.gif)
엔드포인트의 단단한 방비는 관제 센터의 운영 효율성을 높여
곧 엔드포인트와 중앙 관리, 탐지와 대응의 경계 무너질 듯
[보안뉴스 문가용] 엔드포인트 탐지 및 대응(endpoint detection and response, 이하 EDR)은 말 그대로 엔드포인트를 지키기 위한 것이 아니다. 실상은 보안관제센터(security operations center, SOC)를 지키기 위한 것에 더 가깝다. 보안관제센터를 지킨다는 건 무엇을 말하는 것일까? 어떻게 하면 관제센터를 지킬 수 있을까? 나쁜 해커들을 다 잡아들이면 될까? 한편으로는 그렇다. 하지만 관제센터 유지비가 비싸면 의미가 없다. 그런데 지금은 보안팀 및 관제센터 운영비용도 높고, 방어가 그다지 성공적이지도 않다.
▲ 비오는 날 창문 밖 사물의 경계가 흐려지듯, 쉴 새 없는 범죄에 방어 구조의 경계가 사라지고 있다
현대의 ‘보안 업무’는 매우 방대하다. 로그와 이벤트가 넘쳐나서 도저히 제 때 모든 일을 처리할 수 없는 지경에 이르렀다. 그래서 분석 분야에서는 자동화나 인공지능이 자꾸만 언급되는 것이고 새로운 솔루션과 방법론이 하루가 멀다 하고 등장한다. 하지만 솔직히 말해보자. 우리 상황에 개선이 있는가? 해킹이 줄었는가? 살림 좀 나아지셨습니까? 보안 업무는 쌓여만 가고, 해킹 공격은 늘어만 가는 이 악순환의 고리를 어떻게 끊어낼 수 있을까?
이 글을 읽는 당신이 보안 팀의 책임자라면 알 것이다. 예산이나 인원 등을 어느 곳에 투자해야 할지 결정한다는 것이 얼마나 힘든 일인지를 말이다. 경보에 대응하기 위해 팀원을 늘렸는가? 가시성을 확보하기 위해 추가적인 제어장치나 솔루션을 구매했는가? 아니면 자꾸만 발생하는 노이즈를 줄이기 위해 지겹게 환경설정을 만져보는가? 아마 이 세 가지 때문에 골머리 앓아보지 않은 보안팀장은 없을 것이다. 그리고 명쾌한 해답으로 문제를 해결해본 사람도 거의 없을 것이다.
CISO의 평균 근속 기간은 18~24개월에 불과하다. 모든 사이버 환경 요소가 CISO에게 불리하게 작용하니 2년이나 버티는 게 신기할 정도다. 이런 상황에서 CISO들은 뭘 어떻게 할 수 있을까? 걷잡을 수 없이 늘어만 가는 엔드포인트들, 끊임없이 공격의 발판이 되는 엔드포인트들을 다잡으려면 어떻게 해야 할까? 답은 엔드포인트 강화가 아니라 관제센터의 효율적인 운영이다.
왜? 일단 글을 더 진행하기 전에 다음 몇 가지 문제를 풀어보았으면 한다.
1) 무작위 IP 주소로 유입되는 익스플로잇이 탐지되었을 때 공격의 직접 대상이 OS인지 애플리케이션인지 곧바로 구분할 수 있는가?
2) 네트워크 침입 및 익스프롤잇이 발견되었을 때, 공격자가 다음에 취할 행동이 무엇인지 구체적으로 예측할 수 있는가?
3) 알려진 C&C 서버와의 연결이 탐지되었다면, 해당 연결이 어떻게 성립되었는지 추적하고 최초 침투 포인트를 짚어내는 것이 가능한가?
4) 알려진 C&C 서버와의 암호화된 통신이 발견되었다면, 해당 통신 및 페이로드 내용을 확인하는 게 가능한가?
5) 멀웨어가 검출되었다면, 해당 멀웨어가 얼마나 네트워크에 머물렀는지(dwell time) 파악할 수 있는가? 파일이 어떤 식으로 침투했는지 파악 가능한가? 어떤 엔드포인트 혹은 서버가 그 과정에 영향을 받았는지 알아낼 수 있는가?
6) 최종 사용자가 이메일 첨부파일을 열었을 때 보안 팀에서는 어떤 행동을 취하는가?
7) 최종 사용자가 이메일 내용 속 링크를 클릭했을 때 보안 팀에서는 어떤 행동을 취하는가?
