사이버 보안 산업은 전문 용어, 약어, 두문자어로 가득합니다. 엔드포인트에서 네트워크, 클라우드에 이르기까지 정교한 공격 벡터가 증가함에 따라 많은 기업들이 지능형 위협에 대응하기 위해 새로운 접근 방식으로 전환하고 있습니다. 확장 탐지 및 대응이 바로 그것이며, 여기에서 XDR이라는 약어가 추가로 생겨납니다. XDR은 업계 리더와 분석가 커뮤니티로부터 많은 관심을 받았지만, 여전히 XDR의 개념은 변화하고 있기 때문에 해당 주제에 대한 명확성이 뚜렷하지 않습니다.
- XDR이란?
- XDR과 EDR의 차이점은?
- SIEM 및 SOAR와 동일한 것인가?
EDR 시장의 리더이면서 새로운 XDR 기술의 개척자인 저희는 이들이 무엇을 의미하며 어떻게 고객에게 더 나은 결과를 줄 수 있는지 뚜렷하게 제시하도록 많은 요청을 받습니다. 이 게시물을 통해 XDR에 대한 몇 가지 일반적인 질문 그리고 EDR, SIEM, SOAR과의 차이점을 분명히 밝히려고 합니다.
EDR이란?
조직은 EDR을 통해 엔드포인트에서 의심스러운 행동을 모니터링하고 모든 단일 활동 및 이벤트를 기록할 수 있습니다. 그런 다음, 정보를 상호 연관시켜 중요한 상황별 분석을 제공하고 지능형 위협을 탐지한 후, 감염된 엔드포인트를 거의 실시간으로 네트워크에서 격리하는 등의 자동 대응 활동을 실행합니다.
XDR이란?
XDR은 엔드포인트 탐지 및 대응을 뜻하는 EDR의 진화형입니다. EDR이 여러 엔드포인트에서 활동 정보를 수집하고 상호 연관시키는 반면에 XDR은 엔드포인트 그 이상으로 탐지 범위를 확장하여 엔드포인트, 네트워크, 서버, 클라우드 워크로드, SIEM 등에 관련된 탐지, 분석 및 대응을 제공합니다.
이런 식으로 여러 툴과 공격 벡터에 걸쳐 종합적인 감시창을 제공할 수 있습니다. 이렇게 개선된 가시성을 통해 위협에 대한 상황별 분석이 가능하므로 분류, 조사 및 신속한 해결책 모색에 도움이 됩니다.
XDR은 여러 보안 벡터에서 데이터를 자동으로 수집하고 상호 연관시켜 비교적 빠르게 위협을 탐지하기 때문에 위협 범위가 확대되기 전에 보안 분석가가 신속하게 대응할 수 있습니다. 다양한 제품 및 플랫폼에 걸쳐 통합형 사전 조율 메커니즘을 즉시 활용할 수 있기 때문에 생산성, 위협 탐지, 포렌식 기능을 개선하는 데 도움이 됩니다.
XDR과 SIEM의 차이점은 무엇인가?
보통 XDR에 대해 이야기할 때 어떤 사람들은 보안 정보 및 이벤트 관리(SIEM) 툴을 다른 식으로 설명한다고 생각합니다. 하지만 XDR과 SIEM은 서로 다릅니다.
SIEM은 기업 전반에 걸쳐 대량의 로그 데이터를 수집, 종합, 분석, 저장합니다. SIEM은 기업 전체의 거의 모든 소스에 있는 로그 및 이벤트 데이터를 수집하여 저장하고 다양하게 사용할 수 있도록 매우 광범위한 접근 방식으로 진행되었습니다. 여기에는 통제 및 규정 준수, 규칙 기반 패턴 매칭, UEBA와 같은 휴리스틱/행동 위협 탐지, 원격 관측 소스에서 IOC 또는 미세 지표를 추적하는 것이 포함됩니다.
하지만 SIEM 툴은 많은 미세 조정과 구현 작업이 필요합니다. 게다가 보안 팀은 SIEM에서 발생하는 수많은 경보를 감당해야 하기 때문에 SOC가 중요한 경보를 놓칠 수도 있습니다. SIEM은 수십 개의 소스와 센서에서 데이터를 포착하지만, 여전히 여러 경보를 발생시키는 수동적 분석 툴입니다.
XDR 플랫폼은 표적 공격을 효과적으로 탐지하고 대응하기 위해 SIEM 툴의 문제점을 해결하는 것을 목표로 하며 행동 분석, 위협 인텔리전스, 행동 프로파일링 및 정보 분석을 포함합니다.
XDR과 SOAR의 차이점은 무엇인가?
보안 조율 및 자동 대응(SOAR) 플랫폼은 능숙한 보안 운영 팀이 다단계 플레이북을 구축하고 운영하는 데 사용하며, 이 플레이북을 통해 API에 연결된 에코시스템의 보안 솔루션 전반에 걸쳐 작업을 자동화합니다. 이와 대조적으로 XDR은 마켓플레이스를 통해 에코시스템을 구현하고, 제3자 보안 제어에 대비하여 간단한 조치를 자동화하는 메커니즘을 제공합니다.
