Elastic Endpoint Security 도입
이 게시물에 언급된 Elastic Endpoint Security와 Elastic SIEM 솔루션은 이제 Elastic Security로 지칭합니다. 폭넓은 Elastic Security 솔루션은 엔드포인트 보안, SIEM, 위협 추적, 클라우드 모니터링 등의 기능을 제공합니다.
오늘은 MITRE ATT&CK™ 매트릭스를 기반으로 엔드포인트 위협 방지, 탐색 및 대응 분야의 개척자이며 업계에서 인정받는 리더인 Endgame을 Elastic이 인수하여 Elastic Endpoint Security를 도입하게 되었다는 기쁜 소식을 알려드립니다. Elastic은 SIEM과 엔드포인트를 결합하여 클라우드에서든, 온-프레미스 환경이나 하이브리드 환경에서든, 조직이 실시간으로 위협에 유연하게 자동 대응할 수 있도록 해주는 단일 솔루션으로 제공하게 됩니다. 또한, 오늘 발표드린 대로, Elastic은 엔드포인트당 요금제를 종료합니다.
451 Research의 Fernando Montenegro 수석 애널리스트는 “엔드포인트 보안의 두 가지 주요 트렌드는 강력한 분석 백엔드의 중요성과 링구아프랑카로서의 MITRE ATT&CK 프레임워크의 대두인데, 이로 인해 위협 헌팅과 사고 대응 사용 사례에 훨씬 더 중점을 둘 수 있게 된다"며, “Elastic의 Endgame 인수는 이러한 추세에 딱 들어맞는 것이며, SIEM과 엔드포인트 보안의 결합으로 조직이 그러한 사용 사례에서 효율성을 추구할 수 있게 해줄 것"이라고 말했습니다.
Endgame은 NSS Labs, SE Labs, MITRE 등 수많은 독립 테스트 기관을 통해 강력한 예방과 탐지 기능을 제공하는 것으로 그 유효성이 확인된 바 있습니다. 최근에 AV Comparatives의 독립 바이러스 백신 테스트에서 그 성능이 실증되기도 했는데, 여기서 Endgame은 아무런 클라우드 연결도 필요 없이 99.7%의 맬웨어를 예방하여 실제 위협으로부터의 탁월한 보호를 보여주었습니다.
아울러, Elastic Endpoint Security는 가장 강력한 엔드포인트 보안 데이터 소스, 원시 엔드포인트 이벤트 데이터, Elastic Stack에 대한 알림 등을 제공하며, 기존의 로깅, 보안, APM 및 인프라 이벤트 컬렉션과 함께합니다. 평균적으로 위협 체류 시간이 100일이 넘는 상황에서, Elasticsearch에 효율적으로 데이터를 수집, 확장, 저장함으로써 이렇게 이질적인 부분들로 이루어진 모든 보안 관련 데이터를 통해 실용적이고 쉽고 빠르게 검색할 수 있게 해줍니다. 따라서, 엔드포인트 보안은 Elastic Stack에 이상적이며, 위협에 대한 예방과 가장 빠른 탐색 및 대응을 제공하여 가능한 가장 이른 시기에 공격을 중단시킵니다.
Elastic의 창업자이자 최고경영자인 Shay Banon은 “사용자가 배포하는 도구를 통해 더 큰 성능을 활용할 수 있도록 해야 합니다. 단일 스택의 단순함을 통해 사용자가 데이터를 검색, 저장, 분석하고 보안을 유지할 수 있도록 함으로써 현재 즉각적인 가치를 제공하고 있는 것도 바로 그 때문입니다. 이것은 여러 사용 사례에 검색을 적용하고자 하는 우리의 비전을 실현시켜나가고 있는 기대되는 단계이며, 이제 우리는 사용자에게 최고의 엔드포인트 보호를 갖춘 최고의 위협 사냥(threat hunting) 솔루션을 제공할 수 있게 됩니다.”라고 말했습니다.
SIEM과 엔드포인트 보안을 향한 우리의 여정
별개로 작동하는 도구들은 조직을 보호할 수 없으며, 그러한 도구들이 수집하는 데이터는 중앙화된 관리 콘솔이 없이는 실행 가능하지 않습니다. 보안팀은 사일로화된 데이터, 느린 쿼리 시간, 정확도와 컨텍스트가 결여되어 제대로 기능이 발휘되지 못하는 분석 등에 직면합니다. 조직들은 실시간으로 작업해야 한다는 것을 이미 알고 있습니다. 제한이 없는 방식으로 모든 유형의 데이터를 수집하고 저장해야 하며, 정확한 결과를 생성하고 이를 기존의 보안 워크플로우와 새로운 보안 워크플로우로 자동으로 운영할 수 있도록 해야 한다는 것을 이미 알고 있습니다.
약 2년 전에, 우리는 조직들이 자체적인 보안 노력을 발전시키도록 돕기 위한 임무에 착수했습니다. Elastic Stack이 채택되었고, 위협 헌팅, 부정행위 탐색, 보안 모니터링과 같은 사용 사례를 위한 보안 솔루션으로 사용되긴 했지만, 우리는 사용자가 보안을 위해 우리 제품을 훨씬 더 쉽게 배포할 수 있게 되기를 바랬습니다. 먼저 네크워크와 호스트 데이터로부터 서로 이질적인 소스의 데이터를 쉽게 정규화할 수 있는 방법을 제공하기 위해 우리 커뮤니티와 협력하여 Elastic Common Schema(ECS)를 개발했습니다. 그리고 나서 세계 최초의 무료이자 오픈 소스 SIEM인 Elastic SIEM을 출시했습니다... 그러나 우리는 거기서 멈추지 않았습니다.
