예방이 치료보다 낫다는 옛말이 있습니다. 이것이 바로 위협 탐지 및 대응, 즉 TDR의 목표입니다. 사이버 공격자가 위협을 악용하기 전에 위협을 발견하고 이를 수정하거나 무력화시키는 프로세스입니다.
이는 개인, 조직, 정부 차원에서 보안 침해와 잠재적 피해를 예방하기 위해 시행됩니다. 위협에 대응하지 못하면 피해자의 평판에 타격을 입히고 금전적 손실을 초래할 수 있습니다.
위협 탐지 및 대응(TDR)이란 무엇인가요?
위협 탐지 및 대응은 잠재적인 위협과 취약점을 식별하고 보고하는 사이버 보안 관행으로 널리 사용되고 있습니다. TDR은 CISO와 그 팀이 여러 수준에서 네트워크 및 시스템 침해를 무력화할 수 있도록 도와줍니다.
조직의 효과적인 위협 탐지 및 대응 전략은 사이버 보안 전문가, 기술, 모든 직원의 인식이 결합된 것입니다.
IBM의 X-Force 위협 인텔리전스 지수 2024에 따르면 2023년 사이버 공격의 70%가 중요 인프라 산업을 표적으로 삼았습니다.
분산된 워크로드, 클라우드 도입, AI 도입으로 인해 이러한 기능의 필요성이 더욱 중요해졌습니다. 이러한 요소들은 합법적으로 보이는 피싱 이메일, 코드, 그래픽 등을 개발하는 데 기여합니다. APT와 같은 정교한 표적 공격은 기존의 보안 조치로는 탐지되지 않는 경우가 많습니다. 위협 탐지 시스템은 장기간에 걸쳐 은밀하게 작동할 수 있는 지능형 위협을 식별하도록 설계되었습니다.
이 외에도 많은 산업과 조직은 민감한 정보를 보호하기 위해 TDR을 포함한 보안 조치를 의무적으로 시행해야 하는 규제 준수 표준의 적용을 받습니다.
이상적인 위협 탐지 및 대응 프로그램에는 무엇이 포함되나요?
속도, 정확성, 효과성은 유용한 TDR 프로그램을 사용하면서 타협할 수 없는 세 가지 요소입니다. 이 외에도 다음과 같은 항목도 체크해야 합니다.
- 팀은 인시던트 대응의 각 단계에 대한 책임자가 누구인지 알고 있습니다.
- 적절한 커뮤니케이션 체인이 구축되었습니다.
- 팀원들은 문제를 언제 어떻게 에스컬레이션해야 하는지 알고 있습니다.
- 관련된 모든 팀원의 역할과 책임은 연락처와 백업 등 체계적으로 정리되어 있어야 합니다.
- 네트워크와 로그에서 데이터를 수집하는 이벤트 위협 탐지 기술을 배포합니다.
- 네트워크 위협 탐지 기술을 배포하여 트래픽 패턴을 모니터링하고 분석합니다.
- 엔드포인트 위협 탐지 기술을 사용하여 사용자 컴퓨터의 이상 징후와 그 동작을 보고합니다.
- 탐지 원격 분석을 이해하고 대응 전략을 수립하기 위해 정기적으로 침투 테스트 및 취약성 평가를 수행합니다.
위협 탐지 및 대응 전략
실용적이고 효과적인 위협 탐지 시스템을 구축하려면 몇 가지 단계를 거쳐야 합니다. 이제 참고할 만한 책이 없지만 다음과 같은 일반적인 방법을 공유하고자 합니다.
모든 네트워크 및 시스템 자산 식별
이 프로세스는 자산 검색으로 시작되며, 이는 사용자에게 중요하고 해커가 침해할 수 있는 모든 리소스를 식별하는 것을 의미합니다. 이 목록에는 온프레미스 디바이스 및 서버와 함께 클라우드, 가상 디바이스, 모바일 디바이스가 포함될 수 있습니다. 이 목록은 정확히 무엇을 보호하고 어떻게 보호해야 하는지에 대한 아이디어를 제공합니다.
취약점 검사
취약점 스캔은 이전 단계에서 나열한 네트워크 및 시스템 자산의 보안 허점을 발견하고 보고하는 프로세스입니다. 이 연습은 이상 징후를 탐지하고, 사전 예방적 완화 조치를 제공하며, 공격 표면을 검사하여 악의적인 공격자가 취약점을 악용하기 전에 취약점을 패치하는 것입니다.
그러나 대상 시스템에서 스캔하면 오류가 발생하고 재부팅되어 일시적인 다운타임과 생산성 문제가 발생할 수 있다는 단점도 고려해야 합니다. 그럼에도 불구하고 이점이 단점보다 크므로 실행을 자제해서는 안 됩니다.
