2018년 4월 22일 일요일

EDR (EndPoint Detection & Response, 엔드포인트 탐지 및 대응)

 뉴딜코리아 홈페이지



▣ EDR (EndPoint Detection & Response, 엔드포인트 탐지 및 대응)

◇ 공격 탐지-대응-차단 최전선
엔드포인트에서의 즉각적인 탐지/차단 대응 만이 악성코드로 부터 내부의 정보를 보호할 수 있음
알려 지지 않은 공격방법 및 신/변종 악성코드에 대한 대응이 절심함


1. EDR(EndPoint Detection & Response) 개요

○ EDR은 엔드포인트에서 행위기반으로 시스템을 탐지하고 대응하는 기술

엔드 포인트 안티 바이러스 및 엔드 포인트 관리 솔루션의 요소를 결합하여 네트워크 장치를 관통하는 악성 소프트웨어를 탐지, 조사 및 제거
 - 악성코드에 감염되어 사용자PC에서 일어 날 수 있는 악성 행위를 실시간 탐지 및 차단으로 안전한 환경구성
 - EDR 도구를 사용하여 엔드 포인트 침투를 신속하게 완화하고 데이터 손실, 도난 또는 시스템 오류를 방지

User System 지속적인 가시성 확보 및 검증
 - EDR 도구는 각 특정 장치의 상태를 포함하여 시스템의 전반적인 상태를 보다 잘 보여줌

EDR은 전통적인 안티바이러스 시그니처로 차단하지 못하는, 알려지지 않은 위협을 분석하거나 탐지할 수 있는 차세대 엔드포인트 보안 기술

랜섬웨어와 지능형지속공격(APT) 등 고도화된 보안위협에 효과적으로 대응할 수 있는 강점


2. 주요기능

분석 및 이상 탐지
  - 행위기반 악성코드 탐지로 알려지지 않은 악성코드에 대해 신속 대응이 가능
  - ZERO-Day 공격에 효과적으로, 원천적으로 대응 가능
  - 네트워크를 우회해서 유입되는 악성코드에 대한 실시간 대응

악성 코드 제거
데이터 및 시스템에서 멀웨어 검색

기기가 손상된 경우 관리자에게 경고 기능


3. 가트너 (Gartner)  Research

- EDR이란 엔드포인트 레벨에서 지속적인 모니터링과 대응을 제공하는 보안 솔루션으로 정의


예측 (Predict)
  - 기본보안태세(Baseline Security Posture)
  - 위협예측(Anticipate threats)
  - 위험평가(Risk Assessment)


탐지(Detect)
  - 사고탐지(Detect Incidents)
  - 사건포함(Contain Incidents)
  - 위험확인 및 우선순위 지정(Confirm and Prioritize Risk)


방어 (Prevent)
  - 시스템강화(Harden System)
  - 시스템 격리(Isolate System)
  - 공격방지(Prevent Attacks)

대응 (Respond)
  - 치료(Remediate)
  - Design Policy change
  - 사건조사(Investigate incidents)


4. EDR(EndPoint Detection & Response) 운영 Flow

○ EDR은 미묘하지만 근본적인 방법으로 EPP 보호 모델과 다르며, 악의적 인 소프트웨어로 나타나는 방식이 아닌, 자신이하는 일에 따라 위협을 탐지, 식별 및 처리하는 고급 보안 계층을 추가합니다.

EDR 솔루션은 일반적으로 특정 엔드 포인트 활동 및 이벤트를 기록하도록 설계되며 엔드 포인트 또는 서버의 중앙에 로컬로 저장됩니다.

그런 다음 이러한 솔루션은 이러한 이벤트 데이터베이스를 검색하여 위반에 대한 지표를 식별합니다.

이는 공개적으로 사용 가능한 연구, 커뮤니티 기고 및 벤더 연구소를 비롯하여 알려진 IOC (Indication Indicator) 또는 고급 분석을 통해 위협 정보를 적용하는 등 다양한 방법으로 달성 할 수 있습니다.

악의적 인 IP 주소, URL 및 파일과 같은 단순한 개념에서 공격자가 목표를 달성하기 위해 사용하는 방법과 같은 공통 개념과 같은 잠재적 인 위험 활동을 표시합니다.

