액센추어의 AWS 보안프레임워크

 뉴딜코리아 홈페이지 

액센추어의 AWS 보안프레임워크

- 싱가포르통화청(Monetary Authority of Singapore) 지침 -

싱가포르 통화청은 공용 클라우드 이용을 도입하기 위하여 기존의 장애물을 제거하였습니다.

클라우드 도입을 돕기 위하여, 싱가포르 은행연합회는 아웃소싱 및 클라우드 도입에 관한 싱가포르 통화청의 지침을 충족할 수 있도록 고안된 몇 가지 주요 제어를 식별해 내었습니다.

AWS 플랫폼에서 제공되는 서비스 구성이 매우 많다는 점을 고려하면, 많은 기관들은 AWS 구현이 ABS 주요 제어 지침을 충족하는지에 관하여 의문을 가질 수 있습니다.

액센추어의 AWS 보안 프레임워크와 그것을 싱가포르 통화청 지침과 연계시키는 방법은 ABS 주요 제어를 다루면서 MAS 요구사항을 준수하기 위하여 AWS 서비스를 설계 및 구성하는 규범적 방법을 제공함으로써 그러한 불확실성을 제거합니다.

액센추어의 AWS 보안 프레임워크는 올바른 AWS 서비스 및 플랫폼을 구현하기 위한 간단한 규범적 방법을 설명하며, 이를 통해 어떤 기관이라도 아웃소싱 및 클라우드 도입에 있어 싱가포르 통화청의 요건을 충족할 수 있을 것입니다.

ABS 가 기술한 각각의 주요 제어에 대하여, 액센추어의 AWS 프레임워크는 적용될 수 있는 AWS 서비스와 ABS 가 나열한 주요 제어를 충족하기 위해서 어떻게 배치되어야 하는지를 개괄합니다.

본 프레임워크는 금융서비스 부문에게 기관 내 모든 작업을 지원하는 안전하고 복원력 있는 AWS 플랫폼을 구축함으로써, 클라우드 기반 개발 및 보안 기술의 도입하면서도 데이터를 안전하게 관리할 수 있다는 신뢰를 제공합니다.

첨부파일 :
- 액센추어의 AWS 보안프레임워크 : 싱가포르통화청(Monetary Authority of Singapore) 지침
- top 10 best practices for aws security

개인정보 영향평가 수행 안내서 (2018. 04)

 뉴딜코리아 홈페이지 

개인정보 영향평가 수행 안내서

(2018. 04)

◈ 개인정보 영향평가 개요

1. 개념

○ 개인정보 영향평가 (이하 영향평가 )

- 개인정보파일을 운용하는 새로운 정보시스템의 도입이나 기존에 운영 중인 개인정보 처리시스템의 중대한 변경 시

- 시스템의 구축?운영?변경 등이 개인정보에 미치는 영향(impact)을 사전에 조사/예측/검토하여 개선방안을 도출하는 체계적인 절차

2. 목적 및 필요성
개인정보 처리가 수반되는 사업 추진시 해당 사업이 개인정보에 미치는 영향을 사전에 분석하고 이에 대한 개선방안을 수립하여 개인정보 침해사고를 사전에 예방


3. 평가 대상
일정규모 이상의 개인정보를 전자적으로 처리하는 개인정보파일을 구축운영 또는 변경하려는 공공기관은  개인정보 보호법 이하 ( “법”이라 한다 제33조 및 ?개인정보 보호법 시행령? (이하 “영”이라 한다) 제35조에 근거하여 영향평가를 수행

- (5만명 조건) 5만명 이상의 정보주체의 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일

- (50만명 조건)해당 공공기관의 내부 또는 외부의 다른 개인정보파일과 연계하려는 경우로서, 연계 결과 정보주체의 수가 50만 명 이상인 개인정보파일

- (100만명 조건) 100만 명 이상의 정보주체 수를 포함하고 있는 개인정보파일
※ 현시점 기준으로 영향평가 대상은 아니나 가까운 시점(1년 이내)에 정보주체의 수가 기준을 초과할 것이 확실한 경우 영향평가를 수행할 것을 권고

- (변경 시) 영제35조에 근거하여 영향평가를 실시한 기관이 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우, 변경된 부분에 대해서는 영향평가를 실시
※ 법령상 규정된 대상시스템이 아니더라도 대량의 개인정보나 민감한 개인정보를 수집 이용하는 기관은 개인정보 유출 및 오 남용으로 인한 사회적 피해를 막기 위해 영향평가 수행 가능


4. 영향평가 평가 시기

1) 시스템을 신규 구축 또는 기존 시스템을 변경하는 경우
개인정보처리시스템을 신규로 구축 하거나 기존 시스템을 변경하려는 기관은 사업계획 단계에서 영향평가 의무대상 여부를 파악하여 예산을 확보한 후 대상 시스템의 설계 완료 전에 영향평가를 수행해야 함.

