EDR(엔드포인트 감지 및 응답)이란?
EDR 기술을 통해 조직이 랜섬웨어와 같은 심각한 사이버 위협으로부터 보호할 수 있는 방법을 알아보세요.
EDR 정의
EDR은 위협의 증거를 위해 엔드포인트를 지속적으로 모니터링하고 이를 완화하는 데 도움이 되도록 자동 작업을 수행하는 사이버 보안 기술입니다. 엔드포인트, 즉 휴대폰, 데스크톱, 노트북, 가상 머신 및 IoT(사물 인터넷) 기술과 같이 네트워크에 연결된 많은 물리적 디바이스는 악의적인 행위자에게 조직을 향한 공격에 대한 여러 진입점을 제공합니다. EDR 솔루션은 보안 분석가가 네트워크 전체에 확산되기 전에 엔드포인트에서 위협을 감지하고 교정하는 데 도움이 됩니다.
EDR 보안 솔루션은 클록에 대한 엔드포인트의 동작을 기록합니다. 이 데이터를 지속적으로 분석하여 랜섬웨어와 같은 위협을 나타낼 수 있는 의심스러운 활동을 표시합니다. 또한 자동 작업을 수행하여 위협 및 경고 보안 전문가를 포함할 수 있습니다. 그러면 이 전문가가 기록된 데이터를 사용하여 위반이 발생한 방법, 영향을 받은 내용 및 다음에 수행해야 할 작업을 정확하게 조사합니다.
사이버 보안의 EDR 역할
사이버 공격으로부터 안전하게 지키려는 조직의 경우 EDR은 바이러스 백신 기술에서 한 단계 더 나아간 것을 의미합니다. 바이러스 백신 프로그램은 악의적인 행위자가 데이터베이스에서 알려진 위협을 확인하고 그 중 하나를 감지하는 경우 자동 격리 작업을 수행하여 시스템에 진입하지 못하도록 하기 위해 설계되었습니다. EPP(엔드포인트 보호 플랫폼)는 고급 바이러스 백신 및 맬웨어 방지 보호를 포함한 첫 번째 방어선이며, EDR은 감지 및 교정 기능을 사용하도록 설정하여 위반이 발생할 경우 추가 보호를 제공합니다.
EDR은 의심스러운 동작을 감지하고 분석하여 경계를 넘어서는 아직 알려지지 않은 위협을 헌팅할 수 있습니다. 이를 IOC(손상 지표)라고도 합니다.
EDR은 보안 팀에게 인시던트 대응을 가속화하고 엔드포인트에 대한 공격이 확산되지 않도록 하는 데 필요한 가시성과 자동화를 제공합니다. 다음과 같은 용도로 사용됩니다.
- 엔드포인트를 모니터링하고 활동의 전체 레코드를 유지하여 의심스러운 활동을 실시간으로 감지합니다.
- 이 데이터를 분석하여 위협이 조사 및 교정을 보증하는지 여부를 확인합니다.
- 먼저 교정해야 하는 사항을 알 수 있도록 보안 팀에 우선 순위가 지정된 경고를 생성합니다.
- 보안 팀 조사를 돕기 위해 위반의 전체 기록 및 범위에 대한 가시성 및 컨텍스트를 제공합니다.
- 위협이 확산되기 전에 자동으로 위협을 포함하거나 교정합니다.
EDR의 작동 방식은 무엇인가요?
EDR 기술은 공급업체마다 다를 수 있지만 광범위하게 동일한 방식으로 작동합니다. EDR 솔루션:
- 엔드포인트를 지속적으로 모니터링합니다. 장치가 온보딩되면 EDR 솔루션은 각 장치에 소프트웨어 에이전트를 설치하여 전체 디지털 에코시스템이 보안 팀에 표시되도록 합니다. 에이전트가 설치된 장치를 관리 디바이스라고 합니다. 이 소프트웨어 에이전트는 각 관리되는 디바이스에서 관련 활동을 지속적으로 기록합니다.
- 원격 분석 데이터를 집계합니다. 각 장치에서 수집된 데이터는 에이전트에서 클라우드 또는 온-프레미스에 있을 수 있는 EDR 솔루션으로 다시 전송됩니다. 이벤트 로그, 인증 시도, 애플리케이션 사용 및 기타 정보는 보안 팀에 실시간으로 표시됩니다.
- 데이터를 분석하고 상관 관계를 지정합니다. EDR 솔루션은 누락되기 쉬운 IOC를 발견합니다. EDR은 일반적으로 AI 및 기계 학습을 사용하여 글로벌 위협 인텔리전스를 기반으로 하는 동작 분석을 적용하여 팀이 조직에 대해 사용되는 고급 기법을 방지할 수 있도록 지원합니다.
- 의심되는 위협이 표면에 드러나고, 자동 수정 작업을 수행합니다. EDR 솔루션은 잠재적인 공격에 플래그를 지정하고 신속하게 대응할 수 있도록 보안 팀에 실행 가능한 경고를 보냅니다. 트리거에 따라 EDR 시스템은 엔드포인트를 격리하거나 인시던트를 조사하는 동안 확산되지 않도록 위협을 포함할 수도 있습니다.
