EMSISOFT EDR 제품 출시 예고 및 EDR 소개

모든 엔드포인트는 회사 네트워크에 대한 잠재적인 게이트웨이입니다. 기존의 바이러스 백신 솔루션은 단일 또는 소규모 장치 그룹에서 위협을 차단하는 데 효과적인 도구이지만, 가능한 한 빠른 단계에서 손상 징후를 확인하고 조치를 취하는 데 필요한 가시성을 제공하지 못하는 경우가 많습니다.

바로 여기에서 EDR(Endpoint Detection and Response)이 필요한 이유가 있습니다.  회사는 EDR 도구를 사용하여 대상 환경을 지속적으로 모니터링하고 환경의 엔드포인트 수에 관계없이 사고를 분류하고 조사하는 데 사용할 수 있는 귀중한 원격 측정값을 수집할 수 있습니다.

본 내용은 EDR이 정확히 무엇이며 조직의 광범위한 사이버 보안 전략에 어떻게 적합한지 보여드리겠습니다.

 

EDR이란 무엇인가?

EDR은 기업에서 엔드포인트를 더 잘 파악하고, 잠재적인 보안 위협을 자동으로 탐지하고, 사고 대응 시간을 단축하도록 설계된 비교적 새로운 사이버 보안 도구입니다.

다른 많은 사이버 보안 개념이 순전히 위협 차단에 초점을 맞추는 반면, EDR은 각 엔드포인트에서 대량의 데이터와 상황별 정보를 캡처하여 현실에서 이전에 볼 수 없었던 잠재적 위협을 탐지함으로써 사이버 보안에 대한 보다 전체적인 접근 방식을 취합니다.

향상된 가시성이 EDR의 주요 이점이지만, 모든 EDR 솔루션에는 이벤트에 실시간으로 대응할 수 있는 대응 기능도 포함되어 있습니다. Emsisoft EDR을 포함한 많은 EDR 도구는 행동 분석과 기계 학습을 사용하여 의심스러운 행동 패턴을 식별하고 심각한 손상이 발생하기 전에 위협을 억제하거나 제거합니다.

이러한 자동화된 기능에도 불구하고 경보를 분석하고 컴퓨터에서 생성된 데이터에서 의미를 추정하려면 여전히 수동의 전문 인재가 필요합니다. 사내 보안 분석가를 유지할 자원이 없는 소규모 기업은 관리형 보안 서비스 제공업체의 서비스를 고려하여야 합니다.

 

 

EDR은 어떻게 작동합니까?

EDR의 특정 기능은 공급업체와 시스템이 구현된 방식에 따라 크게 달라질 수 있습니다. 그러나 높은 수준에서 대부분의 EDR 도구는 동일한 핵심 기능을 제공합니다.

 

• 엔드포인트 데이터 수집 :
  원격 측정 데이터(예: 프로세스 활동, 파일 변경, 레지스트리 활동, 네트워크 활동 등)는 일반적으로 각 엔드포인트에 배포된 소프트웨어 에이전트를 통해 환경의 엔드포인트에서 수집됩니다. 그런 다음 이 데이터를 중앙 집중식 플랫폼으로 전송하여 정리하고 분석할 수 있습니다. 중앙 집중식 플랫폼은 일반적으로 클라우드 기반이지만, 특정 산업에서는 규정 준수 요구 사항이 사내 구현을 사용해야 할 수도 있습니다.

• 데이터 분석 :
  머신러닝 기술은 엔드포인트에서 수집된 원시 데이터를 분석하고 해석하는 데 도움이 됩니다. 많은 EDR 솔루션은 이 데이터를 사용하여 정상적인 사용자 동작이 어떻게 보이는지 "학습"할 수 있으며, 이는 엔드포인트 불규칙성을 강조하기 위해 사용될 수 있습니다. 또한 보안 담당자는 EDR 도구를 사용하여 위협의 '언제', '어디', '어떻게', '누구'를 식별하기 위해 데이터를 드릴다운하여 사고의 근본 원인을 찾을 수 있습니다.
  
  
• MITRE ATT&CK :
  많은 EDR 도구는 실제 관찰을 기반으로 한 적 전술 및 기술의 글로벌 액세스 가능한 지식 기반인 MITRE ATT&CK 프레임워크를 사용하여 잠재적으로 유해한 사건을 분류합니다. 이 정보를 통해 보안 분석가는 실제 공격의 방법과 이유에 대한 귀중한 통찰력을 얻을 수 있으며, 이를 통해 조직의 보안 태세의 격차를 파악하고 강화할 수 있습니다.
  
