확장된 감지 및 대응(Extended Detection and Response)(XDR)은 최근 몇 달 동안 보안 공급업체와 분석가 사이에서 중요한 화두로 떠올랐습니다. 광범위하게 상호 연결된 하드웨어 및 소프트웨어 솔루션에서 향상된 위협 탐지에 대한 약속은 단순한 로그 관리 기능 이상으로 확장된 SIEM의 초기와 매우 흡사합니다. 대부분의 레거시 SIEM 배포와 마찬가지로 초기 XDR 고객은 도구에 대한 투자와 긍정적인 비즈니스 결과의 사이에 균형을 유지하는 데 어려움을 겪었습니다. 사실, 대부분의 기업은 일부 공급업체 XDR 솔루션에 필요한 데이터 수집 및 분석과 관련된 비용 및 복잡성을 아직 완전히 검토하지 않았습니다. 관련된 당면 과제를 더욱 자세히 살펴보고 SentinelOne이 성공적인 XDR 채택을 위협하는 가장 크고 복잡한 장애 요소 중 하나인 대규모 데이터 관리 문제를 해결하여 XDR 환경을 어떻게 혁신하고 있는지 확인하십시오.
기하급수적으로 증가하는 데이터
IDC는 2025년까지 전 세계적으로 저장되는 총 데이터양이 175ZB에 이를 것으로 예측합니다. 이는 2018년(33ZB)에 예측한 수치보다 무려 5배나 증가한 수치입니다. 더 이상 기가바이트 단위로 계산하지 않는 사람들을 위해 설명하자면, 1제타바이트는 1조 GB에 해당합니다. DVD 미디어에 저장할 경우, 달까지 12회나 왕복할 수 있을 만큼의 디스크가 쌓이게 됩니다. 그러나 이 데이터는 어떻게 세분화되며 이 중 표적 공격으로부터 기업을 안전하게 보호하기 위해 현명한 보안 결정을 내리는 데 사용할 수 있는 데이터의 양은 얼마나 될까요? 데이터를 좀 더 심층적으로 분석해 보겠습니다.
예측된 175ZB의 데이터 중 대략 85%는 엔터프라이즈 및/또는 공용 클라우드에 저장된 양입니다. 더 중요한 것은 IDC의 예측에 따르면 2025년까지 이 데이터의 30%가 엔드포인트 및 IoT 디바이스에서 ‘실시간으로, 센서화되는’ 원격 분석으로 분류될 것이라는 점입니다. 이는 이 풍부한 데이터를 활용하여 보안 태세를 개선하려는 기업에게 엄청난 도전이자 기회입니다.
R
데이터만으로는 유용성을 보장할 수 없으며 데이터 볼륨의 증가가 마법처럼 유용성을 높여주지 않는다는 점을 기억하십시오. 데이터는 정보가 되기 위해 맥락화되고 분석되어야 합니다. 마찬가지로 우리는 여러 정보 지점 간에 의미 있는 연계를 적용하고 상황에 맞는 데이터를 조합하여 실행 가능한 결과로 전환해야만 정보가 지식이 된다는 것을 알고 있습니다. 따라서 맥락이 없는 데이터는 불필요한 경향이 있으며 인간의 두뇌는 이처럼 중요하지 않은 데이터 부분을 빠르게 제거하려고 합니다.
효과적인 데이터 관리를 위한 컨텍스트의 필요성
오늘날 대부분의 기업은 사용자, 디바이스, 애플리케이션 및 센서의 활동 로그를 포함하여 모든 엔터티에 대해 엄청난 양의 원격 분석 데이터를 생성합니다. 이 ‘관찰 가능성의 시대’에 우리는 그에 맞는 기록 없이는 중요한 변화를 일으킬 수 없다는 점을 확신할 수 있습니다. 이러한 기록은 일반적으로 엔터티, 작업, 속성 및 응답 조건을 설명하는 트랜잭션 메시지인 로그 또는 이벤트의 형태를 취합니다. 추가 형태의 원격 분석에는 샘플링되거나 요약된 측정값이 포함된 간단한 메트릭이 포함될 수 있습니다.
정보 보안은 가장 무해하고 평범한 데이터 세트라도 조사 또는 악의적인 감지 범위와 어느 정도 연관되어 있을 수 있음을 가르쳐 주었습니다. 흔히 우리는 은밀한 공격자의 보안 침해가 성공한 후 많은 시간이 지날 때까지 우리가 놓치고 있는 것이 무엇인지 깨닫지 못합니다. 대부분의 공격은 기업에 영향을 미치기 전에 효과적인 엔드포인트 감지 및 방지 플랫폼으로 저지할 수 있는 반면, 남겨진 이동 경로에 대한 분석은 공격자의 TTP(전술, 기술 및 절차)뿐만 아니라 공격 동기와 범위를 최대한 식별하기 위한 유일하게 효과적인 수단이 될 수 있습니다.
