XDR이란 무엇인가요?

확장 탐지 및 대응(XDR) 정의

XDR, 즉 확장 탐지 및 대응은 위협 탐지 및 대응을 위한 사이버 보안 도구입니다. XDR은 기존의 많은 보안 계층에서 데이터를 수집하고 보안 운영 시스템에 대한 응집력 있고 전체적인 접근 방식을 제공합니다.

XDR은 엔드포인트, 네트워크, 이메일 보안, ID, 액세스 관리, 클라우드 등 IT 환경 전반의 다양한 소스의 데이터를 상호 연결하고, 이 데이터 집합으로 대표되는 환경 전반의 사이버 위협을 탐지하고 이에 대응합니다.

XDR이 중요한 이유는 무엇인가요?

XDR은 사이버 범죄가 매년 15%씩 증가하고 있으며1, 공격의 여파가 기업에 막대한 영향을 미칠 수 있기 때문에 중요합니다. 대상 조직은 데이터 또는 인프라 파괴, 금융 자산 도난, 생산성 손실, 지적 재산 도난, 정상적인 비즈니스 운영 중단 등의 영향을 받을 수 있습니다. 따라서, 비즈니스를 안전하게 유지하기 위해 보안 도구가 필요합니다.

새로운 취약성 및 은밀한 사이버 위협 요소는 클라우드 기반 인프라의 보안을 보장하는 데 더 많은 리소스를 할애해야 한다는 것을 의미합니다. 숙련된 보안 전문가의 부족을 보완하기 위해, 기업은 XDR 기술을 사용하여 위협 탐지 및 대응을 자동화하도록 지원합니다.

기업 인프라의 어떤 부분이 노출되는지 살펴보겠습니다.

  • 네트워크: 회사에서 사용하는 컴퓨팅 장치 간의 연결인 여러분의 네트워크는 무단 액세스를 얻고 네트워크를 통과하는 데이터를 도용, 수정 또는 암호화하려는 공격에 노출될 수 있습니다.
  • 엔드포인트: 고객 또는 직원의 랩톱, 휴대폰, 태블릿 또는 데스크톱과 같은 여러분의 네트워크에 연결된 장치는 공격자에게 중요한 데이터에 액세스할 수 있는 진입점 및 피벗 포인트를 제공합니다.
  • 클라우드: 클라우드의 데이터 공유 단순화는 클라우드의 가장 취약한 기능이기도 합니다. 위협은 일반적으로 인증 시스템 및 공용 API를 대상으로 합니다.

증가하는 위협 속에서 최고의 글로벌 CISO가 조직을 보호하는 방법을 읽어보세요.

기타 유형의 탐지 및 대응 솔루션

네트워크 탐지 및 대응(NDR): 네트워크 탐지 및 대응 서비스는 네트워크의 트래픽 모니터링으로 제한됩니다. 이 서비스는 네트워크 트래픽을 분석하여 '정상적인' 네트워크 동작의 기준을 설정합니다. 이 경계를 위반하는 동작은 대응을 위한 플래그가 지정됩니다.

엔드포인트 위협 탐지 및 대응(EDR): 엔드포인트 위협 탐지 및 대응(EDR)은 엔드포인트의 시그니처 및 동작 기반 보안 모니터링을 구성하여 실무자에게 특정 장치의 비정상적이거나 의심스러운 동작에 대한 경보를 보내고 더 빠른 대응을 할 수 있도록 합니다.

관리형 탐지 및 대응(MDR): 관리형 탐지 및 대응은 조직에 보안 운영 기능의 기준을 제공하는 아웃소싱 서비스입니다. 종종 자체 버전의 EDR 또는 XDR 소프트웨어를 사용합니다. MDR은 기업에게 사이버 보안 위협을 모니터링, 분류 및 조사하는 보안 인력을 제공합니다.

XDR과 EDR의 차이점은 무엇인가요?