또한 영향평가 결과는 시스템 설계개발 시 반영해야 함(｢개인정보 영향평가에 관한 고시｣ 제9조의2)

2) 기 구축되어 운영 중인 시스템의 경우

○ 영향평가 유예기간은 ’16 9 , 년 월에 종료되었으므로 영향평가 의무 대상임에도 아직까지 영향평가를 수행하지 않은 경우 빠른 시일 내에 영향평가 수행 필요

○ 개인정보처리시스템을 기 구축 운영 중 아래의 경우 추가적으로 영향평가 수행 가능
- 수집 이용 및 관리상에 중대한 침해위험의 발생이 우려되는 경우
- 전반적인 개인정보 보호체계를 점검하여 개선하기 위한 경우


5. 평가 수행 주체
공공기관은 행정안전부장관이 지정한 영향평가기관에 평가를 의뢰하여 수행
※ 영향평가기관에 대한 정보는 개인정보보호 종합포털( www.privacy.go.kr )에서 확인 가능


6. 평가 수행 체계
영향평가는 행정안전부장관이 지정한 영향평가기관에 의뢰하여 영향평가를 수행하고 그 결과를 사업 완료 후 개월 이내에 행정안전부장관에게 제출 2 *

- 행정안전부장관은 개인정보보호위원회의 심의 의결을 거쳐 해당 사업에 대한 의견 제시 가능 ᛫
* 개인정보보호 종합지원시스템( http://intra.privacy.go.kr )에 등록

☞ 추가 내용은 첨부파일을 참고 바랍니다.

     ( http://cafe.naver.com/rapid7/3175 )

GDPR 개인정보보호 최적화 설계의 7가지 기본원칙

 뉴딜코리아 홈페이지 

2018년 도입될 유럽연합의 일반정보 보호규정(General Data Protection Regulation, GDPR)에서는 개인정보보호 최적화 설계(또는 프라이버시 중심 디자인, privacy by design)를 통해 예방(prevention)과 경계(vigilance) 그리고 회복력(resilience)을 중심으로 개인정보를 보호하겠다고 함.


■ 개인정보보호 최적화 설계의 7가지 기본원칙은 아래와 같음

1) 사후 대책보다 사전 대비를 중심으로 데이터를 관리해야 함.

2) 개인정보가 자동적으로 보호되도록 개인정보보호를 기본설정에 포함해야 함.

3) 개인정보보호를 시스템에 추가적인 요소로 여기지 않고, 설계 단계부터 개인정보보호를 빅데이터 시스템에 포함해야 함.

4) 개인정보보호 최적화 설계(privacy by design)에서 개인정보보호(privacy)의 보안(security)은 중요함.

5) 사용되는 모든 데이터는 안전하게 보관되어야 하며, 필요하지 않은 데이터는 파괴 되어야 함(Data lifecycle security).

6) 기업은 투명성(transparency)과 가시성(visibility)을 유지하여야 함:
  - 데이터의 주인은 사용자이므로 이해당사자들에게 기업의 운영과 기술에 대해 투명하게 공개하여야함.

7) 사용자 중심(user-centric) 운영:
  - 기업은 개인정보보호에 대한 적절한 공지 및 사용자 친화적인 서비스를 제공해야 함.


☞ 그러나 개인정보보호 최적화 설계(privacy by design)의 기본 원칙은 여전히 모호하고 많은 의문점이 있다는 비판이 있음.


○ 개인정보보호 최적화 설계란 : 설계단계에서 제조사가 제품의 잠재적 프라이버시 위험성을 평가하고 제품 개발 및 제조단계에서 이와 관련된 문제를 수정하는 방식을 뜻함.