8) 공격이 탐지되었을 때 취하는 행동 절차는 무엇인가?
위 문제에 모두 자신 있게 답하지 못했다고 해서 절망할 필요는 없다. 엔드포인트와 관련된 대응을 묻는 이 8가지 질문에 망설임 없이 답할 수 있는 보안팀은 찾기 힘들 것이기 때문이다. 그리고 그것이 EDR이 제대로 갖춰지지 않은 관제센터의 현실이기도 하다. 질문의 내용들에서 드러나듯이, EDR은 엔드포인트를 위한 것이기 보다 관제센터의 효율성을 극대화시키는 것이다. 혹은 엔드포인트 보안은 결국 관제 센터의 운영과 밀접하게 관계가 있다고 표현할 수도 있겠다.
엔드포인트 강화 방법론 및 솔루션들로 오히려 관제센터의 운영 효율을 극대화할 수 있다면, ‘위협을 모니터링하는 것’과 ‘사건에 대응하는 것’의 경계가 흐려지고 있다고까지 시야를 넓혀 볼 수 있다. 그리고 여태까지는 상호 반대되는 것처럼 보였던 두 가지 종류의 업무가 하나로 서서히 합쳐진다는 건 전에 없던 정보보안 전체의 혁신이 임박한 것으로도 예측이 가능하다. 그런 혁신이 진짜 일어난다면, 보안에 대한 사고방식, 업무 절차, 기술 등이 모두 변할 것이다.
EDR의 현주소
사이버 공격자들의 공격 성공률이 높아지고 있는 때라서, EDR은 은행에 설치된 감시 카메라 혹은 CCTV의 역할을 하는 데에 집중한다. 즉 조직 및 네트워크의 가장 끝단에서 발생하는 모든 행동들을 기록하고 저장하는 것이다. 이 기록은 실제 공격이 들어왔을 때부터 끝날 때까지도 계속해서 저장되기 때문에 수사에 중요한 참고가 되며, 경보가 발생했을 때 분석가들이 경보의 원인을 분석해 다음에 취해야 행동을 빠르게 결정할 수 있도록 하며, 잘못된 분석을 최대한 줄이도록 한다. 지금 EDR은 질주하는 자동차의 안전벨트와도 같다. 사고를 막지는 못하지만 탑승자를 안전하게 지켜주는 최소한의 조치인 것이다.
하지만 EDR은 여기에 머무를 수 없다. EDR이 가지고 있는 혹은 저장하고 있는 데이터의 중요성을 보면 EDR은 SIEM의 기능까지도 충분히 수행할 수 있다. 이 부분이 중요한 것이, 실제 현장에서 SIEM은 데이터 용량이라는 것에 제한을 심하게 받기 때문이다. SIEM의 기능을 극대화하기 위해서라도 EDR이라는 보조 수단이 필요하다. SIEM에 있어서도 EDR은 안전벨트와 같다. 사실 EDR의 탐지 기능이라고 하는 것은 SIEM의 정보 연관성 및 분석과 동일하다고 볼 수 있다.
EDR에는 공격이 발생한 후의 대응과 관련된 기능도 포함된다는 것 역시 간과해서는 안 된다. EDR은 악성 파일이 실행되는 것을 막고, 악성 프로세스를 중단하며, 감염된 기기를 격리시키는 기능도 가지고 있다. 최고의 EDR 제품들의 경우 기기를 격리시켜놓은 상태에서 명령도 실행시킬 수 있다. 메모리 덤프, 패킷 캡쳐 등의 기능을 실행할 수 있는 것이다. EDR이 탐지해낸 공격을 분석해서 공격자가 사용한 툴이나 방법도 분석할 수 있다. 즉 미래 공격에 대한 방비도 할 수 있다는 것이다.
EDR의 등장으로 1) 엔드포인트와 관제센터가 더욱 가까운 관계가 되기 때문에 보안업계는 기본 구조에서부터의 혁신을 이뤄낼 것으로 보이며 2) 항상 밀리기만 하던 사이버 범죄자들과의 전쟁에서 어느 정도 주도권을 가져올 것으로 예측된다. 이미 여러 기업들에서 앞 다투어 EDR 제품을 내놓고 있다는 것 자체가 보안의 본질적인 변화를 확실시 하고 있다. 탐지와 대응, 후속 공격에 대한 대비까지, 보안은 보다 입체적으로 변하고 있다.
