[데이터넷] APT, 랜섬웨어 등의 보안 위협이 기하급수적으로 확산되고 있지만 전통적인 보안 솔루션을 통해 모두 탐지하고 대응하기 어렵다. 내부이상 행위와 침해 사고를 탐지하고 발생한 보안 위협에 빠르게 대응할 수 있는 단말 기반 지능형 위협대응 솔루션 EDR이 필요하다.

지니언스의 ‘지니안 EDR(Genian EDR)’은 단말에 대한 지속적인 모니터링과 정보 수집을 통해 위협의 탐지 및 분석, 대응을 제공하는 솔루션이다. 단말에서 발생하는 주요 행위를 모니터링하고 실시간 저장 후 분석해 지능형 위협 등을 사전에 탐지·예방하고, 사후 감사 증적이 가능하다.

멀티 레이어 구성으로 파일·이상행위 탐지

지니안 EDR은 ▲이벤트 정보 수집 및 연동 ▲수집정보 검색 ▲분석정보 가시화 ▲최신 위협 인텔리전스 활용 ▲엔드포인트위협 분석 ▲엔드포인트 추적관리가 가능하다. 지속 확장 가능한 가시성을 제공해 주며 단말 부하를 최소화한 에이전트, 수집된 데이터 기반 관리자 정의 대시 보드 제공도 중요한 특징이다.

지니안 EDR은 멀티레이어로 구성돼 파일과 이상행위 탐지 기능을 제공하는 한편, 분석에 필요한 상세 정보도 지원한다. 악성코드와 이상 행위를 최신 침해사고 지표(IoC)와 머신러닝(ML) 행위 기반 엔진(XBA)을 활용해 신속하게 탐지해 APT, 랜섬웨어 등의 공격을 실행단계에서 차단할 수 있다.

지니안 EDR은 전 세계에서 탐지된 악성 파일·IP 정보를 DB 화한 IoC를 통해 알려진 악성 파일을 탐지한다. 머신러닝 기술을 통해 악성파일 및 정상파일의 특징을 학습, 분석해 의심이 되는 파일을 탐지한다. 파일은 정상이나 파일리스 공격 등 이상행위를 탐지하는 XBA(X Behavior Analysis) 기술, 관리자가 직접 생성한 패턴 매칭 탐지 기술 등이 적용돼 있다.

탐지된 파일의 평판정보(최종 탐지 시간, 악성코드 명 및 악성파일의 유사도 정보)를 추가로 제공해 고객의 오탐을 줄여주며, 위협 혹은 파일 세부 정보 식별이 필요할 때 그 정보를 알려준다.

위협에 대한 신속한 대응 및 분석

지니안 EDR은 단말에서 위협이 탐지되는 경우 위협의 심각성, 확산성, 위험성 등을 고려해 에이전트에서 네트워크 격리, 파일 삭제, 프로세스 종료, 사용자 알림 등의 대응을 한다. 정책(Policy) 기반으로 관리자 개입 없이 즉시 작용하므로 확산 방지 등 초동 대응이 가능하다.

위협의 탐지와 동시에 조치의 대상이 누구인지 사용자, 부서, ID 등을 정확하게 알 수 있으며 리버싱랩, 바이러스토털 등 사이버 위협 인텔리전스(CTI) 조회로 탐지된 위협의 상세정보 확인이 가능하다. 위협 탐지를 위해 실시간으로 수집 한 로그는 다시 활용해 기존에 알 수 없었던 단말에서 행해지는 상황, 예를 들어 문서 유출(업로드), 네트워크 접속 현황, AP접속 현황, 외장저장장치 사용, 메신저, 클라우드 서비스 사용자, DNS 변경 등을 상세히 파악할 수 있다.

지니안 EDR은 악성코드와 이상행위 등 전체 위협에 대한 정보를 보여주는 위협 모니터링 화면을 제공한다. 탐지된 위 협 목록에서의 요약정보와 상세 분석이 가능한 기능을 제 한다. 위협 상세 분석에서는 탐지된 파일의 위협 정보와 이상 행위 탐지 시 연관된 마이터 어택 링크를 제공한다.

단말별 탐지정보, 연관지표, 행위, 유사도 등 분석에 도움이 되는 다양한 정보를 제공하며 공격 스토리 라인에서는 파일·프로세스의 실행관계를 표시해 프로세스 제어, 파일 수집 등의 제어 기능을 제공한다.

단말 부하 최소화하는 에이전트

지니안 EDR은 서버, 에이전트로 간단하게 구성된다. 스케일 아웃 기능을 제공해 쉽게 확장할 수 있고, 에이전트는 최소의 리소스를 사용하며, 충돌을 방지하기 위한 회피 기술이 적용돼 있다. CPU, 메모리 사용을 최소화해 에이전트가 작동되며 확인 처리 기술(타 프로세스의 접근 확인 후 처리), 지연 처리 기술 적용으로 타 프로그램의 동작에 영향을 주지 않은 기술이 적용됐다.

위협으로부터 사용자와 단말을 보호하는 예방-탐지-분 석-대응 프로세스 구축이 가능하며 NAC와 협업해 효율적인 위협에 대응할 수 있다. 에이전트는 단독으로 설치·운영 되며, 지니안 NAC 사용 환경에서는 에이전트가 통합돼 배포 시 관리자와 사용자의 부담이 최소화된다.

국내 최초 메이저 업그레이드

업그레이드된 지니안 EDR 2.0 버전은 EDR을 통해 기대하는 고객의 요구사항을 적극 반영했다. 분석을 위한 충분한 가시성 제공, 위협 관리 편의성 증대, 모니터링의 고도화, 자동화 대응 등 기술 요소와 사용자의 편의성이 대폭 증대됐다.

통합 모니터링 부분은 악성코드와 이상행위가 통합돼 모든 위협을 한 화면에서 관리할 수 있다. 통합된 위협 현황, 단말 현황, 이벤트 현황을 체계적이면서도 효과적으로 모니터링 해 한 눈에 문제점을 파악하고 대응할 수 있다. 위협상세 분석 부분은 기본정보, 단말별 탐지 정보, 분석지표, 공격 스토리라인을 대시 보드 형태로 제공해 기본 정보탭을 통해 탐지지표를 포함한 기본 분석정보를 확인할 수 있다.

동일 위협이 발생된 단말, 위치, 대응 결과 등의 정보를 추가 조사 없이 확인할 수 있으며 연관위협지표를 통해 해당 위협의 공격 과정에서 발생한 모든 위협지표를 파악할 수 있다. 유사도지표를 통해 머신러닝으로 탐지된 의심 악성코드가 알려진 악성코드의 변종인지 판단할 수 있다. 탐지된 위 협에 대한 전체 공격 스토리라인, HTML 및 Guery(Genian Query Language) 기반 커스텀 리포트, 연동 및 확장 기능, 가시성이 고도화됐다.

지니안 EDR은 SIEM, SOAR 연동해 네트워크상의 이상 행위 가 엔드포인트에서의 악성 행위나 악성파일 탐지와 연관이 있는지 분석과 자동 대응·모니터링을 할 수 있다.

데이터넷 다른기사 보기