코어텍스 XDR(EDR) 소개

코어텍스 XDR ( 팔로알토 네트웍스 )

EDR 솔루션 - 랜섬웨어 탐지와 대응을 위해 보안 사일로 문제점 해결

랜섬웨어와 사이버 스파이 행위, 파일리스 공격, 피해를 주는 데이터 유출에 이르기까지 보안 팀은 골치 아픈 여러 위협에 맞서고 있습니다.

그렇지만, 많은 보안 분석가에게 가장 큰 골칫거리는 뉴스 헤드라인을 장식하는 무수한 위험들이 아니라, 사고를 분류하고 끝없이 밀려드는 알림을 줄이려고 시도하면서 매일 반복적으로 수행해야 하는 작업입니다.

이 소개자료(코어텍스 XDR)에서는 가장 성숙한 보안 운영 센터조차도 버거워할 수 있는 쇄도하는 알림과 복잡한 조사 프로세스 등 보안 분석가들이 직면한 가장 골치 아픈 과제에 대해 설명합니다.

그런 다음 탐지와 대응을 위해 Cortex XDR™로 모든 단계의 보안 운영을 처리하는 프레임워크를 제안합니다.

무시무시한 멀웨어, 표적 공격 및 내부자 남용이 계속 확대되는 가운데 코어텍스 XDR(Cortex XDR)과 같은 도구는 위협을 제거하고 운영을 단순화하는 비장의 무기가 될 수 있습니다.

□ 신속한 알림 조사

위협을 신속하게 분류하고 분석하려면 분석가는 완벽한 조사 컨텍스트를 아주 쉽게 이용할 수 있어야 합니다.

코어텍스 XDR는 알림 분류와 사고 대응을 가속화하는 여러 주요 기능을 제공합니다.

알림 대시보드를 통해 팀은 클릭 한 번으로 모든 소스의 알림을 정렬, 필터링, 내보내기 또는 조사할 수 있습니다.

팀은 각 알림과 관련된 근본 원인, 평판, 이벤트 시퀀스를 즉시 파악하여 위협을 검증하는 데 필요한 경험을 줄이면서도 신속하고 정확한 의사 결정을 보장할 수 있습니다.

팀은 다음과 같은 분석 뷰를 사용하여 모든 이벤트를 통해 제기되는 질문에 확정적으로 답변할 수 있습니다.

• 근본 원인 분석 뷰:
특허받은 고유한 분석 엔진은 수십억 개의 이벤트를 계속 검토하여 모든 위협 뒤에 숨겨진 일련의 이벤트를 식별합니다.

공격 시퀀스를 근본 원인으로 다시 시각화하고 시퀀스의 각 요소에 대한 필수 세부 정보를 제공하여 복잡한 공격을 쉽게 이해할 수 있습니다.

분석가는 이벤트를 직접 상호 연관시키거나 전체를 파악하지 않고 네트워크나 클라우드 보안 알림을 담당하는 엔드포인트 프로세스를 즉시 확인할 수 있습니다.

• 일정 분석 뷰:
모든 공격 활동에 대한 법정 분석 타임라인을 통해 사건 조사를 위한 실행 가능한 세부 정보를 제공되므로, 분석가는 범위, 영향, 다음 단계를 단 몇 초 내에 결정할 수 있습니다.

정보성 알림은 알림 대시보드를 리스크가 낮은 이벤트로 채우지 않고도 의심스러운 동작을 식별하고 복잡한 이벤트를 쉽게 파악하도록 하여 일정 분석을 개선합니다.

코어텍스 XDR은 알림의 백로그와 어렵고 시간 소모적인 분석으로 어려움을 겪고 있는 팀을 안심시켜 줍니다.

또한 직관적이고 시각적인 컨텍스트 기반 도구를 사용하여 알림 분류와 사고 조사를 단순화합니다.

이전에는 몇 시간, 며칠 또는 몇 주가 소요되던 분석을 전문 지식 없이도 몇 초, 몇 분 만에 완료할 수 있습니다.

□ Cortex XDR의 고유한 기능은 다음과 같습니다.

o 자동 감지: 

머신 러닝을 통해 풍부한 데이터를 분석하여 멀웨어, 표적 공격, 내부자 위협을 검색합니다.

