사이버 위협은 이전보다 증가하여 공격 기술이 고도화되고 위험이 높아지고 있습니다. 결과적으로, 더 많은 고객이 현재의 위협 상황에 대해 제한적인 대응 기능을 보유 중인 내부 사이버 보안 팀을 MDR (관리형 보안 서비스)과 MSSP (매니지드 서비스) 사업자가 제공하는 전문 지식과 실용적인 지원으로 구사하고 강화하려고합니다. Gartner는 2025년까지 엔드포인트 탐지 및 대응(EDR)을 도입하고 운영하는 조직의 50%가 관리형 보안 서비스 파트너의 지원을 받을 것으로 예상합니다.
MITRE Engenuity ATT&CK®의 관리형 보안 서비스 평가 정보
MITRE Engenuity는 이번에 사이버 보안 부대 및 도입 부문으로부터 관리형 보안 서비스의 MITRE Engenuity ATT&CK® 평가에 대한 요구가 높아짐에 따라 관리형 큐리티 서비스의 범주를 새롭게 마련하여 처음으로 ATT&CK 평가 보고서를 발행했습니다. MITRE Engenuity는 빠르게 확산되고 있으며, 현재 사이버 보안 솔루션의 제3자 평가에 대한 업계 표준이 되었습니다. 이 중립적인 입장 평가 보고서는 오늘날의 조직이 고급 사이버 위협을 해결하고 위협 탐지 능력을 향상시키기 위해 ATT&CK® 프레임워크와 지식 기반을 기반으로 엄격한 분석을 제공합니다.
SentinelOne은 다른 모든 사이버 보안 리더와 비교하여 더 포괄적인 MITRE 평가에 참여합니다. 지난 3년간의 ATT&CK 엔터프라이즈 평가 외에도 최초로 실시한 디셉션 평가, 그리고 이번 최초의 매니지드 서비스 평가에 참가한 유일한 XDR 벤더가 되었습니다. MITRE Engenuity의 엔터프라이즈 ATT&CK 및 Deception 평가에서 SentinelOne의 탁월한 성능에 대해 자세히 알아보세요.
MITRE는 최신 관리 서비스 평가를 다음과 같이 요약합니다.
매니지드 서비스의 ATT&CK 평가는 적대자의 행동에 대한 분석과 설명에 있어서의 참가 벤더의 능력을 평가하고 있습니다. MITRE Engenuity 레드팀에 의해 에뮬레이트된 적대자의 활동과 참가자가 제공한 관련 컨텍스트를 MITRE ATT&CK 지식베이스에 매핑하고 있습니다.
이 블로그에서는 Vigilance MDR 팀이 관리 서비스의 처음으로 MITRE Engenuity ATT & CK 평가에 참여하여 얻은 중요한 포인트에 대해 설명합니다. 이러한 점은 MDR 및 디지털 법의학 인시던트 응답 (DFIR) 서비스를 검토 중이거나 적극적으로 평가하는 고객에게 특히 중요합니다.
포인트 1: 적절한 의사결정으로 이어지는 최적의 데이터
평가 대상이 되는 시나리오에서 에뮬레이트된 적대자를 식별하는 것은 마치 당연한 것처럼 보이지만, 적대자에 대해 적절한 속성을 식별할 수 있는지 여부에 따라 후속 대책의 범위가 정해진다. 온다.
사용자의 엔드포인트에서 감지된 동작, 수집된 포렌식 데이터, 캠페인 전체에서 관찰된 전술, 테크닉 및 절차(TTP)에 따라 SentinelOne의 Vigillance MDR 서비스 팀은 공격이란의 위협 액터 그룹에서 별칭 OilRig로 알려진 APT 34로 인한 것으로 올바르게 식별 할 수있었습니다.
Vigilance MDR 팀은 에뮬레이트된 상대를 식별할 뿐만 아니라 퍼스트 파티와 개방형 위협 인텔리전스를 활용하여 OilRig에 대한 추가 통찰력을 제공했습니다. 팀 보고서에는 공격자와 그룹의 시간이 지남에 따라 공격이 진행되는 개요, 공격자가 일반적으로 악용하는 도구와 알려진 모든 관련 TTP가 포함되어 있습니다.
