[데이터넷] 트렌드마이크로의 XDR 서비스 ‘비전원(Vision One)’은 엔드포인트, 서버, 이메일, 클라우드 워크로드와 네트워크 계층에서 텔레메트리를 통해 데이터를 수집하고, 상관분석해 고급 XDR 기능을 제공한다.

모든 계층에서 위협 활동을 XDR 기능과 연계해 표적형 우회 공격과 난독화된 공격을 신속하게 탐지할 수 있다. 이를 통해 보안팀과 SOC 팀이 공격 진행과정을 정확하게 파악하고 신속하게 대응할 수 있도록 도와준다. 근본 원인 분석(Root Cause Analysis)을 통해 공격의 범위와 확산을 파악하 고 선제적인 대응방법을 제공한다.

비전원은 SaaS로 제공되며, 각각의 포인트에서 동작중 인 트렌드마이크로 보안 솔루션으로부터 활동 데이터를 수집한다. 데이터 레이크에서 수집된 활동 데이터를 기반으로 침해 인시던트를 표현한다. 위협 인텔리전스를 통한 스위핑(Sweeping)을 수행하며, 이에 대한 경고를 제공하며 적절한 대응이 가능하도록 가이드라인을 제시하거나 자동화된 대응 이 수행되도록 할 수 있다.

서드파티 솔루션 연동 지원

비전원은 엔드포인트 영역과 클라우드 워크로드 보호를위해 엔드포인트 보호 플랫폼(EPP)인 ‘에이펙스 원(Apex One)’ 에이전트와 ‘클라우드 원 워크로드 시큐리티(Cloud One Workload Security)’를 사용한다. 이 에이전트가 XDR 에이전트 역할을 수행하며, 다른 벤더의 EPP를 사용하고 있 다면 비전원 전용 라이트 XDR 에이전트를 설치해 운영할 수 있다.

네트워크 영역에서는 네트워크 APT 탐지 솔루션 ‘딥 디스커버리 인스펙터(Deep Discovery Inspector)’를 구현해 넷플로우 데이터를 수집하는 비전원과 연동한다. 이메일 영역에 서는 마이크로소프트 365와 구글 워크스페이스의 보안 솔루션인 클라우드 앱 시큐리티가 비전원과 연동해 XDR의 벡터 역할을 수행한다. 이외의 다른 이메일 플랫폼을 사용하는 환경에서는 SMTP 게이트웨이 보안 제품인 트렌드마이크로 이메일 시큐리티(TMEMS)를 통해 비전원과 연동해 XDR 기능 을 구현한다.

AI·ML 기반 분석 제공

비전원은 각 텔레메트리에서 수집된 탐지로그와 활동 데이터를 AI/머신러닝 기반의 필터링과 상관관계 분석을 통해 최종적으로 TTP 기반의 고순도(high fidelity) 경고를 생성, SOC에서 전체 공격 전반에 대해 이해하고 정확한 대응을 할 수 있도록 정보를 제공한다.

비전원은 마이터 어택(MITRE ATT&CK)에서 정의한 전술, 기술 및 절차(TTPs) 기반의 200개 이상 탐지모델(Detection Model)을 가지고 있다. 탐지모델에 의해 발견된 인시던트는 엔드포인트, 서버, C&C 주소, 웹링크, 이메일 메시지, 실행된 파일과 명령어 등 각 객체들과 이들의 상관관계를 도식화해 표현한다. MITRE TTPs 모델링 이벤트를 클릭하면 해당 이벤트와 관련된 객체들이 하이라이트되며, 위협 객체의 식별을 용이하게 한다.

엔드포인트 객체 또는 파일, 명령어 객체의 상세정보를 확인하면 종래의 EDR 솔루션에서 볼 수 있었던 엔드포인트 내의 프로세스들과 파일, C&C 통신 시도, 최초로 주목할 객체 등의 위협체인 정보를 통해 위협객체의 근본원인 분석 및 대 응을 수행할 수 있게 된다.

네트워크 APT 탐지 솔루션을 비전원과 연동해 사용하는 경우, 인시던트의 넷플로우 데이터를 플레이해 시간 흐름에 따 른 인바운드·아웃바운드 통신, 조직 내 엔드포인트의 C&C 통신 과정, 수평이동 과정 등을 상세하게 조사할 수 있다.