○ 이 개념은 GDPR의 주요 컴플라이언스 방침 중 하나이며, 2018년부터 새로운 제품, 기기 및 비즈니스 과정에 도입될 예정임.

☎ 참고자료 : http://cafe.naver.com/rapid7/3166

GDPR 교육 및 컨설팅 | ISMS 인증 컨설팅
(070-7867-3721, ismsbok@gmail.com)

고효율 무선랜(HEW)표준화 IEEE802.11a 현황

 뉴딜코리아 홈페이지

IEEE802.11a

고효율 무선랜(HEW, High Efficiency WLAN)표준화 현황

1. 머리말

IEEE 802 표준화 회의가 지난 3월 4일부터 10일까지 미국 로즈몬트에서 개최되었다.

IEEE 802에서 가장 규모가 크고 경쟁이 치열한 분야는 802.11ax 고효율 무선랜(HEW, High Efficiency WLAN)으로 현재 802.11 TGax에서 표준화가 진행되고 있다.

본고에서는 이번 3월회의 진행 상황을 포함한 IEEE 802에서의 802.11ax 고효율 무선랜 기술 표준화 동향을 살편본단.


2. IEEE 802.11ax 고효율 무선랜 기술 표준화 동향

현재 수많은 스마트 기기들이 WLAN 기술을 탑재하고 있으며, WLAN 기술의 주류를 이루던 802.11n 표준 기반의 WLAN 제품들이 점차 그 후속인 802.11ac 표준 기반 제품들에 의해 빠르게 대체되고 있는 추세이다.

802.11ac는 5GHz 주파수 대역에서 최대 160MHz 대역폭을 사용하여 전송할 수 있으며, 다운링크 MU-MIMO(Multi-User Multiple Input, Multiple Output)를 지원하고 256 QAM(Quadrature Amplitude Modulation)을 지원하여 최대 6.9Gbps 스루풋을 제공한다.

IEEE802.11 TGax에서는 802.11ac의 후속 표준인 802.11ax 고효율 무선랜 표준을 개발하고 있다.

기존 WLAN 기술은 밀집된 환경에서 성능 저하 문제가 심각하기 때문에 802.11ax는 밀집 환경에서의 스펙트럼 사용 효율을 올리고 사용자가 실제로 체감하는 성능을 향상하는 것을 주 목표로 하고 있다.

2013년 3월 HEW 스터디 그룹이 생성되어 표준화 논의가 시작되었으며, 2014년 5월부터 TGax 태스크 그룹으로 전환되어 본격적으로 802.11ax 표준 개발이 시작되었다.

TGax에서 기술적인 논의는 각 애드혹 그룹 회의를 통해 이루어지며, 2016년 1월 회의까지 802.11ax 규격의 주요기술 항목을 정의하는 스펙 프레임워크 문서 개발이 진행되었고, 이를 기반으로 2016년 3월 802.11ax 드래프트 0.1이 최초로 공개되었다.

2016년 11월 드래프트 0.1의 내용을 보완한 802.11ax 드래프트 1.0이 승인되고 첫번째 워킹 그룹 Letter Ballot이 시작되었다.

첫 번째 워킹 그룹 Letter Ballot은 57.77%의 찬성을 얻어냈으나 75% 찬성률을 넘지 못하여 Letter Ballot이 실패하였으며, Letter Ballot 기간 동안 접수된 코멘트들에 대한 해결절차를 2017년 9월 회의에서 완료하여 802.11ax 드래프트 2.0이 승인되었다.

802.11ax 드래프트 2.0 공개 후 두번째 워킹 그룹 Letter Ballot이 진행되었으며 두번째 Letter Ballot도 62.84%의 찬성을 얻어냈으나 75% 찬성률을 넘지 못하여 Letter Ballot이 또다시 실패하였다.

지난 2017년 11월 회의부터 드래프트 2.0에 대한 코멘트 해결 절차가 시작되었으며, 2018년 5월까지 모든 코멘트에 대한 해결 절차를 마치고 이를 반영한 802.11ax 드래프트 3.0을 승인하는 것을 목표로 하고 있다.

802.11ax 표준화 일정이 계속 지연되어 2017년 11월 회의에서는 타임라인을 늦추자는 논의가 이루어졌으며, 원래 일정보다 최종 표준 승인 시점을 5개월 늦춰 802.11ax 표준 최종 승인목표가 2019년 12월로 연기되었다.