MDR 및 DFIR 배포를 고려하는 고객에게는 서비스 파트너로부터받은 정보가 의미 있고 실용적인지 여부를 고려하는 것이 매우 중요합니다. 포괄적 인 보고서는 필수적이지만 시간과 리소스에 제약이있는 분석가에게는 적절하고 적시에 분석을 얻음으로써 이점이 처음입니다. 통찰력과 엄청난 양의 세부 정보 사이에는 큰 차이가 있습니다.
플랫폼 내에서 제공되는 수리 지침 외에도 Vigilance MDR 서비스 보고서는 고객이 위험을 평가하고 사건의 영향을 평가하며 단기 및 장기
포인트 2: 위협 감지가 전반전의 대부분, 방어는 종반전
평가 목적으로 참여 벤더는 위협을 예방하거나 수리하기 위해 개입하지 않고 공격 전반에 걸쳐 적대자의 활동을 감지하고 파악할 임무를 맡았습니다. 10단계 캠페인을 통해 SentinelOne의 Vigilance MDR 서비스 팀은 적대자를 엔드 투 엔드로 누출 없이 추적하는 데 성공했습니다. 적대자는 악의적인 첨부파일을 사용한 피싱 공격을 통해 시뮬레이션된 환경에 침입하여 호스트와 환경에서 정찰을 수행하고 중요한 서버로 가로로 이동하여 기업 데이터를 훔쳤습니다.
그러나 공격자가 정찰을 수행하고, 측방향으로 이동하거나, 데이터를 훔치기 전에 위협 탐지 및 대응 기술 및 MDR 서비스의 실제 애플리케이션이 이러한 공격을 가능한 빨리 방지합니다. 완화를 목표로 해야 한다는 점에 주의하는 것이 중요합니다.
이 사건의 실제 시나리오에서는 SentinelOne Singularity 플랫폼과 Vigilance 서비스가 첫 번째 위협 감지 단계에서 이미 공격을 차단할 수 있었을 것입니다. ‘탐지 전용’이 아닌 ‘보호’ 모드로 설정된 경우 Sentinel 에이전트는 며칠 동안 공격을 수행하는 대신 분석가 개입 없이 전체 공격 체인을 자율적으로 즉시 중지하도록 합니다. 에 설계되었습니다. 이렇게 하면 공격 캠페인과 관련된 추가 횡단 이동 및 다운스트림 비즈니스에 미치는 영향을 방지할 수 있었습니다.
포인트 3: 실시간 대응으로 사이버 탄력성 극대화
실제 공격 시나리오에서는 시간이 중요합니다. 포인트 3에서 설명한 내용과 유사한 사고 방식으로 조직은 악의적인 공격자가 탐지되자마자 환경에서 근절하는 것을 목표로 하고 MDR 파트너가 확실하게 실행할 수 있음을 보장해야 한다. 입니다.
ATT&CK 평가에는 해당 기준의 일부로 SLA(Service Level Agreement)가 포함되지 않았지만, 이는 MDR 및 DFIR 서비스를 평가하는 사람들에게 중요한 고려 사항입니다. MDR 팀의 진정한 효과는 종종 사이버 인시던트의 영향을 최소화하는 것을 목표로 위협을 최대한 빠르고 효과적으로 탐지, 봉쇄 및 완화하는 능력에 달려 있습니다.
SentinelOne을 사용하면 Vigilance MDR 서비스 분석가가 비교할 수 없는 속도로 이벤트를 처리할 수 있습니다. 이는 사람이 개입하기 전에 엔드포인트 수준에서 위협을 중지하고 격리할 수 있는 Sentinel Agent의 강력한 자율 기능 때문입니다. 또한 Vigilance MDR 분석가는 SentinelOne의 특허받은 Storyline™ 기술에 의해 생성된 실시간 기계 생성 컨텍스트가 포함된 경고를 처리합니다. 이를 통해 분석가는 전체 공격 진행 상황을 한 화면에서 즉시 볼 수 있고 파악할 수 있습니다. 평균적으로 Vigillance MDR 서비스는 공격자의 체류 시간을 단 20분으로 단축합니다.