이외에 스피어피싱 메일을 유입을 탐지하고, 메일 메시지 내 특정 링크와 첨부 파일을 실행해 조직 내에 미친 영향도를 이메일과 엔드포인트 간 상관관계 분석을 통해 쉽게 도출해 내는 등 엔드포인트, 서버 워크로드, 이메일, 네트워크 간 인시던트의 시간적 공간적 통합 분석이 가능토록 한다.

인시던트의 탐지 및 알람, 상관관계 분석에 이은 대응은 아래와 같이 다양한 방식으로 제공된다.

- 파일 수집: 의심 객체 파일을 원격으로 수집한다.

- 샌드박스 분석: 의심 파일과 URL을 클라우드 샌드박스로 전송해 악성여부 판단을 돕는다.

- 커스텀 스크립트 배포: 파워셸과 배시 스크립트를 배포해 관리자가 필요로 하는 복잡한 대응을 한 번에 수행한다.

- 원격 셸 접속: 대상 엔드포인트에 CLI로 연결해 필요한 작업을 수행한다.

- 파일 실행 차단: 의심스러운 파일을 차단 리스트에 등록해 전체 엔드포인트에서 파일 실행을 차단한다.

- 주소 접속 차단: 의심 URL과 IP주소를 차단리스트에 등록해 전체 엔드포인트에서의 접속을 차단한다.

- 송신자 주소 차단: 의심 메일의 발신 이메일 주소를 차단리 스트에 등록해 동일 이메일 주소로부터의 메일 수신을 차단한다.

- 엔드포인트 격리: 엔드포인트의 인바운드 아웃바운드 네트워크 통신을 차단해 네트워크로부터 격리시키며, 필요한 시기에 격리를 해제한다.

- 메시지 격리 또는 삭제: 이메일 메시지를 전체 사용자 사서함에서 사용자들이 열람하지 못하도록 격리하거나 삭제 한다.

위협 레벨과 의심객체의 특성에 따라서 대응 기능이 자동 으로 동작하도록 관리자가 커스터마이즈할 수 있는 시나리오 형태의 플레이북을 작성해 인시던트가 발생했을 때 자동대응 할 수 있다.

다양한 인텔리전스 활용해 탐지 정확도 높여 비전원은 자체 위협 인텔리전스뿐만 아니라 다양한 외부 위협 인텔리전스를 활용해 실시간으로 IOC를 취합하고 이어서 조직 내 모든 벡터에서의 스위핑을 자동으로 수행해 존재 할 수 있는 최신의 위협을 탐지해낸다.

스플렁크, 마이크로소프트 애저 센티넬, IBM 큐레이더·클라우드 팩 포 시큐리티 등 타사 SIEM·SOAR와 연동해 탐지된 인시던트 경고를 제공한다. 체크포인트 OPSEC, 포티게이트 차세대 방화벽, 팔로알토 네트웍스 파노라마, 브로드컴 프록시SG와 위협 객체 정보를 공유한다. REST API를 제공해 비전원에서 수집된 활동 데이터와 탐지된 인시던트를 쉽게 서드파티 솔루션으로 공유한다.

비전원은 XDR과 함께 공격표면 위험 관리(ASRM)와 제로 트러스트 보안도 포함된 통합 보안 플랫폼으로 진화하고 있다. ASRM은 조직의 엔드포인트에 대해서 CVE 등의 취약점 현황을 파악한다. 머신러닝이나 행위기반 탐지 기능 등의 고급 보호 기능을 사용하지 않는 엔드포인트를 식별하며, 권장하는 보안정책을 제시한다. 또한 보안솔루션을 사용하지 않고, 관리되지 않는 엔드포인트와 충실히 관리되고 있는 엔드포인트를 쉽게 식별하고 파악할 수 있는 데이터를 제공한다.

엔드포인트뿐만 아니라, 인터넷에 연결돼 있는 자산, 액티브 디렉토리, 옥타 등과 연동해 계정의 취약성 또는 유출시도 현황을 파악한다. M365, 구글 워크스페이스 등 클라우드 앱, AWS, GCP, 애저 등에 구성한 클라우드 자산들에 대한 위험현황을 한 눈에 파악할 수 있는 위협 관리 측면에서의 통 찰을 제공한다.

조직의 공격표면에서 현재의 위험지수와 앞으로 예상되는 위험지수를 제시하고, 선제적으로 예방하고 대응할 수 있도 록 하는 위험 예측 기능도 수 개월 내에 추가될 예정이다. 보안 플랫폼으로서 위험 평가와 예방 측면의 공격표면 위험관 리와 위협 조사 및 대응 측면의 XDR의 워크플로우를 순환 형 태로 구현한다.