행동 분석은 매우 정확하게 위협을 자동으로 감지하는 동시에 사용자 지정 가능한 감지 규칙을 통해 보안 팀은 인간 개입이 필요한 공격자 전략과 기술을 방어할 수 있습니다.

o 조사 가속화:
보안 분석가는 모든 보안 알림 발생 시 클릭 한 번으로 근본 원인과 이벤트 일정을 파악할 수 있습니다.

컨텍스트는 네트워크, 엔드포인트 및 클라우드 활동에 적용되어 복잡한 분석을 단순화함으로써 경보 피로를 줄이고 조사를 촉진합니다.

o 적응형 대응:
Cortex XDR은 적용 지점과 긴밀하게 통합되므로 즉시 대응을 조정할 수 있습니다.

조사를 통해 확보한 지식은 향후 적용되어 사용자 지정 가능한 감지 규칙을 업데이트하여 향후 위협을 차단하거나 조사를 위해 컨텍스트를 추가할 수 있습니다.

o 간편한 클라우드 기반 구축:
클라우드 기반 앱인 Cortex XDR은 온-프레미스 감시와 대응과 관련된 관리 및 확장 과제를 해결해 줍니다.

Cortex XDR은 Cortex Data Lake에 저장된 네트워크, 엔드포인트 및 클라우드 데이터를 분석하여 행동 분석에 필요한 대량 데이터를 운영 효율적으로 저장하는 동시에 기존 보안 투자를 센서 및 실행 지점으로 활용합니다.

o 성장 기반:
Cortex XDR은 단일 제품 내에 있는 네트워크, 엔드포인트 및 클라우드 데이터를 토대로 감지 및 대응 기술을 확장해 왔으며, 단일 데이터 소스에서도 작동할 수 있습니다.

고객은 포함된 Traps 에이전트의 엔드포인트 데이터로 시작하고, 다른 EDR 도구와 효과적으로 경쟁하거나 네트워크 데이터로 시작하여 다른 NTA 도구와 경쟁할 수 있습니다.

그러면서도 요구사항이 늘어나면 다른 데이터 소스를 확장하고 통합할 수 있습니다.

o Traps 6.0:
최첨단 멀웨어와 익스프로잇 차단 기능은 이제 동작 위협 보호 기능이 추가되면서 전체 위협 범위에서 엔드포인트를 보호합니다.

 Traps는 한 번에 단일 프로세스만을 분석하고 이전 위협 지식에 의존하는 기존 안티바이러스와 달리 이제는 프로세스 전반의 악의적인 이벤트 시퀀스를 모니터링하고 감지된 공격을 종료시켜 공격 활동을 감지하여 중단시킵니다.

추가 개선 기능으로는 Linux 컨테이너용 확장된 보호, Linux ELF 멀웨어 방지, Cortex XDR용 풍부한 데이터 수집 기능이 있습니다.

Cortex XDR에는 Traps가 포함되어 있어 엔드포인트 위협을 차단하고 감지와 대응을 위해 데이터를 수집하는 단일 경량 에이전트를 제공합니다.

 또한 Traps는 엔드포인트를 완벽하게 보호할 수 있도록 별도로 구입 가능합니다.

□ 코어텍스 XDR를 사용하면 다음과 같은 이점이 있습니다.

o Traps가 포함된 Cortex XDR을 통해 지능형 멀웨어, 익스플로잇, 파일리스 공격을 방지하여 모든 엔드포인트를 완벽하게 보호합니다.

o 머신 러닝 및 분석을 사용하여 기업 고유의 은밀한 공격과 이상 징후를 자동으로 탐지할 수 있습니다.

o 알림의 근본 원인을 파악함으로써 알림 분류 및 조사를 가속화하여 모든 보안 분석가의 생산성을 높여줍니다.

o  적용 지점 전반에서 대응을 조정하여 위협을 신속하게 격리합니다.

o 클라우드 확장 및 민첩성을 통해 지원되는 WildFire, Unit 42, GSIRT의 최신 보호 기능과 연구를 통해 공격자를 능가합니다.