SOAR는 복잡하고 비용이 많이 들며, 파트너 통합 및 플레이북을 구현하고 유지하기 위해 매우 능숙한 SOC가 필요합니다. XDR 플랫폼에서 시작하여 여기에 연결된 보안 툴에 이르기까지 실행성을 제공하는 XDR은 간단하고 직관적인 제로 코드 솔루션, 즉 ‘SOAR-lite’를 의미합니다.
MXDR이란?
관리형 확장 탐지 및 대응(MXDR)은 MDR 서비스를 기업 전반으로 확장한 것이며 엔드포인트, 네트워크, 클라우드 환경에서 보안 정보 분석 및 운영, 지능형 위협 추적, 탐지 및 신속 대응 등을 실행하는 완전한 관리형 솔루션입니다.
MXDR 서비스는 모니터링, 조사, 위협 추적, 대응 기능을 향상시키기 위해 MDR 서비스로 고객의 XDR 기능을 강화합니다.
왜 XDR이 주목을 받고 화제를 불러일으키는가?
XDR은 사일로식 보안을 대체하고 조직이 종합적인 관점에서 사이버 보안 문제를 해결할 수 있도록 지원합니다. XDR은 전체 에코시스템의 정보로 구성된 단일 원시 데이터 집합을 통해 광범위한 소스에서 데이터를 수집하고 대조하여 EDR보다 더 신속하고 심층적이며 효과적인 위협 탐지 및 대응을 구현할 수 있습니다.
XDR은 위협에 대해 보다 향상된 가시성과 상황별 분석 능력을 제공합니다. 따라서 이전에는 해결하지 못했을 사고가 인지도 상승을 통해 표면으로 드러나게 되고, 보안 팀은 추가 영향을 해소하고 줄이며 공격 범위를 최소화할 수 있습니다.
일반적인 랜섬웨어 공격은 네트워크에서 측면으로 확산하고 이메일 수신함에 도달한 다음, 엔드포인트를 공격합니다. 이런 공격을 각각 독립적으로 살펴보면서 보안을 해결하는 것은 조직에게 많은 불리함을 줍니다. XDR은 서로 다른 보안 제어를 통합하여 전반적인 기업 보안 자산에 자동화되거나 즉각적인 대응 조치를 제공합니다. 이런 조치에는 사용자 액세스 비활성화, 침해가 의심되는 계정에 다중 요소 인증을 강제화하는 것, 인바운드 도메인 및 파일 해시 차단 등이 포함됩니다. 이 모든 것이 사용자가 작성한 맞춤형 규칙 또는 지시적 대응 엔진에 구축된 로직을 통해 이루어집니다.
XDR은 전체 에코시스템의 정보로 구성된 단일 원시 데이터 집합을 통해 광범위한 소스에서 데이터를 수집하고 대조하여 EDR보다 더 신속하고 심층적이며 효과적인 위협 탐지 및 대응을 구현할 수 있습니다.
이런 포괄적인 가시성이 주는 여러 이점은 다음과 같습니다.
- 데이터 소스의 상호 연관을 통해 평균 탐지 시간(MTTD)을 줄입니다.
- 분류를 가속화하고 조사 및 범위 지정 시간을 줄여서 평균 조사 시간(MTTI)을 단축합니다.
- 간단하고 빠르며 관련성이 높은 자동화를 구현하여 평균 대응 시간(MTTR)을 줄입니다.
- 전체 보안 자산에 대한 가시성을 향상시킵니다.
또한 AI 및 자동화 기능이 있는 XDR 덕분에 보안 분석가는 수동 작업 부담을 줄일 수 있습니다. XDR 솔루션은 정교한 위협을 사전에 신속하게 탐지할 수 있기 때문에 보안 또는 SOC 팀의 생산성을 높이고 조직의 ROI를 크게 증대시킬 수 있습니다.
마지막 의견
많은 기업들이 공급업체 환경을 탐색하는 일에 어려움을 겪고 있으며, 특히 탐지 및 대응 솔루션을 모색할 때 그렇습니다. 주로 가장 큰 장애물은 각 솔루션이 제공하는 것을 이해하는 것입니다. 특히 용어가 공급업체마다 다르고 의미도 다를 수 있기 때문에 이해하기 어렵습니다.
시장에 진입하는 모든 새로운 기술과 마찬가지로 많은 과대 광고가 있기 때문에 구매자는 현명해야 합니다. 현실은 모든 XDR 솔루션이 똑같지 않다는 것입니다. SentinelOne Singularity XDR은 여러 보안 계층에 걸쳐 탐지 및 대응 기능을 통합하고 확장하므로, 전반적인 기술 스택에서 중앙 집중식 엔드 투 엔드 기업 가시성, 강력한 정보 분석, 자동화된 대응을 보안 팀에게 제공합니다.
SentinelOne Singularity 플랫폼에 관해 보다 자세히 알고 싶으시면, 저희에게 연락하시거나 무료 데모를 요청하여 주십시오.