주요 기능: XDR 기반 자율형 대응을 위한 제로 트러스트 파트너십 발표

진화하는 위협 환경에 대응하여 조직은 기존의 계층화된 네트워크 방어에서 제로 트러스트 보안 모델로 전환하고 있습니다. 조직의 85%가 이미 제로 트러스트 이니셔티브를 정의했지만 어디서부터 시작해야 할지 모르는 경우가 많습니다. 제로 트러스트에서 조직은 엔드포인트, 사용자 ID, 애플리케이션 및 기업 네트워크가 더 이상 기본적으로 신뢰되지 않는다는 “신뢰하지 않고 항상 확인” 방식을 따릅니다. 센티넬원은 조직이 제로 트러스트 보안 모델로 전환할 때 성공할 수 있도록 지원하기 위해 최선을 다하고 있습니다.

크리덴셜 스터핑 공격 및 랜섬웨어 의 등장으로 엔드포인트와 ID는 조직의 데이터에 접근하기 위해 가장 일반적으로 악용되는 공격 벡터입니다.

이와 같은 공격은 조직들로 하여금 ‘디폴트로 인한 신뢰’ 접근 방식을 다시 생각하게 만들었습니다. 내부자 자격 증명은 높은 접근 권한을 이용할 수 있으므로 공격자에게 매력적인 대상입니다. 기업 네트워크 외부에서 시작되는 공격과 달리 공격자는 ID 또는 엔드포인트에 부여된 암묵적 신뢰를 활용하여 조직 네트워크 내에서 측면으로 이동할 수 있습니다.

 

오늘날 많은 고객이 엔드포인트와 ID 보안 솔루션을 상호 연결하여 감염된 사용자를 완벽하게 파악합니다. 이는 종종 SIEM (Security Information and Event Management ) 또는 UEBA(User and Entity Behavior Analytics) 솔루션을 통해 수행됩니다.

그러나 이로 인해 다음과 같은 몇 가지 단점이 있습니다 .

  • 확장성 문제
  • 통합 설정 및 유지 관리 필요
  • 자동 수정을 위한 제한된 자동화 기회
  • 실시간 탐지 및 대응 부족, 공격을 재구성하기 위해 로그 및 사후 이벤트 의존
  • 공격의 진행을 차단하는 예방 기능 부족, 자동화된 대응 및 복구 없음

조직이 제로 트러스트 모델로 전환함에 따라 모든 자산의 신뢰를 지속적으로 확인하고 적시에 명시적으로 접근할 수 있는 방법을 찾고 있습니다. 이를 달성하기 위해 조직은 데이터 수집, 데이터 분석 및 처리, 중앙 대응 문제를 해결할 수 있는 최신 보안 플랫폼으로 XDR( Extended Detection and Response )을 찾고 있습니다.

제로 트러스트 모델 채택

기존 모델이 조직의 네트워크 외부에서 발생하는 위협을 무력화하는 데 중점을 둔 반면 제로 트러스트는 위협이 네트워크 내부와 외부 모두에 존재할 수 있음을 인정합니다. 기존 보안 모델은 기본적으로 영향 범위 내에서 엔드포인트와 ID를 신뢰합니다. 반대로 제로 트러스트는 모든 엔드포인트 및 ID에 대해 “절대 신뢰하지 않고 항상 확인”의 원칙을 따릅니다.

제로 트러스트를 성공적으로 채택함으로써 조직은 위험 기반 접근 제어를 수행하고 모든 접근 결정에 대해 최소 권한 접근 개념을 활용할 수 있습니다. 제로 트러스트 개념을 성공적으로 채택한 조직은 자산을 보다 효과적으로 보호하고 사이버 위협에 더 빠르게 대응할 수 있습니다. 궁극적으로 제로 트러스트를 채택하면 조직이 MTTD(평균 탐지 시간) 및 MTTR(평균 응답 시간)뿐 아니라 위험을 줄이는 데 도움이 됩니다.

제로 트러스트를 위한 센티넬원

센티넬원 Singularity XDR 은 엔드포인트, 사용자 ID, 클라우드 애플리케이션 및 네트워크 전반에 걸쳐 가시성, 분석 및 응답 기능을 확장하여 조직의 제로 트러스트 보안 모델을 강화할 수 있도록 합니다.

 

이를 달성하기 위해 센티넬원은 IAM(Identity and Access Management), CASB(Cloud Application Security Broker) 및 NDR(Network Detection Response) 분야의 선도 솔루션과 협력하여 조직이 직접 공급업체를 선택할 수 있는 동급 최고의 제로 트러스트 보안 모델을 제공합니다.

