EDR의 등장 배경
코로나로 인한 재택근무
코로나 유행 이후 재택근무 비율이 늘어나며, 그에 따른 보안 대책도 진화했다.
이제는 재택근무의 증가, 업무에 사용하는 모바일 기기의 다양화에 따른 새로운 보안 솔루션이 요구된다.
사내망을 중점으로 보안 대책보다는 end point로 그 시점이 옮겨간 것인데,
이에 따라 급부상한 솔루션이 EDR이다.
예를 들어 말웨어 등의 공격을 사내 네트워크의 충분한 보안 대책으로 막을 수 있었다면
이제는 노트북을 들고 집에서 근무하기 때문에 개인 네트워크 연결을 통한 말웨어 감염에 취약한 환경에 노출되기 쉽다.
말웨어의 진화
보안 업계가 아무리 애써도 쫓아갈 수 없다는 사이버 공격.
최근 몇 년의 랜섬웨어의 유행, 말웨어의 독보적 진화로
하나의 노트북이 감염됨과 동시에 사내망을 타고 다른 기기까지 모두 감염시켜버리기 때문에
기기 하나만 말웨어에 감염되어도 사내 전체가 머리를 싸매고 있어야 하는 상황이 만들어진다.
이러한 배경으로 엔드 포인트에 중점을 맞춘 솔루션이 등장했고,
엔드포인트(즉, 노트북 단말 그 자체)를 감시함으로써 공격을 미연에 방지 & 인시던트가 있을 때 바로바로 대처까지 가능하다.
EPP
EPP(Endpoint Protection Platform)또한 엔드포인트를 보호하는 프로그램이다.
개별 엔드포인트에 설치해놓고 공격의 패턴을 매치하여 말웨어를 포함한 다양한 공격을 막는다.
First Line of Defence로 공격을 스캔하고 블락하는 '미연에 방지하는' 원리이다.
엔드포인트를 지켜주기는 하지만, 공격 안에 있는 데이터를 분석하거나 하지는 않는 것이 특징이다.
일반적으로는 바이러스 백신, 말웨어 방지, 데이터 암호화, 방화벽, IPS, DLP 등의 기능이 포함된다.
EDR
EDR(Endpoint Detection & Response)는 간단히 말해서 파일 뿐 아니라 더 깊숙이 들어가서 감지하고 대응까지 해준다.
예전처럼 파일을 다운받게 하여 바이러스에 감염시키는 말웨어 형식의 공격뿐 아니라
Powershell과 같은 OS의 기능 등에 침입하여 공격하는 '비말웨어 공격'까지 성행하고 있는 요즘,
EPP로는 막지 못하는 공격까지 감지가 가능하다.
또한, 이름에서도 알 수 있듯 Response까지 해주는데, Second Line of Defence로 감염이 되었을 시, 로그를 분석하여 사후 대처까지 해준다는 것이 EPP와 차이점이다.
포렌식으로 기존에 있던 위협의 패턴들을 분석하고, 비슷한 패턴이 감지되면 실시간으로 보호하는 기능이 있다.
패턴 분석에는 딥러닝 기술이 활용되며, 빠르게 대응하기 위하여 클라우드가 사용된다.
또한 모든 파일 실행 및 변경, 레지스트리 업데이트, 네트워크 전반에 걸친 바이너리 실행을 문서화하여 분석 & 대응한다.
여러 엔드포인트를 통합적으로 관리하여 해당 네트워크망 전반에 걸친 대응이 가능하다.
댓글