 여러 시장조사기관으로부터 시장의 리더 자리를 인정받고 있다. 특히 트렌드마이크로는 가상패치 기능을 적용해 패치 안 된 시스템까지 보호할 수 있으며, ZDI를 통한 신속한 취약점 발견과 탐지·대응, 클라우드까지 확장된 보안 기능을 높게 평가받는다.

포티넷의 ‘포티XDR’은 보안 솔루션을 통합하는 수준을 넘어 AI를 적용한 사고대응 조사를 제공해 공격 피해를 최소화하며, 포티가드랩 보안 서비스를 기반으로 보안 패브릭과 위협 보호 기능을 강화한다. 시큐리티 패브릭으로 기업의 여러 측면에서 생성되는 텔레메트리 정보를 수집하고, 사이버 킬체인 단계 에 맞춘 대응 단계를 적용한다. AI 엔진인 동적 제어 플로우 엔진(DCFE)이 보안 담당자와 포티가드랩 전문가의 지식을 학습해 숙련된 보안 분석가처럼 분석하 고 대응한다.

포티XDR 도입으로 조직은 이벤트 경보를 77% 이상 줄이고, 30분 이상 걸리던 작업을 단 몇 초 만에 진행 하며, 독립 보안 제품을 통합해 조율된 자동 대응을 제공한다.

한편 포티넷은 ‘포티EDR’, XDR·MDR을 추가하면서 탐지·대응 능력을 한층 강화했다. 이 솔루션은 클라우드 네이티브 엔드포인트 보안을 제공하며 EDR·EPP 통합보안, 지속적인 행위 기반 보호, 지속적인 분석 및 자동 대응조치를 제공한다. 사고 대응 플레이북을 제공해 기업들이 엔드포인트 그룹, 자산 가치 및 위협의 종류를 기반으로 일반적인 대응 조치를 손쉽게 사전 정의할 수 있도록 지원한다.

▲가트너 ‘XDR 개념 아키텍처’

XDR 핵심 요소, 위협 인텔리전스

네트워크 보안 기업들이 솔루션 통합을 강조한다면, 엔드포인트 보안 기업들은 정밀한 위협 조사를 통한 탐지 확장을 강조한다. 이는 공격자들의 도구·전술·전략 이 이전보다 훨씬 복잡하고 지능화됐다. 공격을 가장 많이 받는 엔드포인트는 고급 보안 분석 기능을 확장하는 것이 필요하다고 판단했다.

최근 엔드포인트 보안 솔루션은 전통적인 안티 바이러스(AV)와 AI 기반 분석을 실행하는 차세대 AV(NGAV), 엔드포인트 보안 기능을 통합한 EPP, 엔드포인트 행위를 정밀 분석해 이상정황을 찾아내는 EDR 등으로 구분된다. 이렇게 복잡한 엔드포인트 보안 기능은 정교한 위협 헌팅과 보안 분석, 위협 인텔리 전스를 결합해 통합 플랫폼으로 제공되는 것이 추세이며, 엔드포인트에서 수집된 정보를 XDR로 자동 분류 해 인텔리전스 통합을 만들고, SIEM 및 XDR 솔루션 과 연동해 분석하는데 도움을 주는 방향을 나아가고 있다.

강민석 카스퍼스키코리아 이사는 “엔드포인트는 대부분의 사이버 공격에서 일차 목표로 삼는 대상이다. 팬데믹으로 인해 원격 근무 환경이 일반화되고 직원들이 개인 와이파이 또는 장치 를 사용하는 비중이 높아지면서 EDR의 중요성이 더욱 강조되고 있다. 정교한 공격의 수준 또한 높아져 위협 사냥 및 조기 사건 대응의 중요성은 더욱 커지고 있다” 며 “완벽한 엔드포인트 통합이 XDR의 전제조건”이라고 강조했다.

카스퍼스키는 다계층 위협 탐지와 기업 네트워크, 엔드포인트에서 발생하는 활동의 세부적 평가를 사용해 정교한 위협과 표적형 공격으로부터 기업과 조직을 보호할 수 있도록 도와주는 ‘KATA(Kaspersky Anti Targeted Attack Platform)’로 XDR 시장을 공략한다. 네트워크, 웹, 이메일 기반 탐지를 엔드포인트 탐지 기 술과 연계하며, 다차원 위협 검색, 심층적 조사, 선제 적 위협 사냥 및 복잡한 사건에 대한 중앙 집중식 대응을 지원한다.

추가 리소스 투입 없이 복잡한 위협 및 표적형 공격 으로부터 기업 인프라를 효과적으로 보호할 수 있으며, IT 보안 팀이나 SOC 팀이 복잡한 위협 및 표적형 공격에 안정적으로 대응해 기존 타사 보호 기술을 보 완하면서 SIEM과 통합을 지원할 수 있다.

카스퍼스키는 XDR의 핵심 요소 중 하나인 위협 인텔리전스 피드 ‘사이버트레이스(CyberTrace)’의 장점을 강조한다. 위협 데이터 피드와 SIEM을 통합해 분석팀 이 기존 보안 운영 워크플로우에서 위협 인텔리전스를 효과적으로 활용할 수 있다.