이제, 사용자가 Elastic SIEM을 위한 데이터 수집 에이전트를 배포할 때, 동시에 엔드포인트를 보호하고 때맞춰 대응할 수 없는 여러 솔루션의 비효율성을 제거하여 손상과 손실을 예방할 수 있습니다.
전 Endgame CEO이자 현 Elastic Security 제너럴 매니저인 Nate Fick은 “가능한 한 조기에 공격을 중단시키는 것이 목표"라며, “Endgame의 선도적인 엔드포인트 보호 기술과 Elastic SIEM의 결합은 SecOps와 위협 헌팅팀이 공격을 중단시키고 조직을 보호할 수 있는 대화형 작업공간을 만들어낸다"고 말했습니다.
엔드포인트 요금제 종료
세계 최초의 무료이자 오픈 소스 SIEM과 최고의 엔드포인트 보호 기술의 결합과 아울러, Elastic은 엔드포인트당 요금제를 종료합니다.
Banon 최고경영자는 이렇게 덧붙입니다. “왜 사용자가 보호해야 하는 장치의 수를 세어야 하나요? 또는, 왜 사용자가 주어진 예산으로 위협 인텔리전스 데이터를 며칠 동안이나 유지할 수 있는지 선택해야 하나요? 우리는 조직들이 최고의 보호를 유지하고, 어디에서나 이를 이용하며, 엔드포인트당 요금제 때문에 불이익을 받지 않기를 바랍니다.”
Elastic 고객은 일관되고 투명한 요금제 프레임워크에 따라 Elastic Logs, APM, SIEM, App Search, Site Search, Enterprise Search, 그리고 이제는 Endpoint Security 까지 사용 중인 솔루션의 리소스 용량에 대해 요금을 지불하게 됩니다. 조직들이 자체 데이터로부터 최대한의 가치를 활용할 수 있도록 하기 위해서입니다. Elastic Endpoint Security를 통해 고객은 절충할 필요 없이 필요한 수만큼의 엔드포인트와 전체 데이터 수집 및 전송에 대해 완전한 보호를 받게 됩니다.
Elastic Endpoint Security에 대한 보안 리더들의 평가
Texas A&M University, Andrew Stokes, 부디렉터 겸 정보 보안 책임자
“우리는 대응 속도와 과거 데이터로부터 학습하고 분석할 수 있는 능력을 높이 평가합니다. Elastic Endpoint Security는 레거시 바이러스 백신 프로그램에 비해 평균 해결 시간을 7일에서 30분으로 극적으로 줄여주었으며, Elastic Stack은 출시되어 있는 그 어느 경쟁사 제품보다 데이터를 잘 저장, 분석하고 이에 대응할 수 있는 필적할 수 없는 방법을 제공해주었습니다. Elastic Endpoint Security와 Elastic Stack이 단일한 인텔리전스 기반 플랫폼으로 결합되면 앞으로 우리 보안 운영이 훨씬 더 간소화하고 자동화될 것입니다.”
Optiv, Anthony Diaz, Emerging Services 부문 부사장
“Elastic은 차세대 SIEM, 강력한 시각화 엔진, 동급 최고의 엔드포인트 제품을 모두 통합하고 있습니다. 이 모든 것이 세계적으로 앞서가는 검색 기술의 지원을 받고 있죠. 이 통합은 기업들이 점점 더 증가하는 사이버 위협의 복잡성을 척결할 수 있는 토대가 되어줍니다. 이러한 요소들을 공개된 생태계에서 결합시키고자 하는 Elastic의 비전은 혁명적이면서 동시에 모든 규모의 조직들이 자체 데이터 전체를 최대한 활용하여 사이버 보안 필요를 관리할 수 있도록 도와주는 실용적인 아이디어이기도 합니다.”
Infotrack, Sebastian Mill, 글로벌 개발 담당 최고기술책임자
“InfoTrack에서는 엔드포인트 데이터가 운영에 대한 시각화를 실행하고 인프라가 계속 안전하게 유지되도록 하는 데 있어 얼마나 유용할 수 있는지를 깨닫게 되었습니다. 이러한 목적에서, 우리의 혁신팀이 이미 Auditbeat를 우리의 환경에 도입해 자세히 살펴보고 있었지만, Elastic Endpoint Security의 도입은 이것을 완전히 새로운 차원으로 끌어올려줍니다. 우리는 보안 이벤트 데이터를 일부 Elastic 머신 러닝 기반의 이상 징후 탐색과 결합시키고 있는 한편, Elastic Endpoint Security로 위협을 중단시킬 수 있는 기능에 큰 흥미를 갖고 있습니다. 끝내주는 설정일 거라고 생각합니다.”
자료
Elastic Endpoint Security가 작동하는 것을 보고 저희의 개발사항에 대해 좀더 듣고 싶으시면, 미국, EMEA 또는 아시아태평양 지역에서 저희 Elastic{ON} 투어 중 하나에 참석해 주시기 바랍니다.