일부 EDR 솔루션은 행동 분석 및 기계 학습과 같은 기타 고급 기술을 적용하여 위험을 식별합니다.
따라서 EPP 솔루션과 EDR 솔루션의 주요 차이점은 EPP 솔루션이 자동화 된 엔드 포인트에서의 위협을 차단하는 정적 탐지 방법에 중점을 두는 반면 EDR 솔루션은 여러 IOC를 활용하여 고급 공격 및 위협 요소를 식별하고자한다는 것입니다.

○ 많은 종단점 (서버 포함)에서 정보를 수집하는 EDR 솔루션은 가능성이있는 잠재적 위협을 식별하는 데 도움이되는 분석을 적용합니다.(조직의 모든 합법적 인 트래픽, 엔드 포인트 이벤트 및 사용자 활동 중에서 숨어있을 수 있습니다.)

○ 일반적으로 엔드 포인트 자체에 대한 분석은 수행되지 않지만 엔드 포인트 데이터는 서버에 대한 추가 분석을 위해 업로드됩니다.

○ 그런 다음 EDR 솔루션은 데이터 과학 모델 및 기계 학습을 포함하는 자체 위협 탐지 방법을 적용하여 의심스러운 잠재적 인 악의적 인 엔드 포인트 활동을 매우 정확하게 탐지합니다.

○ 일반적으로 이시점에서 EDR 솔루션은 예상되는 "위험 수치"를 할당하여 보안 분석가가 이러한 위협을 우선적으로 조사하고 대응할 수 있도록 도와줍니다.

■ 참고 : EPP (Endpoint Protection Platform)>> EPP는 기업 보안 플랫폼으로 PC, 스마트폰, 태블릿 등과 같이 기업의 업무 환경에서 사용하는 엔드포인트의 디바이스를 다양한 위협으로 보호하는 솔루션들을 의미한다.

>> 가트너는 엔터프라이즈 EPP는
   - 안티멀웨어(Anti-malware)
   - 개인방화벽(Personal firewall)
   - 포트&디바이스 컨트롤(Port and devicecontrol)
   - 취약점 관리(Vulnerability assessment)
   - 애플리케이션 컨트롤 & 애플리케이션 샌드박싱(Application control and applicationsandboxing)
   - EMM(Enterprise mobility management)
   - 메모리 보호(Memory protection)
   - EDR(Endpoint detection and response)
   - 데이터 보호(Data protection such as full disk and file encryption)
   - DLP (Endpoint data loss prevention) 등을 포함해야 한다고 정의하고 있다.


5. EDR(EndPoint Detection & Response) 솔루션의 핵심 요소

▷ They enable detection
They cross-correlate data across the whole environment
They combine whitelisting and blacklisting with behavioral analysis
They are able to observe endpoint activity without interfering
They empower IR and forensics investigation
They enable effective cleanup and remediation
They work with your antivirus


6. 기타 참고 자료

엔드포인트 상의 커널 레벨까지 모니터링 해야 하기 때문에 엔드포인트의 안정성이 우선시 돼야 한다
기존 백신이나 네트워크 APT 보안 툴로는 부족했던 엔드포인트 보안을 강화할 수 있어야 한다
EDR 설치 후 네트워크나 USB 등의 모든 경로를 통해 새로 유입되는 파일을 모두 탐지할 수 있어야 한다
알려지지 않은 위협에도 확실하게 대응
   - 변종이 많은 악성위협에 대해 즉각적 대응이 가능해야 한다
   - 신종 랜섬웨어와 같은 지능형 공격의 사전차단

다양한 탐지 기술(호스트 IPS, 메모리 취약점, 행위분석, 머신러닝, 평판 등)을 통한 이벤트를 생성해야 하며, 추가적인 분석 및 대응, 엔드포인트단 설치에 따른 제품 간 충돌로 인한 시스템 문제를 고려해 단일 에이전트에서 포괄적인 기능을 제공해야 한다

EDR / CDR 보안솔루션 공급 | 취약점 진단 및 모의 침투
( 070-7867-3721, ismsbok@gmail.com )


댓글 없음:

댓글 쓰기