EDR은 "엔드 포인트 감지 및 응답"에 대한 약어이며 일본어는 "종말점에서의 탐지 및 응답"을 의미합니다. 이는 엔드 포인트 (컴퓨터, 태블릿 및 스마트 폰과 같은 네트워크에 연결된 개별 장치)에서 비정상적인 활동 및 공격을 감지하고 빠르게 응답하는 보안 솔루션을 나타냅니다. 주요 장점은 엔드 포인트의 운영 및 동작을 모니터링하고 분석하는 대신 알려지지 않은 잠재적 위협에 대응할 수 있다는 것입니다.

슬롯 나라은 실시간으로 엔드 포인트에 대한 비정상적인 작업 및 행동의 모니터링 및 위협 탐지에 중점을 둡니다. 감지 된 위협에 대해 사전 설정된 대책을 자동으로 실행할 수도 있습니다.

일반적으로 슬롯 나라은 다음 기능을 갖는 기능으로 정의됩니다 (제품 또는 서비스에 따라 다를 수 있음).

1. 모니터링 및 기록 : 응용 프로그램이 엔드 포인트 (각 장치)에 배포되고 의심스러운 행동을 위해 작업 및 작업을 실시간으로 로그 로그인합니다. 모니터링은 클라우드에있는 관리 서버와 통신을 통해 수행됩니다.
2. 분석 : 엔드 포인트 (1)에서 작동 및 동작의 로그를 분석합니다.
3. 탐지 및 탐지 : 분석 결과에서 사이버 공격으로 의심되는 동작을 찾으십시오.
4. 조사 및 식별 : 공격이 실제로 공격을 당했다고 판단되면 그 영향의 정도를 조사하고 식별 할 것입니다.
5. 수리 제안 : 시스템에 영향을 미치는 경우 수리 방법에 대한 제안을 제공 할 것입니다.

이 "로그 모니터링 및 녹음"은 EDR의 기능입니다. 로그를 분석함으로써 공격자의 측면 움직임 (시스템에 비밀리에 비밀리에 퍼지는 공격 방법에 대한 일반적인 용어)과 같은 정보가 언제 및시기를 감지 할 수 있습니다. 수평 및 수평 배포 모두에 비밀리에 퍼지는 공격 방법), C & C 서버와의 맬웨어 및 통신 및 통신에 사용 된 서버는 불법 명령을 통제하는 데 사용되었습니다. 이를 실시간으로 수행하면 맬웨어의 측면 배치 전에 캡처 할 수 있습니다. 최근 XDR은 시장에서 주목을 받고 있으며, 이는 EDR의 기능과 범위를 더욱 확장했으며 엔드 포인트 이외의 로그를 감지했습니다 (아래 참조).

~ SCSK ~

엔드 포인트 유형 사이버 공격 대책 Cybereason

EDR이 주목을받는 주된 이유는 사이버 공격의 위협 증가, 클라우드 및 기타 서비스의 확산으로 인한 전통적인 보안 솔루션의 한계 및 원격 작업의 확산이 포함됩니다.

(1) 사이버 공격이 더욱 폭력적이되고 새로운 방법으로 인한 피해

사이버 공격의 위협은 최근 몇 년 동안 증가하고 있습니다. 경제 무역 및 산업부의 조사에 따르면, 무단 액세스 조치의 수, 특히 타겟팅 공격 및 랜섬웨어와 같은 고급 공격이 증가했으며 2019 년 (REIWA 1)에 따르면 인정 된 사례의 수는 전년도의 두 배나 높았습니다.

(출처) 경제 무역 산업부
"액세스 제어 기능과 관련된 무단 액세스 조치 및 기술의 연구 및 개발 상태 (2022 년 4 월 7 일)"

무단 액세스 수의 증가는 전통적인 방어가 이러한 공격을 완전히 예방하기가 어렵다는 것을 의미합니다. 사이버 공격 방법은 최근 몇 년 동안 차례로 변화 해 왔으며 특히 영리한 감염 방법으로 인해 큰 손상이 발생했습니다.