글 : 존 마콧(John Markott)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
곧 엔드포인트와 중앙 관리, 탐지와 대응의 경계 무너질 듯
[보안뉴스 문가용] 엔드포인트 탐지 및 대응(endpoint detection and response, 이하 EDR)은 말 그대로 엔드포인트를 지키기 위한 것이 아니다. 실상은 보안관제센터(security operations center, SOC)를 지키기 위한 것에 더 가깝다. 보안관제센터를 지킨다는 건 무엇을 말하는 것일까? 어떻게 하면 관제센터를 지킬 수 있을까? 나쁜 해커들을 다 잡아들이면 될까? 한편으로는 그렇다. 하지만 관제센터 유지비가 비싸면 의미가 없다. 그런데 지금은 보안팀 및 관제센터 운영비용도 높고, 방어가 그다지 성공적이지도 않다.
▲ 비오는 날 창문 밖 사물의 경계가 흐려지듯, 쉴 새 없는 범죄에 방어 구조의 경계가 사라지고 있다
현대의 ‘보안 업무’는 매우 방대하다. 로그와 이벤트가 넘쳐나서 도저히 제 때 모든 일을 처리할 수 없는 지경에 이르렀다. 그래서 분석 분야에서는 자동화나 인공지능이 자꾸만 언급되는 것이고 새로운 솔루션과 방법론이 하루가 멀다 하고 등장한다. 하지만 솔직히 말해보자. 우리 상황에 개선이 있는가? 해킹이 줄었는가? 살림 좀 나아지셨습니까? 보안 업무는 쌓여만 가고, 해킹 공격은 늘어만 가는 이 악순환의 고리를 어떻게 끊어낼 수 있을까?
이 글을 읽는 당신이 보안 팀의 책임자라면 알 것이다. 예산이나 인원 등을 어느 곳에 투자해야 할지 결정한다는 것이 얼마나 힘든 일인지를 말이다. 경보에 대응하기 위해 팀원을 늘렸는가? 가시성을 확보하기 위해 추가적인 제어장치나 솔루션을 구매했는가? 아니면 자꾸만 발생하는 노이즈를 줄이기 위해 지겹게 환경설정을 만져보는가? 아마 이 세 가지 때문에 골머리 앓아보지 않은 보안팀장은 없을 것이다. 그리고 명쾌한 해답으로 문제를 해결해본 사람도 거의 없을 것이다.
CISO의 평균 근속 기간은 18~24개월에 불과하다. 모든 사이버 환경 요소가 CISO에게 불리하게 작용하니 2년이나 버티는 게 신기할 정도다. 이런 상황에서 CISO들은 뭘 어떻게 할 수 있을까? 걷잡을 수 없이 늘어만 가는 엔드포인트들, 끊임없이 공격의 발판이 되는 엔드포인트들을 다잡으려면 어떻게 해야 할까? 답은 엔드포인트 강화가 아니라 관제센터의 효율적인 운영이다.
왜? 일단 글을 더 진행하기 전에 다음 몇 가지 문제를 풀어보았으면 한다.
1) 무작위 IP 주소로 유입되는 익스플로잇이 탐지되었을 때 공격의 직접 대상이 OS인지 애플리케이션인지 곧바로 구분할 수 있는가?
2) 네트워크 침입 및 익스프롤잇이 발견되었을 때, 공격자가 다음에 취할 행동이 무엇인지 구체적으로 예측할 수 있는가?
3) 알려진 C&C 서버와의 연결이 탐지되었다면, 해당 연결이 어떻게 성립되었는지 추적하고 최초 침투 포인트를 짚어내는 것이 가능한가?
4) 알려진 C&C 서버와의 암호화된 통신이 발견되었다면, 해당 통신 및 페이로드 내용을 확인하는 게 가능한가?
5) 멀웨어가 검출되었다면, 해당 멀웨어가 얼마나 네트워크에 머물렀는지(dwell time) 파악할 수 있는가? 파일이 어떤 식으로 침투했는지 파악 가능한가? 어떤 엔드포인트 혹은 서버가 그 과정에 영향을 받았는지 알아낼 수 있는가?
6) 최종 사용자가 이메일 첨부파일을 열었을 때 보안 팀에서는 어떤 행동을 취하는가?
7) 최종 사용자가 이메일 내용 속 링크를 클릭했을 때 보안 팀에서는 어떤 행동을 취하는가?