▶ 첨부파일 : 팔로알토 네트웍스 EDR 솔루션 (Cortex XDR) 소개

팔로알토 네트웍스 솔루션 공급 및 기술지원차세대방화벽
ERD : 코어텍스(Cortex) XDR

070-7867-3721, ismsbok@gmail.com

팔로알토 네트웍스, 2019 사이버 보안 전망 발표

 뉴딜코리아 홈페이지 

■ 팔로알토네트웍스가 꼽은 2019년 사이버보안 전망 5가지

- 비즈니스 이메일 계정 공격 사례 증가 
- 공급망이 가장 취약한 고리로 노출 
- 아태지역 내 데이터 보호 규정 강화 
- 점점 더 어려워지는 클라우드 보안 
- 사회 주요 인프라를 향한 보안 위협 증가로 꼽았다.

그 중에서도 팔로알토네트웍스는 클라우드 확산으로 인한 환경 변화로 기업이 보안 대책을 수립, 운영하는 것이 어려워지고 있다는 점에 가장 주목하고 있다.

대처법으로 팔로알토네트웍스는 통합과 자동화를 강조했다.

최원식 팔로알토네트웍스코리아 대표는 “클라우드와 디지털 전환으로 혁신의 속도가 빨라진 만큼 공격의 표면도 늘어나고 있다.

공격자들의 기술이 진화하고 공격의 비용 또한 낮아지는 상황에서 내부의 보안 인력만으로는 효과적인 방어가 점점 더 어려워질 것”이라며 “2019년에도 더 많은 고객들이 기업 전체 환경을 보호할 수 있는 통합 보안 전략과 자동화 프로세스를 갖출 수 있도록 다각적으로 지원을 지속하겠다”고 밝혔다.

■ 점점 더 어려워지는 클라우드 보안

클라우드로의 전환은 중요한 비즈니스 데이터와 시스템을 다른(서드파티) 사업자와 공유하는 것을 의미한다.

이러한 자산은 안전하게 저장되고 전송돼야 하고, 승인된 인력만이 액세스할 수 있어야 한다.

클라우드 보안은 서비스 사업자가 단독으로 책임질 수 없다.

데이터, 애플리케이션, 운영 체제, 네트워크 구성 등의 보안 문제를 해결해야 하는 기업과 책임을 공유해야만 한다.

이러한 상호 연결된 생태계는 보안을 훨씬 더 복잡하게 만들고, 특히 사이버보안 담당 인력을 관리하고 시중의 수많은 포인트 제품을 취급해야 하는 기업들의 경우 더욱 어려움을 겪게 될 것이다.

가장 어려운 점은 클라우드 사용에 따른 가시성을 확보하지 못한다는 점이다.

심지어 사내에서 누가 얼마나 어떻게 사용하는지 IT조직에서 제대로 파악하거나 통제하고 있지 못하기 때문에 컴플라이언스 관리나 각종 위험에 대처할 수 없게 된다.

복잡한 컴퓨팅 자원을 다루고, 새로운 서비스를 제공하는 등 혁신의 속도가 빨라지는 환경은 보안위협을 증가시킨다.

데브옵스(DevOps)는 개발 속도를 높일 수 있지만, 기존 IT 관리자원을 데브옵스로 전환하는 과정에서 보안을 유지하는 것이 새로운 도전과제로 떠오르고 있다.

기업에서는 프로세스와 기술, 시스템을 안전하게 보호할 수 있는 방안을 찾아야 한다.

최근 여러 사례를 통해 다양한 포인트 제품으로 구성된 전통적인 보안 시스템은 증가하는 사이버공격의 양과 정교함을 막는데 한계가 있다고 분석되고 있다.

대부분이 수동 조작에 의존하고 있어 이미 진행된 상태의 타깃 공격을 효과적으로 방어하기 어렵기 때문이다.

공격 라이프사이클의 모든 단계에서 알려진 위협과 알려지지 않은 위협을 탐지하고 방어하기 위해서는 통합형의 자동화된 보안 통제 전략이 필요하다.

이와 관련해 김병장 팔로알토네트웍스코리아 전무는 “이제 보안도 트랜스포메이션 해야 한다”라면서 “애널리틱스와 자동화를 구현하고 클라우드 딜리버리 방식으로 전환해야 한다”고 강조했다.

