메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

Contents 공유하기

Contents 공유하기

카카오 스토리 공유하기

가입하기

Contents 공유하기

인스타그램 공유하기

가입하기

Contents 공유하기

네이버밴드 공유하기

가입하기

EPP와 EDR : 종점 사이버 보안의 미래

복잡한 공격. 비 공격적인 공격. 물리적 액세스에 의한 파일없는 공격 및 맬웨어 방지 새로운 도구와보다 민첩한 사이버 범죄 기술을 활용하는 제로 데이 (Zero-day) 공격. 오늘날의 폭 넓은 위협 환경에서 예방 기술만으로는 고급 위협으로부터 기업을 보호 할 수 없습니다. 사이버 범죄자가 최소한의 비용으로 효과적인 표적 공격을 수행 할 수 있다는 사실을 덧붙여서 성공적인 공격의 숫자가 전 세계적으로 계속 증가하는 것은 놀랄 일이 아닙니다.

카스퍼스키랩이 위촉 한 카스퍼스키랩의 새로운 위협 인 새로운 사고 방식 : 복잡한 공격 세계에서 위험에 처한 것으로 보고 된 B2B International의 조사 결과에 따르면 표적 공격은 2017 년에 가장 빠르게 증가하는 위협 중 하나가되어 전반적인 유형별률은 중소기업의 경우 6 %, 기업의 경우 11 %가 증가했습니다.

4 분의 1 이상의 기업 (27 %)은 인프라 스트럭처에 대한 공격이 있었고 전년도 같은 기간에 비해 21 % 증가했으며 기업의 33 %는 사이버 범죄자의 특정 대상이되었다고 생각했습니다. 조사 대상 기업 중 57 %는 어느 시점에 보안 침해가 발생할 것이라고 예상했으며 42 %는 여전히 이러한 위협에 대응하는 가장 효과적인 전략을 확신하지 못했다고 답했습니다.

전통적인 접근법은 더 이상 충분하지 않습니다.

일반적으로 조직의 인프라에 존재하는 엔드 포인트 보호 플랫폼 (EPP)은 기존 맬웨어와 같은 알려진 위협을 제어합니다. 또한 알려지지 않은 바이러스도 처리 할 수 ​​있습니다. 예를 들어, 엔드 포인트에서 알려진 새로운 형태의 알려진 맬웨어를 사용할 수 있습니다. 이 시스템은 알려진 위협 및 알려지지 않은 위협으로부터 시스템을 보호합니다. 그러나 사이버 범죄 기술은 최근 몇 년 동안 크게 발전했으며 사이버 범죄자들은 ​​공격 과정에서 공격적으로 변했습니다. 공통 위협, 고유 한 악의적 인 패턴 및 사이버 범죄자의 복잡한 침투 기술을 기반으로하는 활동의 결합은 선진 위협 및 표적 공격을 전적으로 기존의 사이버 보안 접근법에 의존하는 모든 조직에 대해 매우 위험하게 만듭니다.

기업은 데이터 및 재정, 지적 재산, 민감한 상업 데이터, 비즈니스 프로세스 및 경쟁 우위 등에 대한 개인 또는 기타 민감한 데이터에 이르기까지 모든 측면에서 도난 또는 공격의 위험에 처합니다.

고급 위협과 관련된 인시던트는 응답 및 프로세스 복구 비용, 새로운 시스템 또는 프로세스에 대한 투자 비용, 가용성에 미치는 영향, 평판 및 브랜드 손상, 재정적 손실 등 비즈니스에 상당한 영향을 미칩니다. 조직은 확산되고있는 악성 프로그램의 수가 증가 할뿐만 아니라 복잡한 고급 위협 및 표적 공격의 증가를 고려해야합니다.