네트워크 트래픽 평가 및 모니터링
네트워크 트래픽을 분석하기 위해 팀원과 자동화된 도구는 보안 및 운영상의 이상 징후를 찾아 공격 표면을 제한하고 자산을 효율적으로 관리합니다. 이 프로세스에는 이상적으로 다음이 포함됩니다.
- 네트워크 활동의 실시간 및 과거 기록을 나열하고 보고합니다.
- 스파이웨어, 트로이 목마, 바이러스, 루트킷 등을 찾아냅니다.
- 네트워크 속도 수정.
- 내부 네트워크 가시성을 개선하고 사각지대를 제거합니다.
위협 격리
위협 격리에는 이메일과 브라우저 활동을 분리하여 원격 환경에서 악성 링크와 다운로드를 필터링함으로써 사용자와 엔드포인트를 멀웨어로부터 보호하는 것이 포함됩니다. 과거에는 조직에서 웹 기반 멀웨어로부터 보호하기 위해 다양한 보안 솔루션을 사용하는 경우가 많았습니다.
이러한 솔루션은 유입되는 웹 콘텐츠를 알고리즘으로 분석하여 그 성격을 파악하는 것부터 악성 코드가 숨어 있을 수 있는 웹사이트에 사용자가 액세스하지 못하도록 차단하는 것까지 다양합니다. 이러한 목적을 위한 일반적인 보안 제품에는 웹 프록시 및 보안 웹 게이트웨이가 포함됩니다.
함정 설정
위협 탐지 및 대응의 다음 단계에서는 정품 자산을 모방하기 위해 시스템 전체에 디코이를 배포하여 사이버 범죄자를 속이는 기만 기술을 사용하여 함정을 설정합니다. 일반적인 디코이는 도메인, 데이터베이스, 디렉터리, 서버, 소프트웨어, 비밀번호, 이동 경로 등의 집합입니다.
따라서 해커가 함정에 빠져 미끼를 사용하는 경우 서버는 활동을 기록, 모니터링 및 보고하여 관련 사이버 보안 팀원에게 알립니다.
위협 헌팅 활성화
위협 헌터는 자동화된 도구로 탐지하지 못한 보안 위협을 발견하기 위해 수동 및 기계 기반 방법을 배포합니다. 이 작업에 참여하는 분석가는 멀웨어 유형, 익스플로잇 및 네트워크 프로토콜을 파악하여 네트워크, 엔드포인트 및 보안 인프라를 선제적으로 탐색하여 이전에 탐지되지 않은 위협이나 공격자를 식별합니다.
위협 탐지 및 대응에 AI 자동화를 도입하는 방법
AI 자동화는 생산성 저하 없이 연중무휴 24시간 대량의 데이터를 처리하는 데 도움이 됩니다. AI가 개입하면 정확도가 향상되고 프로세스가 빨라집니다. 네트워크 트래픽, 로그 관리, 시스템 및 사용자 행동 이상 징후 감지, 비정형 데이터 소스 분석 등에 도움이 됩니다.
또한 AI의 발전으로 SOC 레벨 1 분석가들은 기존의 기본적인 업무를 AI 도구로 처리할 수 있게 되면서 더 높은 가치의 업무를 수행할 수 있게 되었습니다. 분석가는 복잡한 위협을 조사하고, 사고 대응 노력을 조율하고, 다른 팀원들과 관계를 구축할 수 있습니다.
이들의 책임은 이러한 자율 시스템을 감독, 안내 및 최적화하여 조직의 전체 보안 전략과 일치하도록 하는 것으로 전환됩니다.
위협 탐지 및 대응 도구
보안 분석가는 위협 탐지의 범위와 보안의 개념에 따라 이러한 도구와 기술 중 하나 이상을 사용합니다:
-
클라우드 탐지 및 대응(CDR)
CDR 솔루션은 클라우드 플랫폼에서 데이터, 애플리케이션, 인프라를 보호하는 고유한 문제를 해결하도록 맞춤화되어 있습니다. 이러한 도구는 클라우드 기반 활동을 모니터링하고 잠재적인 보안 사고를 식별하며 적시에 대응하여 위험을 완화함으로써 클라우드 기반 시스템의 보안과 규정 준수를 보장합니다.
-
데이터 감지 및 응답(DDR)
DDR은 조직의 공격 표면 내에서 데이터 보안, 개인정보 보호, 규정 준수를 다룹니다. 정적 상태 및 위험 분석을 넘어 콘텐츠와 컨텍스트를 고려하여 실시간으로 취약점을 파악함으로써 데이터를 동적으로 보호합니다.