[가장 최근에 변경된 IEEE 802.11ax 타임라인 요약]

802.11ax는 밀집 환경 시나리오에서 단말당 최소 4배의 평균 스루풋 향상을 목표로 하고 있으며, 이를 위해 업링크 MU-MIMO 기술을 규격에 추가하고, 업링크 및 다운링크 OFDMA (Orthogonal Frequency Division Multiple Access) 기술을 도입하였다.

1024 QAM을 추가하여 스루풋을 더욱 향상시켰으며, 시스템 레벨의 성능을 향상시키고 매체 리소스 활용도를 높이기 위한 Spatial Reuse 규격을 개발 중이다.


3. IEEE 802 3월 회의에서의 802.11ax 표준화 진행 상황

2017년 10월 초부터 11월 초까지 진행된 두번째 워킹 그룹 Letter Ballot 기간 동안 총 3,350개의 코멘트가 접수되었다.

지난 2017년 11월 회의부터는 드래프트 2.0 문서에 대한 코멘트 해결 위주로 회의가 진행되었으며, 이번 2018년 3월 회의도 코멘트 해결 중심으로 회의가 진행되었다.

2018년 5월 802.11ax 드래프트 3.0 승인 목표 일정을 맞추기 위해 IEEE 802.11 본 회의가 열리기 직전에 TGax 사전 미팅이 3일 동안 열렸으며, 사전 미팅 및 802.11 3월 회의 동안 총 800개 가량의 기술적 코멘트들이 해결되었다.

3월 회의 주요 논의 및 채택된 사항을 각 분야별 및 업체별로 요약하면 다음과 같다.

■ PHY 분야

○ 제안업체 : 마벨
  . STBC(Space-Time Block Coding)와 관련된 PPE(PHY Packet
  . Extension) Thresholds 필드 관련 수정 사항
  . Packet Extension 관련 추가 텍스트
  . PHY Data 필드 관련 수정 사항
  . Preamble puncturing 관련 추가 텍스트

○ 제안업체 : 브로드컴
  . 1024 QAM 관련 수정된 텍스트

○ 제안업체 : 퀄컴
  . 802.11ax 규격의 PHY introduction 절에 대한 수정된 텍스트
  . 서브캐리어 및 리소스 할당 관련 수정 사항

○ 제안업체 : 인텔
  . PHY 수신 절차 관련 수정된 텍스트

○ 제안업체 : 화웨이
  . 서브캐리어 및 리소스 할당 관련 코멘트 해결
  . HE-SIG-A 필드 관련 수정 사항 및 HE MU PPDU(High Efficiency Multi-User PPDU)에서의 리소스 표시
및 사용자 식별 관련 수정 사항

○ 제안업체 : 미디어텍
  . Spectral mask의 대역폭 관련 수정 문구

○ 제안업체 : 삼성
  . 802.11ax PPDU(PHY Protocol Data Unit) 포맷 관련 수정된 텍스트
  . HE-SIG-B 필드 인코딩 예를 포함한 새로운 Annex에 대한 텍스트

○ 제안업체 : 뉴라컴
  .  HE-SIG-B content channel 관련 수정된 텍스트

■ MAC, MU(Multi-User), SR(Spatial Reuse) 분야

○ 제안업체 : 마벨
  . Segmented feedback을 생성하기 위한 규칙에 대한 수정된 텍스트

○ 제안업체 : 브로드컴
  . Poll CTS 절차, UL MU(Uplink Multi-User) 오퍼레이션을 위한 AP 액세스 절차 등에 대한 수정된 텍스트
  . HE 사운딩 프로토콜 절차에 대한 수정된 텍스트
  . 버퍼 상태 피드백 오퍼레이션 관련 수정 사항

○ 제안업체 : 퀄컴
  . Block Acknowledgement 절차 관련 수정된 텍스트
  . TWT(Target Wake Time) Information 프레임 등을 포함한 TWT 관련 수정된 텍스트
  . HE Capabilities element, Trigger 프레임 포맷 등에 대한 수정 사항
  . UL MU 오퍼레이션 관련 수정 사항
  . PPDU 포맷 선택 관련 수정 사항
  . VHT/HE NDP Announcement 프레임 포맷 관련 수정 사항

