[보안] 보안솔루션의 종류 - 사용자 보안_8 : EDR

사용자 보안 - 8. EDR

 

솔루션 개념

 

EDR(EndPoint Detection & Response)에 대해 이야기 하려면

End Point(엔드포인트)의 개념을 알고 있어야 한다,

엔드포인트를 단순하게 얘기하자면 커뮤니케이션 채널의 한쪽 끝이다.

이는 웹으로 치면은 웹페이지가 될 수 있고,

사용자 입장에서는 사용자가 사용하는 단말(pc, 태블릿 등)일 수도 있다.

소프트웨어나 하드웨어 제품의 최종 목적지라고 생각하면 되겠다.

 

그럼 EDR(엔드 포인트 탐지 및 대응), 엔드포인트 보안이란 무엇일까

SK인포섹에서 발행한 정보보호 구축 가이드에서는

엔드포인트에서 행위기반으로 시스템의 위협을 탐지하고

그에 대응하는 솔루션이라고 말하고 있다.

이 말 그대로 EDR은 엔드포인트에서 활동을 기록하고

사용자 행위 분석, 머신러닝 등을 이용하여

위협정보를 분석하거나 잠재적 위협활동을 식별해

보안사고를 방지하는 솔루션인 것이다.

EDR 솔루션 구성

 

 

기능

 

EDR은 행위기반으로 악성코드 탐지나

위협을 예측하고 방어하기 때문에

신속하게 대응하는 것이 대표적인 기능이다.

기능의 영역은 앞서 말한대로 '예측', '탐지', '방어', '대응'

4개의 기능영역으로 구분지을 수 있다.

 

예측은 행위기반으로 위협예측 및 위협평가를 하며

탐지는 사고를 탐지하고 위험확인 및 우선순위를 지정한다.

방어은 위협에 대한 방어와 시스템 격리, 강화를 하며

대응에서는 피해에 대한 치료나 분석 등을 수행한다.

 

 

벤더사별 특징

 

<Cybereason - Cybereason EDR>         -상관분석 및 머신러닝을 통한 이상행위 탐지 및 대응         -시각화 대시보드 제공, 빅데이터 분석 가능         -공격 라이프 사이클 에서 위협의 구체적 탐지 및 대응     <Symantec - Symantec EDR>         -Synapse 기술을 통한 상관관계 분석, 머신러닝 분석         -엔드포인트 활동 중단 없이 기록 및 침해사고 재연 보장     <엔피코어 - Zombie ZERO EDR>         -패턴 풀링 기능을 토항 상관분석         -동적 분석을 통한 신종 위협 탐지     <지니언스 - Insight E>         -IOC 침해사고 지표 탐지         -머신러닝 통한 이상행위 탐지/행위기반분석(XBA) 엔진 제공         -자체 인텔리전스 서비스 EcoSystem 제공     <Trendmicro - Apex One>         -자사 샌드박스(Deep Discovery Analyzer) 장비 연동을 통한 분석         -자사 다양한 보안 장비 연계를 통한 다양한 분석 기능 제공         -SaaS 형태 및 On-Premise 구축 환경 제공     <Fireeye - FireEye Endpoint Security>         -시그니처 기반의 AV엔진, 행동 기반의 Exploit guard엔진         -APT 공격에 대한 효율적인 탐지 및 대응     <Paloalto - XDR>         -네트워크 IPS 공격 탐지 기술 제공         -AI를 통한 엔드포인트 및 네트워크 학습 및 분석         -자사 Auto Focus 인텔리전스 서비스

 

 

사용자 보안 중에서 특히 중요한 부분이 EDR이지 않을까 싶다.

점점 지능형 위협이 증가하고 있는 추세인데

단일 보안 솔루션만으로는 대응이 어렵기 때문이다.

그리고 머신러닝이나 행위기반 등의 기술로

복합적으로 판단하여 더 높은 정확도로 위협을 탐지하기에

앞으로 EDR이 더 중요해지지 않을까 싶다.

 

 

※내용에 대한 지적이나 댓글은 언제나 환영입니다.

 

 

※해당 본문의 내용과 사진은 모두 ADT캡스( 구)SK인포섹 )에서 발행한

    2021 IT정보보호 구축 가이드(무료배포)를 기반으로 정리한 것입니다.