즉, 워크 스테이션, 랩톱, 서버 및 스마트 폰을 포함하여 네트워크, 메일 및 웹 트래픽을 넘어 엔드 포인트로 보호를 확장해야합니다. 이러한 엔드 포인트는 공격 대상이되는 동안 조직의 인프라 스트럭처에 일반적으로 사용되는 엔트리 포인트로, 오늘날의 위협 환경에서 엔드 포인트 가시성을 중요하게 만듭니다.

에 따르면 SANS 2017 위협 풍경 설문 조사 , 응답자의 74 %는 링크를 클릭하거나 전자 메일 첨부 파일을 열면 위협이 조직을 입력하는의 최고 방법이고, 48 %라는 이름의 웹 드라이브로 또는 다운로드 말했다. 설문 조사에 참여한 기업의 81 %는 엔드 포인트 보안 도구를 위협 탐지에서 가장 유용한 수단으로 간주했습니다.

종점 탐지 및 응답을위한 특수 도구의 필요성

분명히 끝점에서 쉬운 위협을 차단하는 것으로는 충분하지 않습니다. 오늘날 기업은 최신의 복잡한 위협을 감지하고 이에 대응할 수있는 도구가 필요합니다.

왜?

첫째, 사이버 범죄자가 사용하는 표적 공격의 특성 때문에 :

  • 보안 시스템 우회 - 공격자는 사용중인 엔드 포인트 보안 시스템을 포함하여 기존 인프라에 대한 철저한 조사를 수행합니다.
  • 제로 데이 취약점, 손상된 계정
  • 악성 소프트웨어 또는 특별히 제작 된 고유 한 소프트웨어.
  • 정상적으로 보이고 따라서 신뢰할 수있는 손상된 객체.
  • 데스크톱 컴퓨터, 랩탑, 서버 등 가능한 한 많은 엔드 포인트로 침투하는 데 중점을 둔 멀티 리더십 접근법.
  • 사회 공학과 내부자로부터 얻은 데이터.

둘째, 전통적인 엔드 포인트 보호 제품의 기술적 인 한계로 인해 :

  • 일반적인 (복잡하지 않은) 위협, 이미 알려진 취약성 또는 이전에 알려진 방법으로 구축 된 알려지지 않은 위협을 탐지하고 차단하는 것을 목표로하십시오.
  • 각 단일 종단점의 가시성에 중점을두고 단일 중앙 집중식 인터페이스를 통해 실시간으로 모든 종단점을 실시간으로 시각화하고 모니터링하도록 설계되지 않았습니다.
  • IT 관리자에게 위협 컨텍스트에 대한 통찰력을 제공하기 위해 필요한 위협 정보를 제공하지 않으며, 개별 엔드 포인트 활동, 프로세스, 타임 라인 및 회사의 모든 엔드 포인트와의 잠재적 관계에 대한 완전한 가시성이 부족합니다.
  • 서로 다른 탐지 메커니즘의 여러 평가가 단일 통합 사고로 기본 제공되는 매핑 또는 상관 관계를 제공하지 않습니다.
  • 비정상적인 활동, 정상적인 활동의 편차 등을 감지하는 기능을 지원하거나 합법적 인 프로그램의 작업을 분석하지 마십시오.
  • 소급하여 측방 맬웨어 이동을 분석 할 수 없습니다.
  • 파일리스 공격, 메모리 주입 또는 악성 코드가없는 위협을 탐지하는 기능이 제한적입니다.

위와 같이 알 수 있듯이 엔드 포인트 보호 기술은 모든 위협의 90 % 이상을 차지하는 단순한 위협과 잘 작동합니다. 이러한 위협과 관련된 인시던트 비용 (약 10,000 달러)은 APT (고급 영구 위협) 공격 (926,000 달러)과 관련된 인시던트 비용에 비해 무시할 수 있습니다. 이전에 의도적 인 복합 공격이 감지 될수록 재정적 손실은 줄어 듭니다. 복잡한 위협에 직면하여 탐지 및 대응의 품질과 효율성이 가장 중요합니다. 표적 공격 및 APT로부터 보호하기 위해 조직은 표적 공격 및 APT 수준의 위협 요소를 종점에 대항하기위한 특수 솔루션의 사용에 대해 생각할 필요가 있습니다.