센티넬원의 제품 관리 담당 이사인 David Baldwin은 “조직들이 동종 최고의 솔루션을 사용하려고 하기 때문에 개방형 생태계는 제로 트러스트 전략에 매우 중요하다” 라고 했습니다.

Azure AD 통합으로 사용자 ID 보호

센티넬원은 Microsoft Intelligent Security Association의 회원이며 Azure Active Directory용 센티넬원 앱의 일반 사용 가능 여부를 발표하게 된 것을 기쁘게 생각합니다. 센티넬원Singularity XDR 플랫폼 은 선도적인 엔터프라이즈 ID 및 접근 관리 솔루션인 Microsoft Azure Active Directory(Azure AD)를 통합하여 엔드포인트 및 ID에 대한 제로 트러스트 기능을 제공합니다. 통합을 통해 조직은 보안 전문가가 사이버 위협에 더 빠르게 대응할 수 있도록 지원하는 자율형 대응 기능의 이점을 누릴 수 있습니다.

수 본 마이크로소프트 프로그램 매니지먼트 부사장은 “Kaseya나 SUNBURST와 같은 글로벌 사이버 공격은 기존 보안 architectures 현대화의 중요성을 끊임없이 일깨워준다” 라고 말했다. “센티넬원과 Azure Active Directory의 통합으로 조직은 선도적인 엔드포인트 및 ID 솔루션을 결합해 제로 트러스트 보안 모델을 수용할 수 있게 될 것입니다.”

센티넬원의 최고 생산 책임자인 Raj Rajamani는 “공동 고객은 자율형 실시간 대응 조치를 위한 내부 통합의 이점을 누릴 수 있습니다.”라고 말했습니다. “선도적인 엔드포인트 및 ID 솔루션을 결합하면 고객이 제로 트러스트 프로그램을 개발하고 성숙시키는 데 큰 도움이 될 것입니다.”

엔드포인트가 손상되면 SentineolOne App for Azure Active Directory를 통해 영향을 받는 사용자 ID 정보가 Azure AD와 실시간으로 공유되므로 조직의 조건부 접근 정책이 기업 리소스 및 서비스에 대한 접근을 방지할 수 있습니다.

 

센티넬원과 Microsoft를 통해 조직은 조건부 접근에 대한 엔드포인트 보안 및 ID 관리를 통합하여 제로 트러스트 전환을 시작할 수 있습니다. 원활한 통합을 통해 SentinelOne Singularity XDR을 Microsoft Azure AD에 연결하여 ID 정책을 시행하고 위협에 자동으로 대응합니다.

이 강력한 통합을 통해 공동 고객은 다음을 수행 할 수 있습니다 .

  • 손상된 엔드포인트에서 인증된 사용자 ID에 대해 MFA 적용.

사용자가 손상된 엔드포인트에서 인증되면 MFA를 적용

  • 손상된 사용자 ID에 대한 접근 차단

손상된 엔드포인트에서 인증된 사용자의 회사 리소스 및 서비스에 대한 실시간 접근을 차단

  • 손상된 사용자 ID에 대한 접근 제한

사용자가 손상된 엔드포인트를 사용하는 경우 회사 정보에 대한 접근을 제한

  • Singularity와 Azure Active Directory 간의 간편한 연결

복잡한 API 작업이나 수동 유지 관리가 불필요

엔드포인트 정책 모니터링, 보안 및 시행

오늘날 엔드포인트는 워크스테이션, 노트북, 모바일 장치 또는 서버에 관계없이 구성, 패치 상태 및 운영 체제가 서로 다르기 때문에 보안 정책을 적용하는 방식이 일관되지 않습니다. 이 문제는 BYOD(Bring-Your-Own-Endpoint)의 증가와 원격 및 하이브리드 작업 방식의 증가로 인한 기존 네트워크 제어의 가시성 손실로 인해 더욱 악화됩니다.

엔드포인트에 제로 트러스트를 채택하면 언제든지 네트워크에서 엔드포인트를 모니터링, 격리, 보안, 제어 및 제거할 수 있는 수단을 제공하여 조직이 이러한 위험을 줄이는 데 도움이 될 수 있습니다. 제로 트러스트 에코시스템에 통합되면 엔드포인트는 엔드포인트의 ID, 상태 및 규정 준수 상태를 포함하여 네트워크 접근 허용 여부를 결정할 때 귀중한 신뢰 신호를 제공할 수 있습니다.