- 나중에 사용할 수 있도록 데이터 저장. EDR 기술은 향후 조사를 알리기 위해 과거 이벤트에 대한 포렌식 레코드를 유지합니다. 보안 분석가는 이를 사용하여 이벤트를 통합하거나 장시간 또는 이전에 감지되지 않은 공격에 대한 큰 그림을 얻을 수 있습니다.
주요 EDR 기능 및 특징
-
사각지대 제거
EDR을 사용하면 보안 팀이 기존 엔드포인트의 통합된 가시성과 관리를 얻고 불필요한 일반적인 취약성 및 노출(CVE)이 발생할 수 있는 네트워크에 연결된 관리되지 않는 엔드포인트를 검색할 수 있습니다. 취약성 및 잘못된 구성에 플래그를 지정하여 공격 표면을 줄이는 데 사용할 수도 있습니다.
-
차세대 조사 도구 사용
EDR 솔루션은 보안 팀과 함께 작동하여 몇 분 만에 가장 심각한 잠재적 위협의 우선 순위를 지정하고, 유효성을 검사하고, 심사 작업을 수행합니다.
-
가장 정교한 공격 차단
EDR 솔루션은 감지를 피하기 위해 지속적으로 동작을 전환하는 랜섬웨어랜섬웨어와 같은 정교한 위협을 보안 팀이 찾도록 도와줍니다. 파일 기반 및 파일리스 공격 모두에 효과적입니다.
-
더 빠르게 위협 교정
보안 팀은 자동으로 공격을 포함하고, 조사를 시작하고, 사이버 보안용 AI 를 사용하여 모범 사례를 적용하고 다음 단계를 결정하는 EDR 도구를 사용하여 위협에 대응하는 데 걸리는 시간을 줄일 수 있습니다.
-
위협을 사전에 헌팅
EDR 솔루션은 풍부한 동작 분석을 적용하여 심층 위협 모니터링을 제공하고 팀이 의심스러운 동작의 첫 번째 힌트에서 공격을 탐지할 수 있도록 지원합니다.
-
SIEM과 감지 및 응답 통합
많은 EDR 보안 솔루션이 기존 SIEM(보안 정보 및 이벤트 관리)SIEM(보안 정보 및 이벤트 관리) 제품 및 보안 팀 스택의 기타 도구와 원활하게 통합됩니다.
EDR이 중요한 이유는 무엇인가요?
EDR 보안 솔루션은 최신 조직에 중요한 보호를 제공합니다. 바이러스 백신 및 맬웨어 방지 솔루션만으로는 네트워크를 대상으로 할 가능성이 있는 공격의 100%를 방지할 수 없습니다. 사이버 범죄자들은 경계 방어를 피하는 데 사용하는 기법을 지속적으로 발전시키고 있으며, 결국 일부는 이를 통과할 것입니다. 보안 팀은 경계를 벗어나 상당한 손상과 데이터 손실을 야기할 수 있는 소수의 위협을 헌팅하는 강력한 도구가 필요합니다.
DDoS(분산형 서비스 거부) 공격, 피싱, 랜섬웨어와 같은 위협은 조직의 운영에 대한 부담이 될 수 있으며 이를 교정하는 데 많은 비용이 들 수 있습니다. 사이버 범죄자는 점점 더 리소스를 잘 활용하고 더 많은 동기 부여를 받고 있습니다. 시스템 침입은 이들에게 수익성이 높은 비즈니스이며, 고급 기술에 투자하여 공격의 성공률을 더욱 높이고 있습니다. 사이버 위협 전술이 진화하는 속도에 따라 조직은 보안 태세를 개선하고 최신 위협을 교정할 수 있는 기술에 투자하는 것이 좋습니다.
EDR은 더 많은 조직이 원격 및 하이브리드 작업 패턴을 채택함에 따라 특히 중요해졌습니다. 직원들이 지리적으로 분산된 노트북, PC 및 휴대폰에서 네트워크에 연결함에 따라 보안 팀은 방어할 더 큰 공격 표면이 생겼습니다. EDR 솔루션은 이러한 엔드포인트의 데이터를 실시간으로 모니터링하고 분석하는 기능을 제공합니다.
EDR이 인시던트 응답에 미치는 영향
EDR 보안 솔루션은 팀이 인시던트 응답 계획의 모든 단계에서 효율성을 높이는 데 도움이 될 수 있습니다. 팀이 보이지 않을 수 있는 위협을 감지할 수 있도록 하는 것 외에도, EDR 기능이 인시던트 응답 수명 주기의 이후 단계와 관련된 수동 작업 및 번거로운 작업을 완화할 것으로 예상할 수 있습니다.
포함, 근절 및 복구. 실시간 가시성 및 자동화 EDR 솔루션은 팀이 감염된 엔드포인트를 신속하게 격리하고, 악의적인 IP 주소를 오고가는 트래픽을 차단하고, 위협을 완화하기 위한 다음 단계를 시작하는 데 도움이 됩니다. 이미지 EDR 도구는 엔드포인트를 지속적으로 캡처하므로 필요한 경우 이전에 감염되지 않은 상태로 쉽게 롤백할 수 있습니다.
