.gif)
위협 관리에 들어가는 자원보다 경고에 투입되는 자원이 더 많아
이번 업데이트, 기업이 과도한 보안 경고 관리할 수 있도록 지원
[보안뉴스 오다인 기자] 마이크로소프트(MS)가 윈도우 디펜더 ATP(Advanced Threat Protection)에 자동화 및 치료 기능을 통합할 예정이다. MS는 산업 전반에 향상된 위협 대응이 필요하기 때문에 이 같은 결정을 내렸다고 밝혔다. 점차 위협 관리에 들어가는 자원보다 경고에 투입되는 자원이 더 많아지고 있기 때문이다.
[이미지=iclickart]
윈도우 디펜더 ATP는 2016년 3월 처음 등장한 이래, 탐지·조사·사냥·예방·대응 등의 기능 향상을 위해 여러 차례 업데이트를 거쳤다. 보안 오케스트레이션 및 자동화 업체 헥사다이트(Hexadite)를 인수한 이후 MS는 현재 자동화와 치료 기능을 추가하고 있다. 헥사다이트의 인공지능 자동화 기술은 기업들이 과도한 보안 경고를 관리할 수 있도록 도와준다.
보안 업체 포레스터(Forrester)의 수석 애널리스트 제프 폴라드(Jeff Pollard)는 “보안 부서가 직면한 가장 큰 과제 중 하나는 바로 너무 많은 이슈가 있다는 것”이라고 말했다. 그는 “새로운 기술 하나를 도입할 때마다 엄청나게 많은 경고를 받게 된다”고 설명했다. 더 나은 탐지 능력은 가시성 문제를 해결해주지만 안 그래도 부족한 자원을 더 없애는 결과를 낳는다. 그 탐지 기술이 초래하는 모든 경고들을 다루기 위해 보안 부서가 달라붙어야 하기 때문이다.
이 같은 불균형은 MS나 다른 보안 업체들이 오케스트레이션을 선택하도록 이끈다. 폴라드는 기업들이 모든 보안 이슈를 하나씩 분석하는 대신 “모래사장에서 바늘 찾을 때 가장 뾰족한 바늘부터 찾도록” 돕는 기술이 바로 오케스트레이션이라고 말했다.
윈도우 기업 보안 팀의 프로그램 관리 감독자 롭 레퍼츠(Rob Lefferts)는 윈도우 디펜더 ATP가 다른 탐지 시스템으로부터 경고를 포착할 때, 이 자동화 기술은 침해 수준을 완전하게 파악하기 위해 네트워크 및 엔드포인트 데이터를 수집하고 분석하기 시작한다고 설명했다. 이후, 각 경고에 따른 가장 적합한 행동들을 결정할 수 있다는 것이다.
기능 추가의 일부로, 윈도우 디펜더 ATP는 침해 사건의 우선순위를 매기는 동시에 치료하도록 설계됐다. 관리자는 간단한 사건들의 경우, 그 대응 조치를 자동적으로 수행토록 설정할 수도 있고 더 복잡한 사건들에선 조치 수행 전에 한 번 검토할 수 있도록 설정해둘 수도 있다.
“자원은 부족하고, 경고가 뜨는 양은 엄청납니다. 우선순위를 매기는 일이야말로 핵심입니다.” 레퍼츠는 “매끄럽고 지속적인 사이버 사건 대응을 위해 탐지와 치료 사이 간극을 좁히는 일이 필요하다”고도 덧붙였다.
즉시 조치를 취할 수 있는 경고들을 90%에서 95% 정도 자동화하고 나면, 기업들은 IT 전문가가 대여섯 시간을 투자해서 자세하게 뜯어봐야 할 경고들에 더 많이 집중할 수 있다고 레퍼츠는 강조했다.