평균적인 비용 발생 및 복잡한 위협에 대응할 수 없도록 설계된 기존 EPP 솔루션의 기능상의 차이는 고급 위협 탐지 및 대응을위한 특수 제품에 대한 추가 투자의 필요성을 분명히 보여줍니다. EPP 제품은 더 큰 유연성을 필요로하며 회사의 크기 및 요구 사항에 따라 종단 감지 및 응답 (EDR) 기능을 포함하거나 독립형 전 기능 EDR 솔루션과 통합 할 수 있어야합니다.

진정한 엔드 - 투 - 엔드 가시성 및 사전 탐지

EDR은 보안 모니터링 및 기업 종단점에 대한 사고 대응에 집중하여 실시간 모니터링의 필요성을 해결하는 사이버 보안 기술입니다. 단일 콘솔에서 관리되는 기업 인프라의 모든 엔드 포인트 활동에 대한 진정한 엔드 투 엔드 가시성을 IT 보안 전문가가 추가 조사 및 대응할 때 사용하는 중요한 보안 인텔리전스와 함께 제공합니다.

대부분의 엔드 포인트 보호 플랫폼은 저장된 패턴과 서명 파일을 사용하여 알려진 위협을 차단합니다. 위협 학습 및 발견에 대한 기계 학습 및 심층적 인 탐지 메커니즘을 사용하는 최신 차세대 엔드 포인트 보호 플랫폼은 맬웨어 방지 보호 기능을 제공하는 데 중점을 둡니다.

EDR의 주된 목표는 새롭거나 알려지지 않은 위협, 종점과 서버를 통해 조직에 직접적으로 침입하는 확인되지 않은 감염을 사전에 탐지하는 것입니다. 이는 "신뢰할 수있는"또는 "확실한 악의적 인"영역에 포함되지 않은 회색 영역, 해당 객체 또는 프로세스가있는 곳의 이벤트를 분석하여 수행됩니다.

EDR 기능이 없으면 클래식 EPP는 기술적 인 측면에서 엔드 포인트 가시성, 회고 및 다중 종단 공격 분석 및 이벤트 상관 관계를 지원하지 않으며 복잡한 공격과 관련된 여러 이벤트 탐지에서 적절한 응답을 결정할 수있는 기능을 기술적으로 지원하지 않습니다. 시장의 모든 EPP 솔루션이 위협의 주요 전술, 절차 및 기술을 이해하는 데 필요한 위협 정보에 대한 액세스를 지원하는 것은 아닙니다.

이러한 모든 기능은 현대적인 위협 및 공격 대상을 방어하는 데 필요합니다. 회사는 단일 EPP 솔루션으로 더 이상 엔드 포인트 보안을 처리 할 수 ​​없다는 점을 이해해야합니다. EDR은 YARA 규칙, 샌드 박싱, IoC 스캔 (손상 표시), 의심스러운 활동 발견 및 유효성 확인, 소급 분석 등 고급 탐지 기술을 사용하므로 알 수없는 맬웨어 변종을 제로 데이 및 APT 수준의 공격에서 탐지 할 수있는 기회가 훨씬 더 많습니다 동적 기계 학습, 사고 조사 및 봉쇄, 대응 자동화, 수정 기능 등을 기반으로하는 이벤트 상관 관계가 있습니다.

고급 위협으로부터의 안정적이고 효과적인 보호를 위해 EPP와 EDR은 알려진 위협을 처리하는 EPP와 알려지지 않은 더 복잡한 위협을 다루는 EDR을 공동으로 사용합니다. 강력한 EDR 플랫폼은 분석가가 전통적인 엔드 포인트 보호 솔루션이 놓칠 수있는 고급 위협으로 인해 이미 손상된 것에 대응하기보다는 방어를 조사하고 개선하는 데 도움을 줄 수 있습니다.