(2) 보안 조치의 변경 | 제로 트러스트 모델의 스프레드

"경계 모델"은 전통적인 보안 시스템의 주류였습니다. 경계 모델은 외부 네트워크 (인터넷)와 내부 네트워크 (인터넷 등) 사이의 세그먼트 (DMZ : Demilitarized Zone, 방화벽 등으로 분리 된 버퍼 영역)를 재배치하여 보안을 향상시키는 방법입니다.

이 기존 보안 조치는 네트워크 내부가 안전하고 시스템과 데이터가 네트워크 내부에 상주한다는 전제를 기반으로 구축되었습니다. 그러나 위에서 언급 한 바와 같이, 사이버 공격은 최근 몇 년 동안 더욱 정교 해졌으며,이 "신뢰할 수있는 내부 네트워크 및 격리 영역"이 위험에 처할 가능성도 증가하고 있습니다. 실제로, 맬웨어 기술은 더욱 정교 해졌으며, 그들이 문해력이 높다고 말하는 회사와 직원이 아무리 조심해도 속이는 경우가 많았습니다.

또한, 모바일 장치 및 구름을 사용하는 일반 대중의 맥락에서, 엔드 포인트는 내부 네트워크를 통과하지 않고 인터넷에 직접 연결되며, DMZ의 전통적인 "전술"은 의미가 없습니다. 이러한 상황을 감안할 때 "제로 트러스트 모델"이 인기를 얻었습니다. EDR은 제로 트러스트 개념을 기반으로 보안 모델이라고 할 수 있습니다.

(3) 원격 작업 홍보 (원격 작업)

최근 몇 년 동안 새로운 코로나 바이러스의 영향으로 인해 원격 작업 (원격 작업, 집에서 일하는)이 빠르게 인기를 얻었습니다. 많은 비즈니스와 조직을 통해 직원들이 원격으로 일할 수 있습니다. 그러나 원격 작업 환경에서는 엔드 포인트의 보안 위험이 증가합니다. 원격 작업이 확산되면서 회사와 조직은 이전 보안 자세에서 사고 방식을 근본적으로 바꿔야합니다.

사무실의 네트워크와 비교하여 원격 작업 환경은 개별 직원 네트워크 및 장치를 사용하여 위협을 방지하기에 충분하지 않은 기존 주변 보안과 같은 보안 취약점을 증가시킵니다. 또한 직원은 외부 네트워크 또는 공개 Wi-Fi에 연결할 수 있으며 내부 네트워크를 통과하지 않고 인터넷에 직접 연결되는 상황은 잠재적 인 EDR 요구를 증가시킬 수 있습니다. 이를 통해 공격자는 종말점에 액세스하고 데이터 도난 기회를 제공 할 수 있습니다.

보안 위험을 최소화하고 원격 작업 환경에서 민감한 정보 및 시스템의 안전을 보호하려면 제로 트러스트 개념을 기반으로 한 엔드 포인트 보안 시스템이 필요합니다.

위에서 언급 한 상황과 배경으로 인해 회사와 조직은 EDR을 도입하여 보안 성과를 개선해야합니다. 변화하는 보안 조치와 제로 트러스트 아이디어는 EDR의 관심을 높이고 있습니다.

EDR은 도입 된 전통적인 보안 제품의 다른 접근 방식과 개념에서 태어난 보안 솔루션입니다. 여기서 우리는 EDR과 EPP의 차이점을 설명 할 것입니다.

EDR과 EPP의 차이

EDR 이전의 보안 제품은 EPP (Endpoint Protection Platform)로 표시됩니다. EPP는 방화벽, 바이러스 백신, 침입 탐지 시스템 등을 결합하여 엔드 포인트를 보호하는 모델이며 주로 "침입 방지"위협을 예방하는 데 사용되었습니다.