이벤트 후 분석. 엔드포인트 활동, 네트워크 연결, 사용자 작업 및 파일 수정에 대해 제공하는 포렌식 데이터 EDR은 분석가가 이벤트의 출처를 식별하는 근본 원인 분석을 수행하는 데 도움이 될 수 있습니다. 또한 잘 작동하는 항목과 그렇지 않은 항목에 대한 분석 및 보고 프로세스를 가속화하여 다음에 더 잘 대비할 수 있습니다.
EDR 및 위협 헌팅
자동 관리 사이버 위협 헌팅은 분석가가 네트워크에서 알 수 없는 위협을 검색하기 위해 수행하는 보안 활동입니다. EDR 솔루션은 분석가가 특정 파일, 구성 또는 의심스러운 동작과 같이 대상으로 지정할 IOC를 결정하는 데 도움이 되는 포렌식 데이터를 제공하여 이를 지원합니다. 악의적인 행위자가 수개월 동안 감지되지 않은 환경 내에서 종종 위협을 가하는 사이버 위협 환경에서 위협 헌팅은 보안 태세를 강화하고 규정 준수 요구 사항을 충족하는 중요한 방법입니다.
일부 EDR 솔루션을 사용하면 분석가가 대상 위협 탐지에 대한 사용자 지정 규칙을 만들 수 있습니다. 이러한 규칙을 사용하면 의심스러운 위반 활동 및 잘못 구성된 엔드포인트를 포함하여 다양한 이벤트 및 시스템 상태를 사전에 모니터링할 수 있습니다. 정기적으로 실행되도록 설정하여 경고를 생성하고 일치 항목이 있을 때마다 응답 작업을 수행할 수 있습니다.
EDR을 보안 전략의 일부로 만들기
방어에 EDR 보안 기능을 추가하는 것을 고려하는 경우 기존 도구와 원활하게 통합되고 보안 스택을 더 복잡하게 만드는 대신 간소화하는 솔루션을 선택하는 것이 중요합니다. 또한 고급 AI를 사용하는 EDR 솔루션을 선택하여 과거 인시던트에서 학습하고 비슷한 인시던트를 자동으로 처리하여 팀의 워크로드를 줄이는 것도 중요합니다.
엔드포인트용 Microsoft Defender를 활용하면 보안 팀이 효율성을 높이고 공격자를 능가할 수 있습니다. 엔드포인트용 Defender를 사용하면 다중 플랫폼 엔터프라이즈에서 정교한 위협으로부터 보호하기 위해 보안 전략을 발전시킬 수 있습니다.
Microsoft Security에 대한 자세한 정보
자주 묻는 질문
-
EDR은 단순한 바이러스 백신 기술이 아닙니다. 바이러스 백신 프로그램은 악의적인 행위자가 데이터베이스에서 알려진 위협을 확인하고 위협을 감지하는 경우 자동 격리 작업을 수행하여 시스템에 진입하지 못하도록 하기 위해 설계되었습니다. EDR은 의심스러운 동작을 분석하여 아직 알 수 없는 위협을 헌팅할 수 있으므로 더욱 강력한 보호를 제공합니다.
-
EDR은 엔드포인트 감지 및 응답을 의미하며, 비즈니스에서 사이버 범죄자가 직원의 노트북, 데스크톱 및 모바일 장치를 사용하여 회사 데이터 및 인프라에 침투할 수 없도록 하는 중요한 도구입니다. EDR은 보안 팀이 네트워크에 연결된 모든 엔드포인트에 대한 가시성을 제공하고 위협 신호를 분석하고 위협을 감지하는 데 도움이 되는 강력한 도구를 제공합니다.
-
EDR은 네트워크에 연결된 엔드포인트를 지속적으로 모니터링하고 동작을 기록하므로 보안 팀은 위협으로부터 조직을 보다 효과적으로 방어할 수 있습니다. EDR은 원격 분석 데이터를 중앙에서 집계한 다음 잠재적인 위협에 대해 분석하고 상관 관계를 지정합니다. 또한 필요한 경우 자동 수정 작업을 수행하고 더 빠르게 조사할 수 있도록 공격에 대한 포렌식 기록을 제공합니다.
-
엔드포인트용 Microsoft Defender는 조직이 고급 위협을 방지, 탐지, 조사 및 대응하는 데 도움이 되도록 설계된 엔터프라이즈 EDR입니다. 이 솔루션은 다른 많은 Microsoft 솔루션과 통합되어 전체적이고 동급 최고의 보안을 제공합니다.
-
XDR은 EDR이 자연적으로 진화한 것입니다. XDR에서는 EDR의 적용 범위가 넓어져 네트워크에서 서버는 물론 클라우드 기반 애플리케이션과 엔드포인트를 아우르는 광범위한 제품 간에 최적화된 감지및 응답을 제공합니다. XDR은 기업의 기존 보안 도구 및 제품 전반에 유연성과 통합을 제공합니다.
Microsoft 365 팔로우