엔드포인트 위협 탐지 및 대응은 엔드포인트로 제한되므로, 공격 표면에 완전히 적용되지는 않습니다. EDR은 가시성 범위가 부족하기 때문에 공격자는 대체 공격 방법을 사용합니다.

이와는 대조적으로, 확장 탐지 및 대응은 모든 인프라에 걸쳐 완벽한 적용 범위를 제공합니다. 엔드포인트, 이메일, 서버, 네트워크 및 클라우드를 모니터링하여 위협이 잠복해 있을 수 있는 모든 곳에서 탐지 및 대응을 할 수 있습니다.

XDR과 NDR의 차이점은 무엇인가요?

네트워크 탐지 및 대응의 주요 차이점은 적용 범위입니다. NDR은 EDR과 마찬가지로 네트워크 트래픽 모니터링에 국한된 격리된 기능입니다. 네트워크 보안 위협을 평가, 플래그 지정 및 대응합니다.

XDR은 보다 광범위한 기술을 활용해 탐지 및 대응 기능을 확장하여 위협 표면을 보다 완벽하게 파악할 수 있도록 지원합니다.

XDR과 MDR 비교

MDR은 보안 팀에게 기술을 모니터링, 조사, 대응 및 배포하는 전문 보안 분석가를 제공하는 아웃소싱 서비스입니다. MDR 서비스 제공자는 일반적으로 SIEM, EDR 및 NDR과 같은 보안 기술을 조합하여 위협을 모니터링하고 탐지합니다.

XDR은 보안 팀이 사이버 보안 위협을 분석하고 이에 대응할 수 있는 권한을 부여합니다. XDR은 자동으로 대응하거나 실무자에게 수동으로 응답하도록 경보를 보낼 수 있습니다.

XDR은 어떻게 작동하나요?

달리 수동으로 수행하기 어려울 만한 작업이 XDR에서 자동으로 처리됩니다. XDR은 여러 보안 제품에서 데이터를 수집하여 잠재적 위협 요소를 전체적으로 파악할 수 있도록 지원합니다. 이러한 상이한 도구 간에 원격 측정을 상호 연관시키고 고급 분석을 수행하여 비정상적이고 의심스러운 활동을 탐지합니다. 의심스러운 패턴이 식별되면, XDR은 이벤트에 자동으로 대응하거나 보안 팀에 수동으로 응답하도록 경보를 보냅니다. 대응 작업을 구성한 방법에 따라, IP 주소 차단, 사용자 격리 또는 도메인 차단이 대응에 포함될 수 있습니다.

XDR은 다음과 같은 다양한 방법으로 보안 팀을 지원할 수 있습니다.

  • 중앙 집중화된 분석: XDR로 보안 팀은 여러 유형의 데이터를 수집 및 분석하는 기능을 통해 위협이 있는 장소를 가리지 않고 위협을 파악하고 해결할 수 있습니다.
  • 경보 피로를 없애기 위한 노력: XDR은 경보를 정렬하고 우선 순위를 지정하여 실무자의 생산성을 높입니다.
  • 효율성 향상: XDR을 사용하면 팀에서 위협을 식별하거나 데이터를 수동으로 상호 연결하는 데 소요되는 시간을 줄일 수 있습니다. 보안 팀은 조사를 수행하는 대신 개발에 집중할 수 있습니다.

XDR 사용 사례

조직은 확장 탐지 및 대응 솔루션을 사용하여 다음과 같은 여러 사용 사례를 충족합니다.

  • 경보 분류: XDR 소프트웨어는 위협을 탐지하고 분석가가 경보를 분류하는 데 도움이 되는 기업의 첫 번째 방어선 역할을 할 수 있습니다. 위협 또는 이벤트에 대한 최초 대응자로 작업하면 효율성이 향상되어 사고 대응자에게 인계하고 사전 예방적 분석이 가능합니다.
  • 보안 조사: 조사관은 XDR의 중앙 집중화된 수집, 분석 및 대응 기능을 통해 보다 신속하게 대응할 수 있습니다.
  • 위협 헌팅: XDR은 가시성을 확장하고, 상관 관계를 강화하며, 교차 환경 분석을 간소화하여 위협 헌터를 지원합니다.