그러나 위에서 언급했듯이 EPP는 일반적으로 국경을 다루기위한 조치를 취하지 않습니다. 일반적으로 EPP는 알려진 위협 공격 패턴으로부터 맬웨어를 감지하고 보호합니다. 이 방법은 알려진 위협에 응답 할 수 있지만 알려지지 않은 공격 패턴은 등록되지 않기 때문에 EPP를 통해 미끄러질 수 있습니다. 물론 EPP는 매일 새로운 위협에 대한 정보를 업데이트하지만 실제로는 사이버 공격의 패턴이 훨씬 빠른 속도로 발전하고 있다고 가정하는 것이 좋습니다.

EDR과 EPP가 모두 필요합니다

하나의 보안 조치가 정상이 될 수 없습니다. 침입을 방지하는 포괄적 인 시스템으로 시스템을 보호해야하며 침입 된 경우 손상을 최소화하는 조치가 감지됩니다.

이러한 이유로 엔드 포인트 보안의 기초로 EPP와 EDR을 조합하여 사용하는 것이 좋습니다. 위에서 언급 했듯이이 두 가지는 다른 역할과 개념을 가지고 있으므로 결합하면 보안 위험을 줄이고 고급 공격을 처리 할 가능성이 높아집니다.

EDR 소개에서 얻을 수있는 이점을 다시 한 번 요약하겠습니다.

[혜택 1] 조기 위협 탐지 및 빠른 응답 가능

슬롯 나라은 비정상적인 행동과 엔드 포인트에 대한 공격을 실시간으로 감지하여 빠른 응답을 허용합니다. 이를 통해 공격을 조기에 감지하고 손상을 최소화 할 수 있습니다.

[혜택 2] 고급 위협 대책이 가능합니다

EDR은 알려진 위협과 알려지지 않은 위협을 감지합니다. 전통적인 보안 제품에 대한 고급 위협 예방 조치를 제공하여 소프트웨어 취약점을 신속하게 식별 할 수 있습니다.

[혜택 3] 실시간 모니터링, 정보 수집 및 시각화 가능

EDR 엔드 포인트 활동을 실시간으로 모니터링하고 로깅 및 수집하여 보안 사고를 시각화 할 수 있습니다. 이를 통해 보안 팀은 엔드 포인트의 상태와 공격 세부 사항을 이해하고 효과적인 조치를 취할 수 있습니다.

[혜택 4]는 원격 환경에 적응할 수 있습니다

EDR은 원격 환경에서도 효과적입니다. 원격 엔드 포인트 모니터링 및 무단 활동 감지는 보안 위험을 최소화합니다.

우리는 슬롯 나라을 운영 할 때 발생할 수있는 도전과 문제와이를 처리하는 방법을 설명 할 것입니다.

[문제 1] 운영 부담에 대한 문제 : 공급 업체에 맡기면 궁극적으로 비용이 적게 듭니다

EDR 운영에는 전문 지식과 리소스가 필요합니다. 보안 이벤트 모니터링, 분석 및 대응에는 시간과 노력이 필요합니다.

[대항]
공급 업체 및 보안 서비스 제공 업체에 대한 아웃소싱을 고려하십시오. 전문 지식을 가진 직원이 서비스를 운영함으로써 회사 내 운영 부하를 줄일 수 있습니다.

[상태 2] 매일 엔드 포인트 보안 변경 : 일단 도입되면 끝나지 않습니다

엔드 포인트에 대한 공격과 위협은 매일 발전하고 있으며 새로운 공격 방법과 맬웨어가 서로 나타나고 있습니다. EDR은 한 번만 충분하지 않지만 정기적 인 업데이트, 패치 및 보안 정보 수집이 필요합니다.

[대응]
정기 교육 및 정보 공유 활동을 수행하여 보안 팀의 기술을 향상시키는 것이 중요합니다. 또한 보안 공급 업체로부터 최신 정보 및 취약성 정보를 수집해야합니다.