클라우드까지 가시성 확대

VM웨어와 마이크로소프트는 전통적인 엔드포인트· 네트워크 보안 기업과 다른 관점에서 EDR에 접근한다. 엔드포인트 보안, ID, 네트워크, 클라우드, 워크로드 등의 보안 기능을 통합한 클라우드 통합 보안의 측면이 강하다.

엔드포인트 보안 플랫폼 ‘카본블랙’과 디지털 워크스페이스 플랫폼 ‘워크스페이스 원 (Workspace ONE)’과 통합하는 한편, VM웨어 브이 스피어에 카본블랙 보안 모듈을 탑재해 워크로드 취약 점 관리와 보안을 제공한다. 더불어 쿠버네티스, 탄주와 연동된 ‘카본블랙 컨테이너 시큐리티’로 컨테이너 보안을 제공한다.

홍세진 VM웨어 보안사업부 상무는 “VM웨어 XDR 은 엔터프라이즈 보안 기술을 IT 환경 전반에 지원하 며, 보안 환경에 대한 가시성과 컨텍스트를 향상시켜 공격 방법, 공격 지점, 공격을 받은 대상자, 공격의 시 발점, 공격의 확산 추이 등 위협에 대한 전반적인 정보 를 파악할 수 있다. 자동화된 탐지와 대응으로 운영 효 율성을 높여 기업 전반의 리스크를 낮출 수 있다”고 말 했다.

마이크로소프트의 XDR은 ‘마이크로소프트365 디펜더’와 ‘애저 디펜더’를 통합한다. 최종 사용자 환경 전반에서 도메인간 위협 예방과 탐지, 공격 탐색과 대응을 조정한다. 업계 최고 위협 인텔리전스를 사용 해 오피스 환경과 클라우드 워크로드에 대한 심층적인 통찰력을 확보하고, 애저 센티넬과의 통합으로 모든 클라우드와 써드파티 파트너 대상으로 수집한 위협을 지능적으로 분석하고 자동으로 대응할 수 있게 한다.

윈도우, 리눅스, 맥OS, 안드로이드, iOS 모두 지원하며, 멀웨어 방지와 악용 방지 기능을 개선한다. 포레스터는 마이크로소프트 엔드포인트 보안 솔루션이 엔드 포인트에 미치는 영향이 낮고, 오탐도 낮다고 평가했다.

탐지·대응 강화하며 XDR로 전진

네트워크 보안 기능이 없는 엔드포인트 보안 전문기업들은 XDR을 적극 표방하지 않지만, SIEM 기능을 이용한 분석과 위협 헌팅 및 인텔리전스, 자동화된 탐지와 대응을 강조하면서 XDR 전략에 대한 비전을 밝힌다.

크라우드스트라이크의 경우 클라우드 SIEM 기업 휴미오를 인수하고 ‘팔콘 시큐리티 클라우드 XDR’를 강화한다. 이번 인수가 네트워크 분석 솔루션 시장 까지 진출한다는 뜻은 아니며, EDR의 분석·위협 헌팅 전문성을 보다 확장하기 위한 것이라고 설명한다. 더불어 오케스트레이션과 자동화(SOA)를 통해 SOC를 효율화하는 ‘퓨전(Fusion)’을 추가하면서 단일 콘솔 에서 보안을 관리하게 해 자사 기술 영향력을 넓혀가고 있다.

센티넬원은 AIOPS 플랫폼 회사 스케일러(Scalyr)를 인수하고 자사 보안 솔루션을 단일 에이전트로 통합하 면서 XDR 역량을 강화하고 있으며, XDR 솔루션 ‘싱귤래러티’를 출시하고 시장 공략에 나선다. 센티넬원은 ‘자율형 악성코드 차단 솔루션’이라고 자사 제품을 소개한다. 이전에 센티넬원은 EPP와 EDR을 통합한 ‘EPDR’ 전략을 적극 드라이브했다.

센티넬원은 악성코드가 실행되기 전 평판정보와 해시값 분석을 통한 악성코드 차단에 나선다. 파일을 실 행하지 않고 헤더 정보를 AI로 분석하는 정적 AI와 실행 중인 악의적인 행위를 분석하는 행위분석 AI, 엔드포인트 내 모든 행위를 로깅해 이상행위를 보고하는 ‘딥 비저빌리티’를 지능형 탐지 기술로 소개한다.

센티넬원은 전 세계 어디서도, 어떤 제품을 사용해도 단 하나의 에이전트만으로 위협을 수집·조사·분석하고 자동화 차단·대응할 수 있다. 또 IoT 기기 등이 EDR+EPP이 설치되지 않아 보안정책을 위반한 기기를 찾아 접근을 제한할 수 있다. 또 랜섬웨어 복구까지 지원 해 피해를 최소화할 수 있다.

우청하 센티넬원 한국지사장은 “센티넬원은 시그니처 없이 완벽한 AI로 위협을 탐지하는 지능적인 기술을 갖고 있다. 완벽하게 자율형으로 동작하는 엔드포인트 위협 탐지와 차단을 제공해 IT와 IoT 모든 분야에서 보 안을 유지할 수 있다. 하나의 에이전트로 보안 통합한 센티넬원은 국내에서도 글로벌 제조사를 비롯한 여러 기업에 공급되면서 호평받고 있다”고 말했다.

Tag
#XDR #EDR #NDR


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.