엔드포인트 탐지 및 대응 (EDR)
EDR(Endpoint Detection and Response)솔루션은 사이버 보안에서 중요한 역할을 담당합니다. 오늘날 기업들은 점점 더 정교해지는 사이버 위협에 대응하기 위해 EDR 솔루션을 도입하여 기업 내의 엔드포인트(컴퓨터, 모바일 기기, 서버 등)를 보호하고 있습니다. EDR 솔루션은 네트워크 전체에서 실시간으로 데이터를 수집, 분석하며 잠재적인 위협을 탐지하고 대응하는 핵심적인 보안 도구입니다.
EDR 도입의 주요 목적은 기업이 EDR 솔루션을 도입할 때, 가장 중요한 목적은 사내 창작물 유출 방지와 그룹 내 사용자 접속 모니터링 등과 같은 보안체계를 구축하는 것입니다. 특히, EDR 솔루션은 조직 내에서 발생할 수 있는 데이터 유출이나 악성 행위에 대한 탐지 및 대응 능력을 향상시키기 위한 주요 수단으로 사용됩니다.
EDR 솔루션 도입 시 고려해야 할 핵심 요소
위협 인텔리언스 (Threat-Intelligence): 현재 발생 중이거나 임박한 위협에 대한 정보를 수집하여 이를 분석하고, 위협 대응에 관한 결정 사항을 알립니다. 또한, 공격자의 대한 의도와 목적에 대해 파악하고 인지해야하며, 공격 패턴과 히스토리 분석을 통해 기업은 과거의 데이터를 활용하여 잠재적인 위협을 사전에 방어할 수 있습니다.
인공지능(AI) 및 머신러닝 기술: 많은 EDR 솔루션은 인공지능과 머신러닝 기술을 사용하여 다양한 악성코드 유형을 학습하고 있습니다. AI는 신종 및 변종 악성코드와 해킹 공격을 인식하고 차단하는 데 중요한 역할을 하며, 학습된 데이터를 기반으로 공격 패턴을 예측하고 대응합니다. 이를 통해 기업은 제로데이 공격과 같은 새로운 위협에 대해서도 빠르게 대응할 수 있습니다.
EDR 솔루션을 평가할 때는 해당 솔루션이 악성코드에 대한 학습이 얼마나 잘 이루어졌는지, 그리고 지속적으로 학습이 업데이트되고 있는지 확인하는 것이 중요합니다. EDR의 AI가 제대로 학습되지 않으면 제로데이 공격과 같은 고도화된 위협에 대해 식별 능력이 떨어질 수 있습니다. 따라서, 솔루션의 지속적인 학습 능력과 업데이트가 중요한 검토 사항이 됩니다.
레퍼런스 및 사례 분석: 도입하려는 EDR 솔루션이 실제로 성공적으로 사용된 사례를 분석하는 것도 중요한 요소입니다. 예를 들어, 금융권에서 도입된 EDR 솔루션이 게임 산업에서 발생한 공격을 제대로 식별하지 못한 사례가 있다면, 이는 해당 솔루션이 특정 산업 환경에 대해 충분히 학습되지 않았음을 의미할 수 있습니다. 따라서, 다양한 산업에서 사용된 레퍼런스를 참고하여 해당 솔루션이 기업의 요구에 맞는지 검토해야 합니다.
샌드박스 기술: 샌드박스는 가상 환경에서 파일이 실행되는 행위를 모니터링하여 악성 여부를 판단하는 기능을 제공합니다. EDR 솔루션에서 샌드박스는 PC 환경을 만들어 악성코드의 실행 결과를 확인하고, 보안 담당자가 회사 전체 네트워크 트래픽을 모니터링하여 잠재적인 악성 행위를 분석할 수 있는 강력한 도구로 사용됩니다. 이로 인해 보안 관리자는 전체 네트워크에 대한 악성 행위 분석을 보다 효과적으로 수행할 수 있습니다.