-
엔드포인트 탐지 및 대응(EDR)
데스크톱, 노트북, 모바일 디바이스, 사물 인터넷 디바이스, 서버 및 워크스테이션을 포함한 엔드포인트 디바이스를 보호합니다. 주요 기능은 사고 조사, 격리 및 봉쇄, 포렌식 분석, 자동화된 대응, 다른 보안 도구와의 통합입니다.
-
확장 탐지 및 대응(XDR)
기본 EDR 도구 이상의 향상된 기능을 통해 공격 표면과 자산에 대한 폭넓은 관점을 확보할 수 있습니다.
-
신원 위협 탐지 및 대응(ITDR)
ITDR은 신속한 대응 전략과 함께 고급 탐지 기술을 사용하여 사용자 ID, 권한, ID 및 액세스 관리 시스템에 대한 공격을 방지합니다.
-
사용자 및 엔티티 행동 분석(UEBA)
UEBA 기능은 사용자와 기업의 일반적인 행동을 이해하여 보안 위협을 나타낼 수 있는 비정상적이거나 의심스러운 활동을 탐지할 수 있도록 도와줍니다.
위협 탐지 및 대응 솔루션
위협 탐지 및 대응 솔루션은 네트워크 인프라에 숨어 있는 사이버 위협에 대한 사전 예방적 조치를 제공하는 조직에 필수적인 도구입니다. 이러한 솔루션은 네트워크 활동을 지속적으로 스캔하고 면밀히 조사하여 잠재적인 보안 침해 또는 악의적인 활동을 신속하게 식별하는 방식으로 작동합니다.
이러한 솔루션은 고급 알고리즘과 패턴 인식 기술을 사용하여 보안 위협을 나타낼 수 있는 이상 징후를 탐지합니다. 잠재적 위협이 감지되면 이러한 솔루션은 심각도와 잠재적 영향을 즉시 평가하여 조직이 결정적인 조치를 취할 수 있도록 지원합니다.
전문가 인사이트 에서는 다음과 같은 인기 있는 TDR 솔루션을 소개합니다:
- ESET: ESET은 위험 평가, 위협 조사, 위협 수정 및 암호화 기능을 ESET Inspect 프로그램 내에 결합합니다. ESET은 기존 보안 시스템과의 원활한 통합을 위해 유연한 온프레미스 및 클라우드 기반 배포와 API를 제공합니다.
- 헤임달: Heimdal의 확장 탐지 및 대응(XDR) 플랫폼은 다양하고 강력한 위협 탐지 기능을 제공합니다. AI/ML의 강력한 기능을 활용하여 네트워크 인프라의 이상 징후를 예측하고 위협 패턴을 발견합니다.
- Rapid7: Rapid7 위협 명령은 고급 위협 조사, 관리 및 모니터링 기능을 갖춘 위협 인텔리전스 기술로 구동되는 광범위한 위협 라이브러리를 자랑합니다.
- 체크 포인트: Check Point의 Infinity SOC는 네트워크 전반에서 전문적으로 이상을 추적하고 탐지 할 수있는 사전 예방 적 위협 탐지 인텔리전스 시스템입니다. 더 좋은 점은 보안 패치를 알려주는 경고 메커니즘이 함께 제공된다는 것입니다.
최종 생각
위협 탐지 및 대응 기술은 강력한 사이버 보안 전략의 필수 요소이지만, 몇 가지 한계가 있습니다. 이러한 한계에는 오탐 및 미탐, 가시성 격차, 암호화 문제, 호환성 문제 등이 있습니다. 하지만 그 효과는 이러한 단점보다 훨씬 크다는 것은 의심할 여지가 없습니다. 그리고 기술은 시간이 지남에 따라 계속 발전하는 자산이라는 사실을 간과해서는 안 됩니다.
따라서 규모, 성격, 범위에 관계없이 모든 조직은 TDR 분석가, 도구, 프로토콜에 투자해야 합니다.
또한 이메일 위협에 한발 앞서 대응하는 것은 모든 조직의 도메인 상태와 보안을 보장하는 데 매우 중요합니다. PowerDMARC의 클라우드 기반 DMARC 분석기 플랫폼은 이메일 및 도메인 네임 보안을 위한 원스톱 솔루션입니다. PowerDMARC는 이메일 보안에 위협 인텔리전스 및 위협 매핑 기술을 통합하여 도메인을 사칭하는 악의적인 발신 소스를 탐지하고 차단할 수 있도록 지원합니다. 지금 바로 시작하세요. 무료 평가판!
- DMARC MSP 사례 연구: 고객을 위해 도메인 보안 관리를 간소화한 CloudTech24, PowerDMARC 사용 사례 - 2024년 10월 24일
- 이메일을 통한 민감한 정보 전송의 보안 위험 - 2024년 10월 23일
- 사회 보장 이메일 사기의 5가지 유형과 예방 방법 - 2024년 10월 3일