SentinelOne Singularity XDR Protection 은 차세대 예방 및 EDR (Endpoint Detection Response ) 기능을 단일 플랫폼으로 단일 에이전트와 결합합니다.

Singularity를 ​​통해 조직은 다음과 같은 이점을 얻을 수 있습니다 .

  • 강력한 예방 및 제어
    정적 AI 모델이 탑재된 기존AV 솔루션은 실행 파일에서 추출한 다양한 정적 속성을 살펴보고 시그니쳐에 대한 의존성을 제거하며 파일 기반 위협에 대한 우수한 탐지 기능을 제공하여 위협을 탐지하도록 훈련되었습니다.
  • 스토리라인을 통한 위협 탐지
    동적AI는 파일리스 공격, lateral movement, 능동적으로 실행되는 루트킷과 같은 위협을 실시간으로 평가하여 사람의 개입 없이 충실도가 높은 탐지를 제공합니다. 개별 이벤트는 스토리라인과 자동으로 상호 연관되어 처음부터 끝까지 재구성됩니다.
  • 자동화된 복원
    특허를 받은 원클릭 복원은 실시간으로 보호 조치를 하는 완전 자율 대응으로 위협 해결을 자동화합니다. 센티넬원은 엔드포인트의 상태, 관리, 장치를 준수 상태로 만들기 위해 엔드포인트를 자동으로 검열하거나 복원하는 기능을 명확하게 보여  줍니다.
  • Singularity 조건 정책
    조직은 보안과 사용자 생산성 간의 균형을 유지하기 위해 노력하고 있습니다.  보안 구성을 살펴보면 일반적으로 손상 여부에 관계없이 모든 엔드포인트를 동등하게 취급합니다. Singularity 조건 정책을 사용하여 조직은 엔드포인트가 손상되었는지 여부에 따라 실시간 보안 시행을 변경할 수 있습니다.
  • 장치 강화 및 제어
    센티넬원의 장치 제어 제품군은 조직이 USB, Bluetooth 및 Bluetooth 저에너지 통신을 제한함으로써 데이터 손실 방지를 위한 보다 강화된 자세를 수용하도록 돕습니다.  관리자는 엔드포인트 클래스(예: USB 대용량 스토리지 엔드포인트)별로 제한할 수 있어 내부 위협 및 데이터 손실에 대한 잠재적인 공격을 크게 줄일 수 있습니다.

클라우드 워크로드와 애플리케이션 보호

“퍼블릭 클라우드 마이그레이션 및 기타 파괴적인 IT 변화는 ​​종종 제로 트러스트 보안 모델을 달성하기 위한 좋은 수단으로 작용했습니다.” 라고 Foreester가 말했습니다.

클라우드 워크로드를 위한 제로 트러스트 솔루션은 프라이빗, 퍼블릭, 하이브리드 및 멀티 클라우드 환경을 보호하기 위해 반복 가능하고 일관된 접근 방식을 제공해야 합니다. 퍼블릭 클라우드 환경에 관계없이 사용자 엔드포인트만큼 침해에 취약한 클라우드 공격을 모니터링하는 것은 조직의 책임입니다.

Singularity Cloud Workload Security를 ​​통해 조직은 다음과 같은 이점을 얻을 수 있습니다 .

  • 런타임 보호
    가상 머신(VM) 및 컨테이너화된 워크로드를 위한 런타임 보호 및 EDR. 조직은 단일 에이전트가 있는 단일 콘솔에서 하이브리드, 프라이빗 및 멀티 클라우드 워크로드를 관리하고 보호할 수 있습니다. 워크로드 상태는 실시간으로 제공되며 영향을 받는 워크로드는 자동으로 규정 준수 상태로 돌아갈 수 있습니다.
  • 자동화된 애플리케이션 제어
    애플리케이션 제어는 검증된 초기 VM 또는 컨테이너 이미지에 없는 새 코드에 대해 기본 거부 상태를 사용하여 워크로드의 불변 특성을 유지합니다. 이는 이미지 자체를 강화할 뿐만 아니라 공격자가 손상 또는 측면 이동에 사용될 수 있는 임의 코드를 실행하는 것을 방지합니다.
  • 클라우드 애플리케이션 접근 제어
    클라우드 애플리케이션 접근 제어는 클라우드 워크로드 및 서비스에 대한 접근에 대한 기본 거부 정책을 활성화합니다. 클라우드 서비스는 기본적으로 거부되어 섀도우 IT 및 섀도우 클라우드 사용량을 줄입니다. 승인된 엔드포인트만 클라우드 리소스에 접근 할 수 있으며 보안 팀에서 예외적으로 관리할 수 있습니다.

