더 정밀한 위협 분석으로 지능형 위협 탐지·대응 국내 환경 최적화 기술로 표적 공격 선제 및 사후 대응[데이터 망]콜로니얼 파이프 라인 런 섬 웨어, 태양 트윈 즈와 캐서야 공급망 공격 원자력 연구원·한국 항공 우주 산업(KAI)등 최근 발생한 대규모 사이버 공격은 악성 코드가 아닌 정상적인 보안 기술과 솔루션을 이용했다.정상 VPN과 윈도에서 기본적으로 제공하는 RDP, GPO, 모의 해킹 도구 코발트 스트라이크 등을 사용했다.소프트웨어 코드 사인을 훔치다, 악성 백도어가 삽입된 업데이트 파일이 배포되도록 했다.알지 않은 파일을 샌드 박스 행위 기반의 분석에서 악성 여부를 확인하는 APT방어를 우회하기 위한 것이다.재택 근무 환경에서 더욱 어려워질 위협 탐지·대응 지능적인 우회 공격을 막기 위해서 보안은 다계층 방어 전략을 통해서 공격을 어렵게 한다고 했다.그러나 너무 많은 보안 솔루션으로써 보안 조직의 업무가 폭증하고 이벤트 피로도가 쌓이면서 높은 수준의 위협에 제대로 대응하지 않았다.이런 보안 복잡성을 제거하기 위한 보안 솔루션을 통합하려 했으나 API을 지원하지 않는 제품이 많고, 뒷바라지해도 프로그램 포맷과 위협 분석 방법이 다른 통합이 쉽지 않고 단순하게 행사를 나열하는 수준에 그쳤다.파이어 아이의 조사에 따르면 마이크로 소프트 365와 구글 작업 공간을 가장한 피싱 메일이 2020년 1년간 100만건 이상 감지됐다.공격이 증가한 선제적으로 차단되지 않은 공격이 늘면서 이를 분석하고 대응해야 하는 분석가의 업무가 폭증했다.과도한 보안 이벤트에 따른 피로감이 쌓이면서 보안 분석가의 평균 오탐률은 45%에 이르게 됐다.▲ 센티널 원이 분석한 선 버스트 공급망 공격 과정과 특징 NDR, 연평균 19%성장 선방과 모니터링을 통한 위협 방어가 어렵고 네트워크 모두 패킷을 정밀 분석하고 위협을 찾아내NDR기술이 주목 받기 시작했다.가트너의 “신흥 기술:네트워크 탐지 및 대응 때문에 채택 성장 통찰력 2021″보고서는 NDR솔루션 벤더의 수익이 작년 23%성장하고 2025년까지 연평균 19%성장할 것으로 예상된다.가트너는, 태양 트윈 즈의 공급망 공격에서 NDR에 더 많은 관심이 모아졌다고 밝혔다.NDR은 네트워크 트래픽을 지속적으로 분석하고, 이상 행위를 탐지한다.기계 학습과 고급 분석, 포렌직 분석을 사용하여 이상 이벤트를 탐지하고 대응 조직에 조치 사항을 제안한다.NDR은 최근 기업·기관뿐만 아니라 OT산업 네트워크 이상 행위 탐지 및 차단의 용도로 쓰인다.이 보고서의 대표 벤더에 한국의 보안 스타트 업이다 쿼드 마이너가 2년 연속 등재되어 주목을 끌고 있다.쿼드 마이너는 고속 풀 패킷 분석에서 빠르게 위협을 탐지하고 다양한 탐지 기능으로 트래픽을 여러 방식으로 분류하고 고객이 직접 시나리오 베이스의 행위 분류와 분석할 수 있도록 한다.인스턴트의 행위를 학습하고 위협 지표를 각 시나리오에 맞추어 추가 분석할 수 있다.