2018년 SentinelOne은 플랫폼의 디바이스 제어를 발표했습니다. 관리 및 보안 팀은 디바이스 제어를 통해 네트워크 전체에서 USB 및 다른 주변 장치의 사용을 관리할 수 있습니다. 이 기능의 최신 업데이트를 발표하게 되어 기쁘게 생각합니다. 이번 업데이트를 통해 USB, Bluetooth 및 Bluetooth 절전형 디바이스를 최대한 세분화하여 관리할 수 있게 되었습니다. IT 팀과 SOC 팀은 업데이트된 디바이스 제어 기능으로 공격 표면을 최소한으로 제한하는 동시에 외부 디바이스를 사용해야 하는 모든 최종 사용자에게 비즈니스 연속성을 보장할 수 있습니다.
USB 및 다른 주변 장치에는 어떤 보안 위험이 있습니까?
USB나 Bluetooth로 연결되는 주변 장치는 어디서나 찾아볼 수 있으며, 여전히 노트북, 워크스테이션, IoT 스마트 디바이스 같은 비즈니스 디바이스를 위한 필수 기능입니다. 당연히 엔터프라이즈의 엔드포인트에 연결되는 다양한 주변 장치는 악의적인 공격자의 눈에 띄었습니다. 최근 보고서에 따르면, 예를 들어 USB 이동식 미디어 디바이스를 이용한 운영 기술 시스템의 사이버 위협은 지난 12개월간 거의 2배로 늘었습니다. 이동식 미디어로 전달된 맬웨어는 주로 백도어를 열고, 영구적인 원격 액세스를 설정하고, 악의적인 페이로드를 추가로 제공하는 데 사용되었습니다.
공격자는 외장 USB 썸 드라이브를 회사 디바이스에 연결하도록 사용자를 유인할 창의적인 방법을 찾아냈습니다. 예를 들어, 숙박 업계의 한 피해자가 가짜 BestBuy 기프트 카드가 들어 있는 봉투와 함께 맬웨어가 담긴 USB 썸 드라이브를 받은 사례가 있습니다. USB 드라이브는 기밀 데이터 및 중요 비즈니스용 데이터 송신을 위한 주요 벡터이기도 합니다. 최근 들어 “재택 근무”(또는 원격 근무)로 전환하는 기업이 늘어나면서, 새로운 근무 환경에서 일하게 된 직원들이 회사에서 허가하지 않은 주변 장치를 연결할 위험이 높아졌습니다.
SentinelOne은 시스템 안정성, 상호 운용성, 크로스 플랫폼 지원(Windows 및 macOS)과 같은 요구 사항을 고려하여 이 기능을 설계했습니다.
디바이스 제어: 간편한 정책 관리를 통한 디바이스 추가, 차단 또는 제한
구현을 촉진하기 위해, 엔터프라이즈 디바이스 제어 정책을 정의할 때 세분성 및 유연성을 극대화할 수 있도록 했습니다.
전사적으로 또는 특정 사이트나 특정 디바이스 그룹에 대해 디바이스 제어 정책을 설정할 수 있습니다. 이 정책은 일련의 디바이스 제어 규칙으로 구성됩니다.
규칙을 정의하려면 먼저 인터페이스 유형(USB 또는 Bluetooth)을 선택한 후 규칙 유형과 작업을 선택하면 됩니다. 예를 들어 다음 특성을 기반으로 USB 디바이스를 제어할 수 있습니다.
- 공급업체 ID
- 클래스
- 시리얼 ID
- 제품 ID
허용 가능한 작업은 다음과 같습니다.
- 읽기 및 쓰기 허용
- 읽기 전용 허용
- 차단
관리자는 이런 방식으로 세분화된 정책을 설정할 수 있습니다. 예를 들어 특정 사용자에게 특정 유형의 USB 디바이스 액세스를 허용하고, 일부 사용자에게 USB 이동식 미디어를 사용한 파일 읽기만 허용하고, 다른 모든 사용자에게 외부 USB 디바이스를 전혀 사용하지 못하게 차단하는 규칙을 구성할 수 있습니다.
Bluetooth 보안 – 간극 해소
Bluetooth 프로토콜에는 취약성이 많습니다. 이런 취약성은 대부분 이전 Bluetooth 버전에 존재하며, 보안에 민감한 기업이라면 사용자에게 이러한 디바이스를 회사 엔드포인트(및 내부 네트워크)에 연결하도록 허용해서는 안 됩니다.
Bluetooth 디바이스의 경우 SentinelOne 디바이스 제어는 모든 Bluetooth 디바이스 사용을 허용하거나 제한하고, 유형별(예: 키보드, 마우스, 헤드셋)로 Bluetooth 디바이스 사용을 허용하거나 제한하고, 지원되는 Bluetooth 프로토콜 버전에 따라 디바이스 작동을 허용할 수 있습니다(이전 Bluetooth 버전의 취약성으로 인한 위험 감소).
모든 디바이스에 대한 제어 및 유연성
관리자는 SentinelOne 디바이스 제어를 통해 손쉽게 정책을 정의할 수 있습니다. 그러나 기업에는 매일 새 디바이스가 유입됩니다. 그러므로 관리자가 시스템에 새 USB 디바이스가 나타날 때 이를 승인(차단)하는 등 “끊임없이” 대응하려면 유연성이 필요합니다.
유연한 제어를 위해 관리자가 관리 콘솔의 활동 로그에서 차단된 모든 디바이스 사례를 확인하고, 원한다면 차단했던 디바이스를 콘솔에서 바로 승인할 수 있도록 했습니다.
결론
SentinelOne 방화벽 제어와 디바이스 제어는 기존 바이러스 백신(AV) 솔루션을 차세대 제품으로 완전히 대체하기에는 부족하다고 생각되었던 바로 그 간극을 해소합니다. 이 플랫폼의 다른 기능과 마찬가지로, 디바이스 제어 기능 역시 SentinelOne의 단일 에이전트를 통해 동일한 관리 콘솔에서 모든 플랫폼에 제공됩니다.
Like this article? Follow us on LinkedIn, Twitter, YouTube or Facebook to see the content we post.
Read more about SentinelOne’s Features
- Feature Spotlight – Introducing the New Threat Center
- Active EDR (Endpoint Detection and Response) – Feature Spotlight
- Rapid Threat Hunting with Storylines – Feature Spotlight
- Behavioral Indicators and MITRE ATT&CK™ for Enterprise Support – Feature Spotlight
- Dashboards & Business Intelligence – Feature Spotlight
- Full Remote Shell – Feature Spotlight