네트워크 접근 분할 및 제어

원격 근무의 증가로 인해 네트워크가 발전했으며 네트워크 경계에 대한 우리의 인식도 발전했습니다. 관리 네트워크는 더 이상 단일 위치에 포함되지 않습니다.  장치, 클라우드 워크로드 및 모바일 장치가 회사 리소스에 접근하는 모든 위치에 존재합니다.

Singularity를 ​​통해 조직은 다음과 같이 네트워크를 더 잘 확인하고 제어할 수 있습니다.

  • 공격 표면 가시성 및 제어
    네트워크에 대한 가시성을 확보하기 위해 SentinelOne Singularity Ranger는 엔드포인트를 기업의 공격 표면을 실시간으로 모니터링하는 분산 네트워크 센서로 전환합니다. 센티넬원 에이전트는 네트워크의 모든 IP 지원 엔드포인트를 능동적으로 지문 및 인벤토리를 작성하여 비정상적인 통신 및 공개 취약성을 식별합니다. Ranger를 사용하면 에이전트를 자동으로 배포하거나 장치를 보안 엔드포인트에서 격리하여 센티넬원으로 보안되지 않은 장치의 위험을 줄일 수 있습니다. 이것이 Ranger를 사용하여 공격 표면을 효과적으로 줄이는 방법입니다.
  • 제로 트러스트 네트워크 접근
    센티넬원과 Zscaler 및 Cloudflare의 통합은 센티넬원의 장치 신호를 사용하여 ZTNA 액세스 결정을 알립니다. 센티넬원 에이전트가 설치되어 있는지 여부를 포함하여 엔드포인트에 대한 정보는 Zscaler 및 Cloudflare에 제공됩니다. 이 정보는 특정 시점 네트워크 접근 결정을 결정하기 위해 ID 제공자의 컨텍스트 관련 정보와 결합됩니다.
  • 마이크로 세분화
    센티넬원과 Guardicore의 통합은 엔드 포인트 및 클라우드 워크로드에서 생성된 네트워크 데이터를 포함하여 네트워크 활동의 중앙 집중화된 가시성을 제공합니다. 센티넬원 에이전트는 의사 결정, 포렌식 및 마이크로 세분화 정책 생성을 위해 Guardicore 콘솔에서 세부 가시성과 네트워크 토폴로지를 생성하는 메타데이터를 Guardicore에 보고합니다.  센티넬원의 기본 방화벽 제어가 Guardicore에서 정책을 내보낼 수 있습니다.  Guardicore는 세분화 및 마이크로 세분화 정책을 정의한 다음 센티넬원 API를 사용하여 에이전트에서 시행할 수 있습니다.
  • 네트워크 감지 대응
    센티넬원은 Vectra AI, Awake Security(Arista Networks) 및 Fidelis를 비롯한 여러 NDR 솔루션과 통합됩니다.  센티넬원의 EDR과 파트너 NDR 기능의 조합은 관리되는 엔드포인트와 관리되지 않는 엔드포인트 모두에 대한 가시성, 탐지 및 대응을 제공합니다. NDR이 관련 네트워크 활동을 보다 광범위한 공격 맵에 연결하는 동안 센티넬원은 장치 이름, 마지막으로 로그인한 사용자, 운영 체제 세부 정보같은 관리되는 엔드포인트에서 오는 정보를 풍부하게 하여 상황 인식을 제공합니다. 이는 포괄적인 위협 탐지, 신속하고 효과적인 대응, 엔드포인트 억제 및 포렌식 분석 기능을 제공합니다.

요약

  • 센티넬원은 최초의 제로 트러스트 플랫폼을 구축하기 위해 다른 주요 공급업체와 파트너 관계를 맺었습니다. 조직에는 보안 플랫폼으로 통합할 수 있는 다양한 공급업체가 있으므로 규모에 맞는 대규모 데이터 수집, 데이터 분석 및 중앙 집중식 자율형 대응 기능의 이점을 누릴 수 있습니다.제로 트러스트에 대한 센티넬원에 대해 더 알고 싶으십니까? 귀하 또는 귀하의 팀에 가장 적합한 선택지를 골라주세요.