다른 많은 MDR과 MSSP가 제공하는 서비스는 점과 점을 선으로 연결하고, 컨텍스트를 구축하고, 진양성과 위양성을 검증하며, 위협을 봉쇄하는 프로세스가 종종 수동으로 수행됩니다. 따라서 전체적인 대응 시간이 길어질 수 있습니다.
포인트 4: MDR 서비스뿐만 아니라 DFIR 차별화
MDR 서비스에서 제공하는 24시간 365일 보안 모니터링은 조직에 신뢰할 수 있는 안전성을 제공합니다. 그러나 오늘날의 디지털 세계에서 현실에는 사이버 인시던트에서 100% 침입할 수 없는 조직 등 존재하지 않습니다. 따라서 더 많은 팀이 디지털 포렌식 및 인시던트 응답(DFIR) 기능을 사용하여 보안 프로그램을 강화하려고 합니다.
이 평가는 보다 깊은 분석 및 포렌식 조사에 대한 보안 팀의 요구를 높이고, 이를 위해 필요한 수준의 통찰력이 조직을 대상으로 하는 공격에 대한 최종 클라이언트의 전반적인 이해를 이렇게 강화할 수 있는지가 고려됩니다. 이 아이디어를 바탕으로 Vigilance MDR 팀은 적대가 시뮬레이트된 환경에서 ‘무엇’을 수행했는지뿐만 아니라 ‘어떻게’, ‘왜’하는지에 대해 보고했습니다. 여기에는 맬웨어 및 데이터 추출 기술 분석과 맬웨어 샘플의 리버스 엔지니어링이 포함됩니다.
이러한 기능은 SentinelOne의 Vigilance Respond Pro 제품의 핵심입니다. Vigilance Respond Pro는 고객의 환경에 대한 깊은 지식을 갖춘 통합된 고객을 위한 팀의 전문 지식을 활용하여 더욱 부드러운 MDR 및 DFIR 환경을 제공합니다.
DFIR 팀이 고객 환경에서 어떤 일이 일어나고 있는지 파악하고 기존 도구를 활용하고 일상적인 MDR 팀과 직접 상호작용할 수 있어 전반적인 조사와 대응이 크게 가속화됩니다. MDR 및 DFIR 배포를 고려하는 고객은 하나의 공급업체에서 2개의 서로 다른 사일로화된 팀으로부터 지원을 받거나 MDR과 DFIR을 위해 2개의 개별 회사로부터 지원을 받을 수 있습니다. 대신 한 회사에서 모든 지원을받는 접근법을 고려해야합니다.
향후 전망: MDR 및 DFIR 배포를 고려하는 고객의 다음 단계
관리형 서비스의 MITRE Engenuity ATT&CK 평가 보고서에서 MDR 및 DFIR 서비스를 평가하는 고객에게 중요한 고려 사항이 몇 가지 있습니다. 기술의 폭, 깊이, 신뢰성, 팀이 제공하는 전문 지식 및 서비스 수준에 이르기까지 사이버 보안 파트너를 종합적으로 고려하는 것이 중요합니다.
MITRE Engenuity와 같은 타사 평가 보고서를 계속 사용하여 엔터프라이즈 EDR 및 XDR, ID 및 수락, 관리 서비스 등 다양한 영역에서 성능 실적을 포함하여 조직에 가장 적합한 것을 평가하는 것이 좋습니다. 합니다.
MITRE Engenuity ATT&CK 평가의 3년 동안 SentinelOne의 탁월한 성능에 대해 자세히 알아보세요. 이미 설치된 고객과 마찬가지로 SentinelOne Vigilance MDR 및 DFIR을 통해 보안을 향상시킬 수 있는 Vigilance MDR 에 대해 자세히 알아보세요.