Singularity ActiveEDR/XDR은 SentinelOne의 특허받은 Storyline 기술의 고유한 기능을 활용하여 이질적인 보안 이벤트를 단일 타임라인으로 연결하고 공격 시각화를 수행하며 가능한 경우 MITRE ATT&CK 기술 속성뿐만 아니라 위협 행위자 세부 정보까지 포함된 완벽한 정보를 제공합니다.
정보 사각지대를 만드는 불량 디바이스 및 섀도 IT
기업에서 수집한 센서 데이터에 없는 요소들 통해서도 많은 것을 배울 수 있습니다. 공격자는 기회주의적이며 보안 운영 팀에 알려진 디바이스뿐만 아니라 노출된 모든 디바이스를 노립니다. IoT, 클라우드 변환, 컨테이너화된 워크로드 및 BYOD를 기반으로 엔터프라이즈 공격 표면이 확장됨에 따라 원격 분석 소스를 확장하여 필연적으로 존재하는 사각지대를 최소화하거나 제거해야 할 필요성도 커졌습니다.
대부분의 조직은 연결된 디바이스에 대해 정확한 인벤토리를 유지하려 애쓰지만 잠재적인 보안 위험을 제기할 수 있는 불량 디바이스 또는 고아 디바이스가 네트워크에 나타나는 시기를 식별할 수 있는 능력을 갖춘 조직은 찾아보기 힘듭니다.
기업은 기존 센서 그리드와 여기에서 수집된 데이터를 활용하여 보안 범위의 격차를 더 빠르게 식별하고 더 많은 공격 표면을 보호할 수 있습니다. 타당한 정책 수정 없이 기존 센서의 이벤트 볼륨이 변경되는 경우 보안 작업은 알림을 통해 악의적인지 혹은 무해한지와 관계 없이 구성 변경으로 인해 디바이스에서 로깅이 비활성화되거나 축소된 상태가 되지 않았는지 확인할 수 있습니다.
Singularity Ranger는 기업에 디바이스 자산 전반에 대한 가시성을 제공하여 보안 운영 팀이 관리되지 않는/위험한 디바이스를 신속하게 식별하고 해당 특성을 핑거프린팅하고 보호 기능이 없는 디바이스를 강조할 수 있도록 합니다. 그 이후 Ranger Deploy는 지원되는 시스템의 원격 에이전트 설치 및 정책 시행을 수행하여 엔터프라이즈 공격 표면을 줄이고 조직의 보안 태세를 개선할 수 있습니다.
더 알아보기
오늘날 기업이 직면한 중요한 당면 과제는 센서 데이터의 볼륨뿐만이 아닙니다.. 더 중요한 것은 개별 데이터 사일로의 위치와 플랫폼 간 접근성입니다. 사이버 보안 활용 사례에서 이러한 요소는 몇 년간 가장 일반적인 원격 분석 소스(즉 방화벽, 침입 감지 플랫폼, 레거시 바이러스 백신 솔루션 및 중요 서버 자산에 대한 간략한 목록)에서 로그/이벤트가 수집 및 저장되는 SIEM(Security Information Event Management) 플랫폼의 권한에 해당했습니다.
엔드포인트 감지 및 대응(EDR)이 등장 덕분에 기업은 보호된 엔드포인트에서 방대한 양의 고화질, 고가치, 실시간 이벤트 데이터에 액세스할 수 있지만 이 데이터는 일반적으로 SIEM과 완전히 별도의 데이터 저장소에 보관됩니다. 더 많은 엔터프라이즈 워크로드가 PaaS/IaaS 솔루션으로 이동하면서 우리는 새로운 센서 세트에서 연결되지 않은 또 다른 데이터 사일로가 나타나는 현상을 목격합니다.
이처럼 이질적이면서도 상당히 고유한 엔드포인트, 클라우드, 네트워크 및 보안 데이터 세트를 한 위치에 결합하는 데에는 비용이 많이 들고 실현된 가치를 입증하는 것이 불가능하지는 않더라도 어려운 경우가 많습니다. 엔터프라이즈 보안 아키텍처가 더욱 다양해짐에 따라 효과적인 감지 및 보호 수단의 일부로 공급업체 간 데이터 분석 모델을 확보하는 것은 어느 때보다 중요합니다.
Singularity Marketplace는 SentinelOne 보안 생태계에서 증가하는 파트너 목록을 데이터 수집 파이프라인과 다양한 기업의 대응 및 수정 옵션 모두에 쉽게 통합할 수 있도록 합니다.
각 데이터 소스의 고유한 특성(서로 다른 형식, 콘텐츠, 컨텍스트 및 카디널리티)과 결합된 방대한 양의 원격 분석 소스는 오늘날의 기업에게 골치 아픈 데이터 문제를 안겨주었습니다. 이처럼 엄청난 양의 데이터 세트를 효과적으로 소비, 구문 분석, 보강, 정규화, 저장 및 분석하는 것은 대부분의 조직에게 비용 효율적인 제안이 아닙니다. 따라서 대부분의 기업은 비즈니스 프로세스 개선 또는 보안 효율성 향상과 관련하여 각 데이터 소스에 대해 인지된 가치를 기반으로 처리할 데이터 소스를 재량적으로 선택해야 하는 부담에 안고 있습니다.