최원식 대표는 “예전에는 각각의 영역에서 최고의 보안 제품을 따로 따로 선택하는 ‘베스트오브브리드(Best of Breed)’의 시대였지만 이제는 하나의 장비에서 여러 기능이 통합 제공되는 방식으로 제공되고 있다”라면서 “팔로알토네트웍스는 시큐리티오퍼레이션플랫폼(SOP)으로 네트워크와 엔드포인트, 클라우드가 모두 연계, 통합돼 있을 뿐 아니라 자동화 방식으로 새롭게 생겨나는 위협을 빠르게 막을 수 있도록 제공하고 있다”고 덧붙였다.

■ 비즈니스 이메일 계정 공격 증가

기업을 타깃으로 하는 사이버범죄가 급증하고 있다.

지난 5년 동안 비즈니스 이메일 계정을 타깃으로 한 공격 피해 발생 금액은 전세계적으로 120억달러 이상을 기록했다.

이전에 국내 대기업에서도 비즈니스 이메일 침해(BEC) 침해로 인해 금전을 손실한 사례가 알려진 바 있다.

기업 내에서 사용하는 패스워드나 로그인 세부정보 탈취 사례가 전세계적으로 증가하는 추세다.

공격자들은 파트너나 내부 경영진 등 이해관계자로 위장해 크고 작은 표적을 노리고 있는 상황이다.

비즈니스 이메일 해킹의 증가는 기업 웹사이트를 모방하는 것에서부터 직원의 개인 소셜 미디어 계정에 이르기까지, 다양한 형태의 복잡한 공격으로 이어지고 있다.

2019년에는 내부 점검을 우회할 수 있는 교묘한 방법을 시도하는 공격자들이 더욱 늘어날 것으로 전망된다.

이같은 공격 피해를 막기 위해 기업에서는 가능한 구체적으로 내부 정보 흐름을 분석하고, 보다 포괄적인 점검 및 승인 프로세스를 구축해야 한다.

패스워드는 탈취가 간편하고, 보안성이 떨어지며, 사용자 신원 증명이 어렵다.

때문에 가장 취약한 연결 고리로 꼽힌다. 기업 이메일 계정을 보다 안전하게 지키기 위해서는 2단계 혹은 다단계 인증, 생체 인증과 같은 조치를 마련해야 한다.

■ 공급망, 가장 취약한 고리로 노출

공급망 공격은 계속해서 이슈가 될 것으로 예상된다.

디지털 시대가 도래함으로써 상호 연결된 글로벌 공급망 구축이 보다 쉬워지고 있다.

간편하게 전세계 공급업체 및 아웃소싱 서비스를 사용할 수 있고, 데이터 및 네트워크 공유가 포함된 연결성은 높은 효율성을 제공해준다.
 
공격자들은 기존의 보안 체계에서 취약성을 찾아내 새로운 공격의 기회를 만들어낸다.

실제로 MRI, 엑스레이 등과 같은 의료기기 업체들과의 협력이 필요한 헬스케어 산업의 경우 외부에서 내부 네트워크에 매일 접속하므로 새로운 공격 표면과 취약점이 돼 전체 병원을 통제 불가능 상태로 만들 수 있다.

글로벌 공급망이 점점 더 복잡해짐에 따라 사이버보안 위험을 정확히 파악하고 피하는 것이 점점 더 어려워질 전망이다.

특정 개인, 조직, 또다른 제3자 가운데 누가 내부 네트워크에 접속했는지 파악하고 조직 내부에서 어떠한 시스템과 서비스를 사용하고 있는지 필수적으로 이해하고 있어야 한다.

보안책임자(CSO)는 중요 정보가 외부 장치나 시스템으로부터 떨어져 분리되고 안전하게 유지되도록 하기 위해 네트워크 내 트래픽을 주의 깊게 관리해야 한다.

안전하지 않은 다수의 기기가 기업 네트워크에 연결되는 환경에서 사물 인터넷(IoT)은 곧 ‘사이버위협의 인터넷(internet of cyberthreats)’이 될 수 있기 때문이다.

기업에서는 각종 디바이스, 서비스 조달에 대한 내부 보안 표준을 마련해야 한다.