쿼드 마이너는 기존의 네트워크 환경을 위한 “네트워크 블랙 박스”와 클라우드 환경을 위한 “클라우드 블랙 박스”를 제공하고 IBM큐리 레이더와 연동하고 로그와 패킷을 모두 분석하고, 더 정확한 위협 탐지와 대응을 제공하는 “쿼드 엑스(QUADX)”도 소개한다.쿼드 마이너의 솔루션은 금융 회사와 서비스 기업에 공급되어 높은 성장을 이어가고 있어 일본 지역에서 눈에 보이는 성과를 거둘 것으로 기대된다.또 미주 아시아 등 글로벌 시장 공략에 적극 나선다.NDR대표 솔루션에 선정된 기업에서 다크 트레이스, 벡트라도 있다.AI을 이용하여 네트워크 패킷을 조사하는 이 솔루션은 탐지 규칙 없이 지능적으로 위협을 알아낼 수 있다.다크 트레이스는 고급 기계 학습을 이용하고 별도의 학습 없이 네트워크 위협을 분석·탐지할 수 있고 네트워크와 클라우드, 호스트, OT등 모든 환경에서 이상 행위를 분석한 탐지한다.베쿠 토라는 지도 학습·비 지도 학습 기술을 모두 쓰고 탐지 정확도를 높이고 보안 운영 센터(SOC)업무 증가를 최소화한다.”2023년 EPP·EDR통합”엔드 포인트에서는 알려지지 않은 위협 탐지와 대응 기술이다”EDR”이 폭넓게 받아들여지고 있다.EDR은 엔드 포인트에서 일어나는 행위를 정밀 분석하면서 현재 진행 중이거나 진행 중인 위협 상황을 찾아내고 공격 전반의 스토리 라인을 확인하고 감염된 시스템을 차단·격리하고 추가 공격을 방어할 수 있도록 한다.EDR은 EP의 보완 기술 및 대체 기술은 아니다.EPP는 악성 행위를 하는 툴을 선제적으로 차단하는 자동화된 보안 솔루션인 EDR은 애널리스트, 대응 조직의 추가 대응이 필요한 SOC영역의 솔루션이다.EDR은 EP처럼 자동적으로 차단하는 솔루션이 아니라 그동안 안 보였던 위협을 추가로 찾아 보안 조직의 업무가 폭증한다.그래서 EDR을 보안 관리 서비스(MDR)로 제공하는 사례가 늘었고, 가트너는 EDR을 사용하는 조직의 50%가 관리형 탐지 및 대응 기능을 사용할 것이라고 전망했다.또 2025년까지 EDR의 60%에 ID, CASB, DLP등 보안 기술의 데이터 분석까지 포함될 것으로 예상했다.주목할 점은 EDR과 EP가 통합되는 경향을 보이고 있다는 점이다.가트너는 2023년까지 EDR핵심 기능이 별도 자격증이 아니라 모든 EPP에 포함된다고 전망했다.가트너는 EDR의 핵심 기능으로서 ▲ 보안 사고 감지 ▲ 엔드 포인트 사건 조사 ▲ 보안 사고 조사 ▲ 교정 지침 제공 등을 꼽았다.단일 에이전트에서 통합 보안 제공의 클라우드 스트라이크는 EDR전문 기업으로서 시작되며 현재 EPP분야에서 남들보다 훨씬 앞선 경쟁력을 입증하고 시장을 이끌고 있다.클라우드 스트라이크”팰콘”플랫폼은 단일 에이전트에서 EPP·EDR을 통합 제공하는 엔드 포인트 자원을 최소화하고 장애를 미연에 방지한다.EDR·EPP와 위협 헌팅 서비스가 포함된 “팰콘 오버 워치”, SOC서비스를 제공하는 “팰콘 공 컴플리트”가 보안 조직과 예산이 미흡하거나 SOC를 운영하고 있지만 너무 많은 위협으로 어려움을 겪는 기업 모두 긍정적 반응을 얻고 있다.또 클라우드 스트라이크는 휴미오을 인수하고 XDR로 확대하고 있다.센티널 원은 AI