[문제 3] 레거시 시스템 지원

일부 조직에서는 레거시 시스템 (과거 기술로 구축 된 시스템)을 구현하고 통합하기가 어려울 수 있습니다.

[대항]
설치 전에 슬롯 나라 도구의 유연성과 호환성을 확인하는 것이 중요합니다. 공급 업체 지원 및 사용자 정의 옵션을 확인하고 배포를 고려하기 전에 레거시 시스템에 대한 올바른 솔루션을 찾아야합니다.

[문제 4] false positive (false positial, false positive) 및 false negative (false negative) 문제

슬롯 나라은 고급 분석을 제공하지만 합법적 인 운영 또는 시스템 동작을 위협으로 잘못 감지 할 수 있습니다 (허위 긍정적). 반대로, 잠재적 인 위협은 간과 될 수 있습니다 (잘못된 부정).

[Counterization]
슬롯 나라 튜닝 및 사용자 정의, 적절한 경고 관리, 검토 프로세스 설정 등을 통해 정확한 탐지 및 효과적인 응답이 가능합니다.

EDR 운영은 사이버 공격과 같은 보안 위협의 발전에 따라 발전하고 있습니다. 그러나 NDR (네트워크 형사 및 대응)과 XDR (확장 탐지 및 응답)을 결합하여 포괄적이고 효과적인 보안 조치를 제공함으로써 추가 위험 감소 기술을 달성 할 수 있습니다.

NDR은 네트워크에서 통신 및 트래픽을 모니터링하고 비정상적인 행동 또는 공격을 감지하는 (행동 감지)하는 기술입니다. 슬롯 나라은 엔드 포인트를 위해 특화되어 있지만 NDR은 네트워크 전체에있어 네트워크 수준과 엔드 포인트에서 위협을 감지 할 수 있습니다.

XDR은 EDR 및 NDR을 추가로 통합하여 엔드 포인트 및 네트워크뿐만 아니라 클라우드 환경, 광범위한 장비 및 다양한 데이터 소스 및 보안 솔루션에서 정보를 수집하고 분석합니다. 고급 위협을 시각화하고보다 포괄적 인 대책을 제공합니다.

~ SCSK ~

위협을 복구, 조사 및 처리 신속하게 피질 XDR

EDR, NDR 및 XDR을 최대한 활용하는 이러한 포괄적 인 조치는 엔드 포인트에서 네트워크에 이르기까지 광범위한 정보를 통합하고 분석하여 더 넓은 범위에서받은 공격의 탐지 및 빠른 응답을 허용합니다. 또한 AI 및 기계 학습을 활용함으로써 자동화 된 위협 탐지 및 대책으로 발전 할 수 있습니다.

SCSK | [구현 사례] Sky Perfect 고객 관계, EDR과 보안 조치를 제공합니다 | SCSK IT 플랫폼 네비게이터

이 기사에서는 EDR이 무엇인지, 기능 및 기능, 배경, 이점, EPP와의 차이점 및 설치할 때 조심해야 할 사항 및 처리 방법을 설명했습니다.

EDR 운영의 미래는 단일 엔드 포인트뿐만 아니라 네트워크 및 구름과 같은 다양한 환경에서 포괄적 인 보안 조치가 필요한 시대로 이동하고 있습니다. 회사와 조직은보다 정교한 보안 전략을 구축해야하며 정보 업데이트 및 구체적인 조치를 무시하여 진화하는 위협에보다 빠르고 효과적으로 대응할 수 있도록해야합니다. 알려지지 않은 공격 및 위협을 준비하려면 현재 보안 조치를 검토하고 최신 보안 시스템 소개를 고려해보십시오.

[참조 자료]
"차세대 엔드 포인트 보안의 기초 구축 및 운영"
“차세대 엔드 포인트 보안의 시스템 인프라 구성 및 운영”우즈키 요시 푸미, 오카다 하루 카

"미래를위한 사이버 공격 동향 및 보안"Sasaki Ryoichi