○ 제안업체 : 인텔
  . NDP(Null Data Packet) feedback report 절차 관련 수정 사항
  . OMI(Operating Mode Indication) 관련 수정된 텍스트
  . Basic HE BSS(Basic Service Set) 기능 관련 수정된 텍스트
  . 6GHz 밴드에서의 동작을 위한 텍스트 제안
  . 2개의 NAV(Network Allocation Vector) 동작 관련 수정 사항

○ 제안업체 : 화웨이
  . MU-MIMO를 위한 수정된 RD(Reverse Direction) 프로토콜
  . UORA(Uplink OFDMA-based Random Access) 절차에 대한 수정된 텍스트

○ 제안업체 : 미디어텍
  . HE SST(Subchannel Selective Transmission) 오퍼레이션 제안
  . Secondary Channel에서의 Spatial Reuse 오퍼레이션 제안
  . TXOP(Transmission Opportunity) duration 기반의 RTS/CTS에 대한 수정된 텍스트

○ 제안업체 : ETRI
  . MLME(MAC Sublayer Management Entity) SAP(Service Access Point) 인터페이스에 대한 수정된 텍스트

2018년 5월에 코멘트 해결 절차를 완료하기 위하여 5월 바르샤바에서 열리는 IEEE 802.11 정기회의 직전에 프랑스 렌(Rennes)에서 TGax 사전 미팅을 3일 동안 하자는 제안이 나왔으며 이에 대한 승인이 이루어졌다.


4. 맺음말

향후 802.11ax 표준화도 802.11ax 드래프트 2.0에 대한 코멘트 해결 위주로 진행될 것으로 예상되며, 2018년 5월에 드래프트 3.0이 승인될 즈음에는 802.11ax를 구현한 더 많은 제품들이 시장에 본격적으로 출시될 것으로 예상된다.

802.11n, 802.11ac 표준화 사례를 비추어 보면 드래프트 3.0 이후에는 새로운 기술을 표준에 반영하는 것이 극히 어렵기 때문에, 코멘트 해결 절차를 이용한 틈새 기술 반영 및 기 반영 기술에 대한 방어 위주의 표준화 전략이 적합할 것으로 생각된다.

첨부파일 : 고효율 무선랜(HEW)표준화 IEEE802.11a 현황

ISMS 인증컨설팅 | 취약점 진단 및 모의 침투 | 보안솔루션 공급
(070-7867-3721, ismsbok@gmail.com)

오피스 문서 파일에 사용된 플래시 익스플로잇 분석 (CVE-2018-4878)

 뉴딜코리아 홈페이지 

최근 사이버 공격에 사용된 플래시 익스플로잇 분석

 (CVE-2018-4878)

○ 오피스 문서 파일

○ 엑셀에 삽입한 악성 플래시 파일

○ 주요 유포 경로 : 이메일, 메신저, SNS 등

○익스플로잇 분석 :
  . 흐름도, 로더, 디컴파일, 디코드 함수 (Decript?), 플래시 파일
  . 취약점 원인 (Use After Free)
  . Force Garbage Collect
  . DRMOperationCompleteListener Class Object 재할당
  . Make Dangling Pointer (drm_obj2)
  . Overlap ByteArray Class Object
  . ByteArray
  . Overlapped Object Memory
  . Object Life Cycle
  . Make Fake m_buffer Object
  . Full r/w memory primitive
  . Bypass ByteArray security cookie mitigation
  . Find window function address
  . How to call shellcode
  . How to call shellcode (HackingTeam 플래시 익스플로잇 방식 이용(Back to the 2015년))
  . How to call shellcode (Function Object의 apply 호출 주소 변조)

○ 주요벤더 대응 :
  . Adobe : 과거 플래시 취약점 악용이 증가할 당시 수동에서 자동 업데이트로 정책 변경
  . Microsoft : 제한된 보기 (Protected View)
  . 브라우저 벤더 : 플래시 로딩 알림창

○ 참고 :
  . 2020년 말에 Flash 지원 중단 발표 (Flash Player "End of life" 2020)
  . 멀티미디어 기술변화 : 플래시 → HTML5

☞ 상세 내용은 첨부파일을 참고 하세요 ..!