XDR의 이점은 무엇인가요?

  • 가시성 향상: XDR 솔루션은 엔드포인트, 네트워크 및 클라우드 환경 전반에 걸쳐 더 나은 가시성을 제공할 수 있습니다. 분석가는 모든 데이터 소스를 중앙 집중식으로 볼 수 있으므로 조직 전체에서 이상 징후와 의심스러운 활동을 신속하게 식별할 수 있으며, 잠재적 위협을 식별하는 데 도움이 될 수 있습니다.
  • 통합 분석: XDR 솔루션은 로그, 엔드포인트, 네트워크 트래픽 등 다양한 소스에서 데이터를 수집하고 상관 관계를 분석하여 위협 상황을 보다 포괄적으로 파악할 수 있습니다. 분석가는 데이터를 상황에 맞게 조정함으로써 위협의 범위를 더 잘 이해하고 대응의 우선순위를 지정할 수 있습니다.
  • 생산성 향상: XDR 솔루션은 데이터 수집, 분석 및 조사와 같은 일상적인 작업을 자동화하여 분석가가 보다 복잡한 작업에 집중할 수 있도록 지원합니다. 이를 통해 위협을 식별하고 대응하는 데 걸리는 시간을 줄여 전반적인 위협 헌팅 효율성을 높일 수 있습니다.
  • 풍부한 컨텍스트: XDR 솔루션은 위협 인텔리전스 피드와 통합되어 분석가에게 알려진 위협 및 침해 지표(IoC)에 대한 추가 정보를 제공할 수 있습니다. 이를 통해 새로운 위협이나 최근에 생겨난 위협을 식별하고 이를 사전 예방적으로 헌팅하는 데 도움이 될 수 있습니다.

조직에 적합한 XDR 플랫폼을 선택하는 방법

  1. 분석, 근본 원인 식별 및 문제 해결 계획을 중앙에서 수행할 수 있는 XDR 솔루션을 선택합니다. 목표는 보안 사일로에서 벗어나 환경 전체를 심층적으로 파악하는 것입니다.
  2. 새로운 사용 사례를 구현하고 조직의 필요에 맞게 확장할 수 있는 유연한 프레임워크 및 아키텍처를 제공하는 XDR 서비스를 찾습니다.
  3. 선택하는 XDR 서비스는 통합되어야 합니다. 그래야만 기업이 워크로드를 자동화하여 평균 응답 시간을 단축할 수 있습니다.

Elastic을 이용한 Limitless XDR

Elastic의 Limitless XDR은 한정적인 리소스, 분리된 시스템 및 기존 보안 도구의 한계에도 불구하고 점점 더 정교해지는 공격자로부터 빠르게 진화하는 조직을 보호할 수 있도록 지원합니다.

하이브리드 클라우드를 위해 구축된 개방형 플랫폼(랜섬웨어 및 첨단 위협을 모두 차단하는 에이전트 포함)에서 Elastic Security는 SOC를 강화하여 위험을 줄입니다. 이 솔루션은 공격 표면 전체에서 수년간 수집한 데이터로 고급 분석을 강화하여 데이터 사일로를 제거하고, 예방 및 탐지를 자동화하며, 조사 및 대응을 간소화합니다.

보안은 비즈니스 성장의 핵심입니다. Elastic에서는 팀이 가장 중요한 것에 집중할 수 있도록 지원하는 확장 가능하고 빠른 XDR 기술을 제공합니다.

각주

1 Morgan, Steve. “Cybercrime to Cost the World $10.5 Trillion Annually by 2025(2025년까지 전 세계에 매년 10조 5천억 달러의 비용이 드는 사이버 범죄).” Cybercrime Magazine, 2021년 4월 27일, https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021.