또한 EPP는 보호뿐만 아니라 응용 프로그램, 장치 및 웹 제어도 제공합니다. 취약성 평가 및 패치 관리; URL 필터링; 데이터 암호화; 방화벽; 그리고 더.

고급 위협에 대응하기위한 통합 된 접근 방식

위에서 설명한 각 시스템은 다른 시스템에서 누락 된 (또는 부분적으로 만 존재하는) 것을 보완합니다. 이는 솔루션이 서로 통합되고 상호 작용해야 함을 의미합니다. EPP와 EDR은 위협에 대응한다는 공통의 목표를 가지고 있지만 중요한 차이점이 있습니다. 이들은 서로 다른 유형의 위협으로부터 보호하기 위해 다양한 접근 방식을 취하고 서로 다른 도구를 사용합니다.

Gartner의 "엔드 포인트 탐지 및 대응 솔루션을위한 전략적 계획 수립 2017"보고서에 따르면 2021 년까지 대기업의 80 %, 중간 규모 조직의 25 % 및 소규모 기업의 10 %가 EDR 기능에 투자 할 예정입니다.

광범위한 위협과 분명히 악의적 인 객체의 탐지 및 자동 차단을위한 EPP와 같은 예방 기술의 존재는 복잡한 공격과 관련이없는 많은 사소한 사건을 분석 할 필요가 없으므로 탐지를 목표로하는 특수 EDR 플랫폼의 효율성을 높입니다. APT 수준의 위협. EDR은 복잡한 위협을 탐지 한 후 엔드 포인트 보호 플랫폼에 평결을 보낼 수 있습니다. 이런 식으로 두 사람은 협력하여 진보 된 위협에 대응하기위한 진정한 통합 접근법을 제공합니다.

EDR에서 최대 가치 추출

우리가 고려해야 할 다른 것이 있습니다. 대부분의 조직은 이미 EDR 기능이 필요하지만, 우리는 또한 이러한 조직의 많은 비율이 본격적인 EDR 배포 또는 적절한 사용을 위해 기술과 자원이없는 사실을 직면해야한다.

이것은 IT 부서가 추적하는 간단한 EPP에서 EDR을 사용할 때 적절한 IT 보안 팀 리소스를 포함해야하는 필요성으로의 전환에 관한 것입니다. 앞에서 보았 듯이 EDR 기술은 단순한 표준 보호 이상의 기능을 제공합니다. EDR의 이점을 극대화하려면 충분한 지식과 경험을 갖춘 보안 엔지니어와 위협 분석가가 필요합니다. 이러한 전문가는 EDR 플랫폼에서 가치를 추출하고 효과적인 대응 방법을 체계화하는 방법을 이해해야합니다.

보안 분야의 각 조직의 성숙도와 경험 및 필요한 자원의 가용성에 따라 일부 비즈니스는 엔드 포인트 보안을 위해 자체적 인 전문 지식을 사용하는 대신 가장 복잡한 측면의 아웃소싱 리소스를 요청하는 것이 가장 효과적이라는 것을 알게됩니다. 또한 위협 정보 포털 및 APT 인텔리전스보고에 액세스하고 위협 데이터 피드를 사용하여 기술 교육을 통해 사내 전문 기술을 구축 할 수 있습니다. 또는 압도적 인 인력 부족 부서의 경우 특히 매력적입니다. 그들은 처음부터 다음과 같은 제 3 자 전문 서비스를 채택 할 수 있습니다.

  • 보안 평가 서비스,
  • 위협 사냥,
  • 사건 대응,
  • 디지털 포렌식,
  • 맬웨어 분석 및 리버스 엔지니어링,
  • 24/7 프리미엄 지원.