ISMS 인증컨설팅 | 취약점 진단 및 모의 침투 | 보안솔루션 공급
(070-7867-3721, ismsbok@gmail.com)

 

EDR (EndPoint Detection & Response, 엔드포인트 탐지 및 대응)

 뉴딜코리아 홈페이지

▣ EDR (EndPoint Detection & Response, 엔드포인트 탐지 및 대응)

◇ 공격 탐지-대응-차단 최전선
◇ 엔드포인트에서의 즉각적인 탐지/차단 대응 만이 악성코드로 부터 내부의 정보를 보호할 수 있음
◇ 알려 지지 않은 공격방법 및 신/변종 악성코드에 대한 대응이 절심함


1. EDR(EndPoint Detection & Response) 개요

○ EDR은 엔드포인트에서 행위기반으로 시스템을 탐지하고 대응하는 기술

○ 엔드 포인트 안티 바이러스 및 엔드 포인트 관리 솔루션의 요소를 결합하여 네트워크 장치를 관통하는 악성 소프트웨어를 탐지, 조사 및 제거
 - 악성코드에 감염되어 사용자PC에서 일어 날 수 있는 악성 행위를 실시간 탐지 및 차단으로 안전한 환경구성
 - EDR 도구를 사용하여 엔드 포인트 침투를 신속하게 완화하고 데이터 손실, 도난 또는 시스템 오류를 방지

○ User System 지속적인 가시성 확보 및 검증
 - EDR 도구는 각 특정 장치의 상태를 포함하여 시스템의 전반적인 상태를 보다 잘 보여줌

○ EDR은 전통적인 안티바이러스 시그니처로 차단하지 못하는, 알려지지 않은 위협을 분석하거나 탐지할 수 있는 차세대 엔드포인트 보안 기술

○ 랜섬웨어와 지능형지속공격(APT) 등 고도화된 보안위협에 효과적으로 대응할 수 있는 강점


2. 주요기능

○ 분석 및 이상 탐지
  - 행위기반 악성코드 탐지로 알려지지 않은 악성코드에 대해 신속 대응이 가능
  - ZERO-Day 공격에 효과적으로, 원천적으로 대응 가능
  - 네트워크를 우회해서 유입되는 악성코드에 대한 실시간 대응

○ 악성 코드 제거
○ 데이터 및 시스템에서 멀웨어 검색

○ 기기가 손상된 경우 관리자에게 경고 기능


3. 가트너 (Gartner)  Research

- EDR이란 엔드포인트 레벨에서 지속적인 모니터링과 대응을 제공하는 보안 솔루션으로 정의

○ 예측 (Predict)
  - 기본보안태세(Baseline Security Posture)
  - 위협예측(Anticipate threats)
  - 위험평가(Risk Assessment)

○ 탐지(Detect)
  - 사고탐지(Detect Incidents)
  - 사건포함(Contain Incidents)
  - 위험확인 및 우선순위 지정(Confirm and Prioritize Risk)

○ 방어 (Prevent)
  - 시스템강화(Harden System)
  - 시스템 격리(Isolate System)
  - 공격방지(Prevent Attacks)

○ 대응 (Respond)
  - 치료(Remediate)
  - Design Policy change
  - 사건조사(Investigate incidents)


4. EDR(EndPoint Detection & Response) 운영 Flow

○ EDR은 미묘하지만 근본적인 방법으로 EPP 보호 모델과 다르며, 악의적 인 소프트웨어로 나타나는 방식이 아닌, 자신이하는 일에 따라 위협을 탐지, 식별 및 처리하는 고급 보안 계층을 추가합니다.

○ EDR 솔루션은 일반적으로 특정 엔드 포인트 활동 및 이벤트를 기록하도록 설계되며 엔드 포인트 또는 서버의 중앙에 로컬로 저장됩니다.

○ 그런 다음 이러한 솔루션은 이러한 이벤트 데이터베이스를 검색하여 위반에 대한 지표를 식별합니다.

○ 이는 공개적으로 사용 가능한 연구, 커뮤니티 기고 및 벤더 연구소를 비롯하여 알려진 IOC (Indication Indicator) 또는 고급 분석을 통해 위협 정보를 적용하는 등 다양한 방법으로 달성 할 수 있습니다.