모든 데이터는 보안 운영 관점에서 볼 때 서로 다른 가치를 지닙니다. 때에 따라 가장 사용하기 쉬운 데이터(예: Windows의 WMI 로그)가 위협 감지 및 보안 인시던트 분류 측면에서는 유용성이 가장 낮을 수 있습니다. 네트워크 흐름 데이터, 이메일 트랜잭션 로그, DNS 요청/응답 이벤트 및 인증 경고와 같이 기업 내에서 가장 방대한 로그는 더 많은 가치를 제공하지만 신호 대 잡음 비율이 낮아 효율적이고 성능이 뛰어나며 확장 가능한 데이터 관리 플랫폼이 없을 경우 이러한 데이터들을 실제로 수집하고 처리하는 것은 너무 번거로운 작업이 됩니다.
데이터 보존: 효과적인 위협 헌팅을 위한 핵심 요소
엔터프라이즈 보안 팀이 극복해야 할 또 다른 당면 과제는 수집된 원격 분석의 장기 보존 및 검색 가능성에 따른 비용적 영향입니다.. 고가치의 대용량 데이터를 소비하지만 30일 후에 강제로 ‘롤오버’하는 것은 실패한 SecOps 기록 헌팅 활용 사례를 만듭니다.
실제로 대부분의 공급업체는 보존 기간을 7일에서 30일로 제한하는 경향이 있습니다! 최근 SolarWinds 공급망 공격에서 나타난 것처럼 보안 커뮤니티는 이미 몇 달 전에 악성 아티팩트 및 적대적인 TTP를 인지했습니다. 이는 해당 로그가 이미 플랫폼에서 노후되었거나 오프라인 아카이브로 이동되어 공격 범위를 분류하기가 어려웠기 때문에 많은 조직이 관련 시간 기간 전반에서 기록 헌팅을 수행할 수 없었음을 의미했습니다.
SentinelOne Singularity 플랫폼의 고객은 365일 보존 기간 동안 실시간 위협 헌팅을 수행할 수 있으므로 SOC 분석가는 이벤트 수집 기간 내내 전체 아티팩트 및 적대적 TTP 가시성을 확보할 수 있습니다.
자동 헌팅 및 알림 규칙은 SentinelOne의 특허받은 STAR™(Storyline Active Response) 기능을 사용하여 생성할 수 있으며 이는 Deep Visibility 데이터 저장소에 저장된 실시간 및 과거 EDR과 타사 원격 분석 데이터를 트리거합니다. 알려진 위협 행위자 캠페인의 자동 감지를 위해 관련 IoC(적대적 아티팩트)가 포함된 콘텐츠 팩이 게시됩니다. SentinelOne은 보존 기간을 더욱 연장하기 위해 수집된 데이터의 전체 범위 및 기간 전반에서 무제한 회고 위협 헌팅을 위해 더욱 오랜 기간 동안 데이터를 보관할 수 있는 시설을 제공하는 HindSight라는 기능을 제공할 예정입니다.
주요 내용
대규모 데이터 관리 문제에 대한 해결책은 기업에서 생성, 수집 및 분석하는 데이터를 민주화하는 데이터 관리 전략입니다.
일반적인 규칙은 다음과 같습니다.
- 어느 애플리케이션도 데이터를 인질로 잡아서는 안 됩니다.
- 여러 리포지토리에서의 데이터 복제는 비용이 많이 들고 관리가 어렵습니다.
- 서로 다른 데이터 사일로를 유지하면 보안 인시던트 분류 및 범위 지정 작업에서 위협 감지를 놓치고 사각지대가 발생하게 됩니다.
- 기업이 비용 대 가치 방정식을 합리화하기 위해 수집 및 저장되는 관련성이 높은 센서 데이터의 볼륨을 줄여야겠다고 느껴서는 안 됩니다.
XDR에 대한 이 블로그 시리즈의 다음 게시물에서는 SentinelOne Data 플랫폼(이전의 Scalyr Event Data Cloud)을 통해 제공되는 고유한 기능 중 일부를 집중적으로 살펴볼 것입니다. 탁월한 센서 수집 및 처리 기능, 신호 대 잡음비 감소 강화, 여러 소스에서 유의미한 위협 감지, 규범적이고 실행 가능한 대응 통합을 통해 SentinelOne이 XDR 환경을 어떻게 변화시키고 있는지 자세히 알아보십시오.
SentinelOne Singularity Platform 이 귀사의 조직과 비즈니스를 어떻게 보호할 수 있는지에 대해 알고 싶으시다면, 우리에게 언제든 연락해주십시오, 무료 데모 신청도 가능합니다