펌웨어와 애플리케이션은 항상 최신 상태를 유지해야 한다.

또한 로그인 구성을 기본 상태에서 변경시키는 것은 필수적이다.

외부 시스템과 디바이스가 네트워크에 있는 경우 제로트러스트(Zero-trust) 접근법을 기반으로 승인된 사용자와 앱만 통신할 수 있는 영역에 모든 트래픽을 배치하고 검사해야 한다.

2019년은 안전하지 않은 디바이스가 공격자들을 위한 게이트웨이가 되어 컴퓨터와 스마트폰을 노리는 공격이 늘어날 전망이다.

■ 아태지역 내 데이터 보호 규정 강화

아시아태평양지역 국가들이 사이버보안 이니셔티브 협력을 확대함에 따라 데이터 보호 프레임워크 구축이 불가피해질 것으로 전망된다.

호주, 싱가포르에서는 이미 이러한 프로젝트가 시행됐으며, 중국이나 인도 등 아태지역 내 다른 국가들도 자국민 데이터 보호에 대한 대책을 마련하고자 하는 움직임이 포착되고 있다.

국가별 디지털 성숙도에는 차이가 있으나 유럽연합 일반개인정보보호법(GDPR)처럼 자국의 상황을 적용한 자체 데이터 보호 규정이 예고되고 있다.

특히 2019년은 국가적 데이터 보호 규정의 변곡점이 되는 해가 될 것이다.

올해 유럽의 GDPR 시행으로 인해 전세계 기업들이 데이터의 수집과 저장에 많은 주의를 기울이게 됐다.

실제로 많은 기업들이 GDPR을 기준선으로 삼아 준수 격차를 평가하고 전반적인 보안 전략을 구축하기도 했다.

아태지역의 경우 GDPR 수준의 광범위한 프레임워크가 등장하기까지는 다소 시간이 걸릴 수 있으나, 각 기업에서는 불필요한 개인 데이터 수집을 최소화하는 방향으로 보안 정책을 시행하고, 이러한 방향은 위험과 노출을 최소화하는데 도움이 된다.

■ 사회 주요 인프라를 향한 보안 위협 증가

기간 설비 및 공공 자원을 의미하는 사회 주요 인프라의 범위가 금융 서비스, 통신, 미디어 등의 영역으로 확대되고 있는 추세다.

이들 주요 인프라가 디지털로 전환되고 자동화됨에 따라 기업·산업 네트워크 교류가 늘어나고, 보다 공격당하기 쉬운 사이버 범죄의 타깃이 되고 있다.

특히 패치가 어려운 기존 시스템에 의존하는 스카다(SCADA, 집중 원격감시 제어시스템), 산업제어시스템(ICS) 등 이 위험에 노출되고 있으며, 이러한 시스템의 주 사용처인 에너지, 수자원관리, 대중교통 등의 영역에 다양한 사이버 위협이 발생할 것으로 전망된다.

자율주행을 위한 머신러닝 등 인더스트리 4.0 기술에 중점을 두고 있는 국가의 경우 인프라 보안이 핵심 과제가 될 것이다.

원격 측정 및 지속적인 연결성이 필수적인 혁신 기술들은 정확하고 접근가능한 데이터를 사용해야 하기 때문이다.

팔로알토네트웍스는 주요 인프라 운영주체들이 그동안 주로 정보의 기밀성에 초점을 맞춰왔고, 정보보안의 다른 두 가지 원칙인 무결성과 가용성을 간과했다고 평가하고 있다.

또한 주요 인프라 운영주체들이 규제 기반 접근법에서 벗어나 모든 측면에 보안이 스며들어 있도록 바뀌어야 한다고 권고했다.

규제기관과 운영주체가 협력하여 최적의 규제 프레임워크를 마련하고, 설계에서부터 유지 보수에 이르기까지 모든 단계에서 보안 우선 전략을 취할 수 있도록 변화할 것이란 관측도 내놨다.

팔로알토 네트웍스 | 전문파트너
차세대 보안 플랫폼(Next-Generation Security Platform)
지능형 엔드포인트 보호 솔루션 트랩스(Traps)
위협 인텔리전스 서비스 오토포커스(AutoFocus)