8) 공격이 탐지되었을 때 취하는 행동 절차는 무엇인가?
위 문제에 모두 자신 있게 답하지 못했다고 해서 절망할 필요는 없다. 엔드포인트와 관련된 대응을 묻는 이 8가지 질문에 망설임 없이 답할 수 있는 보안팀은 찾기 힘들 것이기 때문이다. 그리고 그것이 EDR이 제대로 갖춰지지 않은 관제센터의 현실이기도 하다. 질문의 내용들에서 드러나듯이, EDR은 엔드포인트를 위한 것이기 보다 관제센터의 효율성을 극대화시키는 것이다. 혹은 엔드포인트 보안은 결국 관제 센터의 운영과 밀접하게 관계가 있다고 표현할 수도 있겠다.
엔드포인트 강화 방법론 및 솔루션들로 오히려 관제센터의 운영 효율을 극대화할 수 있다면, ‘위협을 모니터링하는 것’과 ‘사건에 대응하는 것’의 경계가 흐려지고 있다고까지 시야를 넓혀 볼 수 있다. 그리고 여태까지는 상호 반대되는 것처럼 보였던 두 가지 종류의 업무가 하나로 서서히 합쳐진다는 건 전에 없던 정보보안 전체의 혁신이 임박한 것으로도 예측이 가능하다. 그런 혁신이 진짜 일어난다면, 보안에 대한 사고방식, 업무 절차, 기술 등이 모두 변할 것이다.
EDR의 현주소
사이버 공격자들의 공격 성공률이 높아지고 있는 때라서, EDR은 은행에 설치된 감시 카메라 혹은 CCTV의 역할을 하는 데에 집중한다. 즉 조직 및 네트워크의 가장 끝단에서 발생하는 모든 행동들을 기록하고 저장하는 것이다. 이 기록은 실제 공격이 들어왔을 때부터 끝날 때까지도 계속해서 저장되기 때문에 수사에 중요한 참고가 되며, 경보가 발생했을 때 분석가들이 경보의 원인을 분석해 다음에 취해야 행동을 빠르게 결정할 수 있도록 하며, 잘못된 분석을 최대한 줄이도록 한다. 지금 EDR은 질주하는 자동차의 안전벨트와도 같다. 사고를 막지는 못하지만 탑승자를 안전하게 지켜주는 최소한의 조치인 것이다.
하지만 EDR은 여기에 머무를 수 없다. EDR이 가지고 있는 혹은 저장하고 있는 데이터의 중요성을 보면 EDR은 SIEM의 기능까지도 충분히 수행할 수 있다. 이 부분이 중요한 것이, 실제 현장에서 SIEM은 데이터 용량이라는 것에 제한을 심하게 받기 때문이다. SIEM의 기능을 극대화하기 위해서라도 EDR이라는 보조 수단이 필요하다. SIEM에 있어서도 EDR은 안전벨트와 같다. 사실 EDR의 탐지 기능이라고 하는 것은 SIEM의 정보 연관성 및 분석과 동일하다고 볼 수 있다.
EDR에는 공격이 발생한 후의 대응과 관련된 기능도 포함된다는 것 역시 간과해서는 안 된다. EDR은 악성 파일이 실행되는 것을 막고, 악성 프로세스를 중단하며, 감염된 기기를 격리시키는 기능도 가지고 있다. 최고의 EDR 제품들의 경우 기기를 격리시켜놓은 상태에서 명령도 실행시킬 수 있다. 메모리 덤프, 패킷 캡쳐 등의 기능을 실행할 수 있는 것이다. EDR이 탐지해낸 공격을 분석해서 공격자가 사용한 툴이나 방법도 분석할 수 있다. 즉 미래 공격에 대한 방비도 할 수 있다는 것이다.
EDR의 등장으로 1) 엔드포인트와 관제센터가 더욱 가까운 관계가 되기 때문에 보안업계는 기본 구조에서부터의 혁신을 이뤄낼 것으로 보이며 2) 항상 밀리기만 하던 사이버 범죄자들과의 전쟁에서 어느 정도 주도권을 가져올 것으로 예측된다. 이미 여러 기업들에서 앞 다투어 EDR 제품을 내놓고 있다는 것 자체가 보안의 본질적인 변화를 확실시 하고 있다. 탐지와 대응, 후속 공격에 대한 대비까지, 보안은 보다 입체적으로 변하고 있다.
글 : 존 마콧(John Markott)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