○ 악의적 인 IP 주소, URL 및 파일과 같은 단순한 개념에서 공격자가 목표를 달성하기 위해 사용하는 방법과 같은 공통 개념과 같은 잠재적 인 위험 활동을 표시합니다.

○ 일부 EDR 솔루션은 행동 분석 및 기계 학습과 같은 기타 고급 기술을 적용하여 위험을 식별합니다.
○ 따라서 EPP 솔루션과 EDR 솔루션의 주요 차이점은 EPP 솔루션이 자동화 된 엔드 포인트에서의 위협을 차단하는 정적 탐지 방법에 중점을 두는 반면 EDR 솔루션은 여러 IOC를 활용하여 고급 공격 및 위협 요소를 식별하고자한다는 것입니다.

○ 많은 종단점 (서버 포함)에서 정보를 수집하는 EDR 솔루션은 가능성이있는 잠재적 위협을 식별하는 데 도움이되는 분석을 적용합니다.(조직의 모든 합법적 인 트래픽, 엔드 포인트 이벤트 및 사용자 활동 중에서 숨어있을 수 있습니다.)

○ 일반적으로 엔드 포인트 자체에 대한 분석은 수행되지 않지만 엔드 포인트 데이터는 서버에 대한 추가 분석을 위해 업로드됩니다.

○ 그런 다음 EDR 솔루션은 데이터 과학 모델 및 기계 학습을 포함하는 자체 위협 탐지 방법을 적용하여 의심스러운 잠재적 인 악의적 인 엔드 포인트 활동을 매우 정확하게 탐지합니다.

○ 일반적으로 이시점에서 EDR 솔루션은 예상되는 "위험 수치"를 할당하여 보안 분석가가 이러한 위협을 우선적으로 조사하고 대응할 수 있도록 도와줍니다.

■ 참고 : EPP (Endpoint Protection Platform)>> EPP는 기업 보안 플랫폼으로 PC, 스마트폰, 태블릿 등과 같이 기업의 업무 환경에서 사용하는 엔드포인트의 디바이스를 다양한 위협으로 보호하는 솔루션들을 의미한다.

>> 가트너는 엔터프라이즈 EPP는

   - 안티멀웨어(Anti-malware)

   - 개인방화벽(Personal firewall)

   - 포트&디바이스 컨트롤(Port and devicecontrol)

   - 취약점 관리(Vulnerability assessment)

   - 애플리케이션 컨트롤 & 애플리케이션 샌드박싱(Application control and applicationsandboxing)

   - EMM(Enterprise mobility management)

   - 메모리 보호(Memory protection)

   - EDR(Endpoint detection and response)

   - 데이터 보호(Data protection such as full disk and file encryption)

   - DLP (Endpoint data loss prevention) 등을 포함해야 한다고 정의하고 있다.

5. EDR(EndPoint Detection & Response) 솔루션의 핵심 요소

▷ They enable detection
▷ They cross-correlate data across the whole environment
▷ They combine whitelisting and blacklisting with behavioral analysis
▷ They are able to observe endpoint activity without interfering
▷ They empower IR and forensics investigation
▷ They enable effective cleanup and remediation
▷ They work with your antivirus

6. 기타 참고 자료

○ 엔드포인트 상의 커널 레벨까지 모니터링 해야 하기 때문에 엔드포인트의 안정성이 우선시 돼야 한다
○ 기존 백신이나 네트워크 APT 보안 툴로는 부족했던 엔드포인트 보안을 강화할 수 있어야 한다
○ EDR 설치 후 네트워크나 USB 등의 모든 경로를 통해 새로 유입되는 파일을 모두 탐지할 수 있어야 한다
○ 알려지지 않은 위협에도 확실하게 대응
   - 변종이 많은 악성위협에 대해 즉각적 대응이 가능해야 한다
   - 신종 랜섬웨어와 같은 지능형 공격의 사전차단

○ 다양한 탐지 기술(호스트 IPS, 메모리 취약점, 행위분석, 머신러닝, 평판 등)을 통한 이벤트를 생성해야 하며, 추가적인 분석 및 대응, 엔드포인트단 설치에 따른 제품 간 충돌로 인한 시스템 문제를 고려해 단일 에이전트에서 포괄적인 기능을 제공해야 한다

EDR / CDR 보안솔루션 공급 | 취약점 진단 및 모의 침투

( 070-7867-3721, ismsbok@gmail.com )