카스퍼 스키 랩에서 제안 된 솔루션

엔드 포인트 보호에 대한 카스퍼 스키 랩의 접근 방식에는 카스퍼 스키 종점 보안, 카스퍼 스키 종단점 탐지 및 대응, 카스퍼 스키 사이버 보안 서비스가 있습니다. 규정 준수의 이유로 기업 환경 외부에서 기업 데이터를 공개 또는 전송할 수 없거나 인프라를 완벽하게 격리 할 수없는 조직의 경우 카스퍼 스키 개인 보안 네트워크 는 카스퍼 스키 시큐리티 네트워크에서 제공하는 글로벌 클라우드 기반 위협 인텔리전스의 이점 대부분을 제공합니다 (KSN,) 통제 된 둘레를 떠나는 어떤 데이터도없이.

이러한 구성 요소는 각 조직의 구체적인 특성과 진행중인 프로세스에 적응하여 다음을 제공합니다.

  • 가장 일반적인 공격을 차단하는 유명한 예방 기술의 독특한 조합.
  • 고유하고 새롭고 진보 된 위협을 탐지하고 신속하게 대응할 수있는 고급 메커니즘 및 기술 범위.
  • 미래의 위협을 예측하고 전문 서비스를 사용하여 사전 예방 적 보호를 구축 할 수있는 능력.
  • 통제 된 경계에서 데이터를 공개하지 않고 글로벌 클라우드 기반 위협 인텔리전스를 사용하여 이익을 얻을 수있는 기능.

Kaspersky Endpoint Security는 ransomware, 맬웨어, 봇넷 및 기타 알려진 고급 및 부분적으로 알려지지 않은 위협을 비롯한 다양한 위협에 대해 유연하고 자동화 된 방어 기능을 제공하는 HuMachine Intelligence가 제공하는 차세대 사이버 보안 기술을 기반으로하는 다중 계층 엔드 포인트 보호 플랫폼입니다.

Kaspersky Endpoint Detection and Response 는 Kaspersky Endpoint Security와 동일한 에이전트를 사용하여 컴퓨터 학습, 샌드 박싱, IoC 스캐닝 및 위협 정보를 포함한 고급 기술을 사용하여 복잡한 위협을 밝혀 내고 인식하는 다각적 인 접근 방식을 제공합니다. 적법한시기 적절한 위협 발견을 통해 향후 악의적 인 행동을 방지하고 후속 차단을 위해 Kaspersky Endpoint Security에 대한 평결을 보냅니다.

카스퍼 스키 사이버 시큐리티 서비스 는 진행중인 사건 이후에 즉각적이고 전문적인 지원을 제공하여 데이터 손상의 위험을 줄이고 재정적 손실 및 평판의 피해를 최소화합니다. 카스퍼 스키 사이버 보안 서비스 포트폴리오에는 광범위한 보안 교육 커리큘럼, 최신 위협 인텔리전스, 신속한 사고 대응, 사전 예방 적 보안 평가, 완벽한 아웃소싱 위협 탐지 서비스 및 연중 무휴 프리미엄 지원이 포함됩니다.

고급 위협 처리에는 고급 도구가 필요합니다.

고급 위협 및 대상 공격을 견딜 수 있도록 기업은 서로 보완 할 수 있도록 설계된 자동화 된 도구와 서비스를 필요로하며 보안 팀과 기존의 기업 보안 운영 센터 (SOC)가 대부분의 공격을 방지하고 새로운 새로운 위협을 신속하게 탐지하며 실제 공격을 처리하고 시의 적절하게 예측하고 미래의 위협을 예측합니다.

적절한 기술 및 서비스 조합을 통해 조직은 포괄적 인 적응 형 보안 전략을 수립하고 따라갈 수 있으며 끊임없이 변화하는 사이버 위협의 성격을 다룰 준비를 갖추고 보호 기능을 개선하고 향후 공격의 위험을 완화 할 수 있습니다.

추천 컨텐츠