  
• 자동 대응 :
  EDR 도구가 의심스럽다고 간주하는 모든 이벤트 또는 활동은 보안 담당자가 조사할 수 있도록 자동으로 경고를 생성합니다. 일부 EDR 도구는 경고를 발생시킬 뿐만 아니라, 기본 위협을 자동으로 제거하거나 포함하는 자동화된 규칙 기반 응답 기능을 사용하여 결정된 심각도에 따라 직접 작업을 수행할 수 있습니다. 보다 정교한 공격을 해결하기 위해서는 여전히 인간의 개입이 필요한 경우가 많지만, 자동 대응은 조직이 사고 대응 시간을 최소화하는 데 매우 중요합니다.
  
  
• 데이터 보존:
  보안 담당자는 사건 대응 프로세스 중에 과거 데이터를 검토하여 공격이 발생한 방법을 확인할 수 있습니다. EDR 도구를 통해 얻은 통찰력은 조직이 향후 공격에 대비한 보안을 강화하는 데 매우 유용할 수 있습니다. 클라우드 기반 EDR 도구는 장치 완전 파괴가 수반되는 최악의 시나리오에서도 관리자가 클라우드에 저장된 이벤트 기록을 사용하여 공격자가 보안 시스템을 비활성화할 수 있는 마지막 순간까지 이어지는 일련의 이벤트를 분석할 수 있습니다. 클라우드 기반 EDR 데이터는 별도의 기기 입력이 필요한 이중 인증으로 보안돼 공격자가 접근할 수 없도록 합니다.

 

 

EDR은 왜 중요한가?

EDR은 사이버 위협이 진화하고 점점 더 정교해짐에 따라 조직의 광범위한 보안 태세에 필수적인 부분으로 인식되고 있습니다.

예방만으로는 보호가 보장되지 않습니다. 경계 기반 방어는 대부분의 사이버 공격을 차단하는 데 효과적이지만, 아무리 희박해도 틈새를 통해 무언가가 미끄러져 엔드포인트를 손상시킬 가능성이 항상 있습니다. 그리고 빠져나가는 위협은 종종 가장 파괴적입니다.

자원이 풍부한 랜섬웨어 그룹이 기존의 사이버 보안 솔루션을 우회하도록 주의 깊게 설계된 인간 작동 공격에 상당한 시간과 자원을 투자하는 것을 최근 몇 년 동안 계속해서 보아 왔습니다. 랜섬웨어 운영자는 조직을 손상시킨 후 공격 효과를 극대화할 수 있는 환경을 준비하기 위해 대상 네트워크에서 며칠 또는 몇 주를 연결하여 시스템을 연구할 수 있습니다. 조직이 엔드포인트에 대한 가시성이 좋지 않을 경우 이러한 표적형, 치밀하게 계획된 공격은 보안 솔루션 및 보안 팀의 감시 하에 배치되도록 특별히 설계된 경우가 많습니다.

조직은 공격자가 어느 시점에 외부 벽을 우회할 것이라는 믿음에 따라 운영해야 합니다. 그날이 오면, EDR은 무슨 일이 일어났는지, 어떻게 발생했는지, 그리고 가장 중요한 것은, 어떻게 그것을 고칠 것인지를 보는 데 매우 중요합니다.

 

 

Emsisoft EDR 도구

Emsisoft는 현재 사용자가 Emsisoft 보호 장치를 더 잘 볼 수 있도록 지원하는 강력한 EDR 도구 세트를 개발하고 있습니다. Emsisoft EDR은 여러 보호 계층이 함께 작동하여 의심스러운 동작을 식별하고, 공격을 자동으로 차단하며, 보안 팀에 잠재적인 위협에 대한 자세한 통찰력을 제공합니다.

 

Emsisoft EDR 보호 계층에는 다음이 포함됩니다.

 

• 주문형 스캐너.
• 파일 가드.
• 웹 보호.
• 브라우저 보안.
• 동작 차단기.
• MITREATT.
• 위협 사냥, OS 쿼리.

무엇보다도, Emsisoft EDR은 우리의 기업과 기업 고객에게 엔터프라이즈 라이선스 제품에 기본 탑재하여 제공될 것이며, 이를 통해 중소기업에 서비스를 제공하는 중소기업과 MSP는 예산을 어기지 않고 EDR의 혜택을 누릴 수 있게 될 것입니다.

Emsisoft 비즈니스 보호 제품은 가벼운 버전의 기본형 Emsisoft EDR을 사용할 수 있을 것입니다.
Emsisoft 엔터프라이즈 보호 제품은 데이터 보존 기능이 포함된 모든 Emsisoft EDR을 사용할 수 있을 것입니다.

앞으로 몇 주 내에 Emsisoft EDR 제품에 대한 자세한 정보를 발표하겠습니다.

 

감사합니다.

 

엠시소프트 (주)소프트메일

https://www.emsisoft.co.kr 

EMSISOFT | 백신+랜섬웨어+컨텐트필터링+EDR