|
|
구 분
|
평판분석
(위협정보) |
Threat-Intelligence (MITRE ATT&CK)
|
인공지능머신러닝
|
샌드박스
|
레퍼런스
|
|
1
|
사이버리즌 (Cybereason)
|
파일,IP,도메인
|
|
V
|
|
금융
|
|
2
|
트랜드마이크로 (Apex One)
|
파일/웹
|
|
V
|
V
|
다수 기업 등
|
|
3
|
크라우드스트라이크 (Falcon)
|
YARA Hunting VirusTotal etc
|
V
|
V
|
V
|
한온시스템 MCM 그라비티 (Gravity) 등
|
|
4
|
엔피코어 (Zombie Zero EDR)
|
McAfee VirusTotal
|
V
|
V
|
V
|
다수 공공기관
|
기업에 맞는 최적의 솔루션 선택 방법
기업이 적합한 EDR 솔루션을 찾기 위해서는 다양한 자료와 데이터를 참고하는 것이 중요합니다. 이를 통해 EDR 솔루션을 다각도로 분석하고 기업에 맞는 최적의 솔루션을 선택할 수 있습니다. 포레스터 웨이브와 가트너 매직 쿼드런트 자료는 기업이 EDR 및 EPP 솔루션을 선택할 때 전문가들이 제공하는 객관적이고 심도 있는 평가를 통해 선택 과정에 도움이 되는 자료입니다.
1. 주요 보안 솔루션 기업과 솔루션 파악
포레스터 웨이브(Forrester Wave), 가트너 매직 쿼드런트(Gartner Magic Quadrant)는 각각 EDR 및 EPP 솔루션을 제공하는 기업들을 리더의 평가, 경쟁 요소, 도전 요소, 니치 플레이어로 분류하여 평가합니다. 이를 통해 기업은 각 솔루션이 시장에서 어느 정도 위치에 있는지와 성장 가능성을 알 수 있으며, 자사의 보안 요구 사항에 맞는 솔루션을 신속하게 파악할 수 있습니다.
2. 객관적인 평가 지표 제공
두 자료는 솔루션의 기능성과 성능을 다각도로 평가한 객관적인 기준을 제시합니다. 이는 기업이 EDR 또는 EPP 솔루션을 선택할 때 기능적 요구사항과 비즈니스 요구사항에 맞는 솔루션을 구체적으로 비교하는 데 도움을 줍니다. 포레스터와 가트너 모두 기술력, 제품 완성도, 혁신성, 시장 접근성 등 다양한 항목을 평가하므로, 솔루션의 강점과 약점을 빠르게 파악할 수 있겠습니다.
3. 트렌드와 기술 발전 파악
포레스터와 가트너 보고서는 매년 업데이트되며, 최신 시장 트렌드와 기술 발전을 반영합니다. 이 보고서를 통해 기업들은 EDR 및 EPP 솔루션의 최신 기술 발전이나 기능 개선 사항을 알 수 있으며, 이는 앞으로의 보안 전략을 계획하는 데 유용합니다. 특히, 2023년 보고서는 인공지능(AI), 머신러닝, 위협 인텔리전스(Threat Intelligence) 등 최근 EDR 솔루션에서 중요한 기술적 요소들이 어떻게 발전하고 있는지에 대한 정보를 제공하기 때문에, 최신 보안 동향을 이해하는 데 큰 도움이 됩니다.
4. 레퍼런스 확보
많은 기업들이 실제로 EDR 및 EPP 솔루션을 도입할 때 레퍼런스(구체적인 사용 사례)를 중요하게 여깁니다. 포레스터와 가트너 보고서에 언급된 기업들은 이미 여러 기업에서 검증된 솔루션을 제공하는 경우가 많아, 보고서에 기반한 선택이 신뢰성을 높여줍니다. 금융권, 공공기관, 게임사 등 다양한 산업 분야에서 사용된 사례를 바탕으로 각 기업이 자사 환경에 적합한 솔루션을 선택할 수 있습니다.
5. 솔루션 벤더의 장기적 비전
포레스터와 가트너는 단순히 현재 기능만 평가하지 않고, 솔루션 제공 기업의 비전과 장기적인 성장 가능성도 평가합니다. 이는 솔루션의 장기적인 유지 관리와 업그레이드가 중요한 기업들에게 매우 중요한 요소입니다. 기업이 도입하는 보안 솔루션은 지속적인 업데이트와 장기적인 지원이 필요하므로, EDR 및 EPP 솔루션을 제공하는 기업이 앞으로 얼마나 혁신적으로 발전할지에 대한 정보를 제공하는 것이 큰 도움이 됩니다.
이 보고서를 통해 기업은 시장을 선도하는 적합한 솔루션을 파악하고, 솔루션의 기능적 및 기술적 차이점을 비교하며,
자사의 보안 요구에 맞는 최적의 솔루션을 선택할 수 있겠습니다.
'보안' 카테고리의 다른 글
| Cybereason Product - 사이버 리즌 (0) | 2021.10.20 |
|---|