일반적으로 자동화에는 많은 장점들이 있지만, 그 자체적인 보안 문제들도 따른다고 폴라드는 지적했다. “가장 큰 단점 중 하나는 자동화를 하려면 성숙하면서도 온전한 프로세스가 바탕이 돼야 한다는 점입니다. 특정한 행동을 자동화하겠다고 결정했다면, 뭔가 잘못된 것을 자동화한 것은 아닌지 명확하게 알 필요가 있습니다.”
예컨대, 기업 환경 내에서 특정 사건과 연관된 기계 하나의 프로세스를 자동화하기로 결정했다고 해보자. 기업의 핵심적인 시스템이 여기에 포함되지 않도록 조치하고 해당 프로세스가 다른 네트워크와 통신할 수 없도록 만들었다면 이런 결정은 탁월했다고 볼 수 있다.
그런데 거짓 긍정(false-positive)의 상황이라면 기업이 망할 위기에 처할 수도 있다. 기존의 시스템이 충분히 성숙되지 않았거나 다큐멘테이션이 부족했기 때문이다. 누군가 자신의 환경에 대해 제대로 이해하지 못한 채로 자동화를 진행한다면, 이는 재앙 속으로 걸어 들어가는 걸 자동화하는 것과 같다.
“새로 도입한 기술이 어련히 잘 알아서 하겠거니 바라면서 제대로 조사하지 않는다면, 어떤 위협을 놓친 것이 아니라 스스로 잘못된 결정을 내린 것입니다. 그리고 그 결정은 바로 자신에게 돌아오겠죠.”
폴라드는 기업 보안의 주요 플레이어로 자리 잡겠다는 MS의 의지가 이번 업데이트에 반영됐다고 말했다. 과거 MS는 보안 기능을 통합한 적 있지만 관리자 인터페이스를 만들지는 않았다. MS가 사용자 경험에 초점을 두고 있다는 사실은 주요 경쟁사 중 한 곳으로서 포지션을 바꿔나가는 데 촉매제가 되고 있다. 현재 관리자는 향상된 인터페이스를 갖게 됐으며 그룹 정책을 통해 이를 관리하지 않아도 된다. 이들 관리자가 MS의 보안 툴을 더 많이 사용하게끔 한 것이다.
폴라드는 “보안은 단지 침해나 공격자를 발견하는 일이 아니”라며 “보안 툴의 사용성도 그만큼 중요하다”고 말했다. MS가 애저와 오피스365 같은 클라우드 서비스에 집중하고 있다는 건 이 회사가 사용자 경험에 우선순위를 매겨야 한다는 뜻이다. 폴라드는 결과적으로 생태계 전반을 아울러 향상을 확인할 수 있었다고 밝혔다.
MS는 새로운 자동화 대응 기능에 대해 올해 말 사전 공개할 것이라고 예고했다. 90일 체험이 제공될 예정이며, 레퍼츠의 블로그에서 관련 소식 및 세부사항을 확인할 수 있을 것이라고 덧붙이기도 했다.
[국제부 오다인 기자(boan2@boannews.com)]
이번 업데이트, 기업이 과도한 보안 경고 관리할 수 있도록 지원
[보안뉴스 오다인 기자] 마이크로소프트(MS)가 윈도우 디펜더 ATP(Advanced Threat Protection)에 자동화 및 치료 기능을 통합할 예정이다. MS는 산업 전반에 향상된 위협 대응이 필요하기 때문에 이 같은 결정을 내렸다고 밝혔다. 점차 위협 관리에 들어가는 자원보다 경고에 투입되는 자원이 더 많아지고 있기 때문이다.
[이미지=iclickart]
윈도우 디펜더 ATP는 2016년 3월 처음 등장한 이래, 탐지·조사·사냥·예방·대응 등의 기능 향상을 위해 여러 차례 업데이트를 거쳤다. 보안 오케스트레이션 및 자동화 업체 헥사다이트(Hexadite)를 인수한 이후 MS는 현재 자동화와 치료 기능을 추가하고 있다. 헥사다이트의 인공지능 자동화 기술은 기업들이 과도한 보안 경고를 관리할 수 있도록 도와준다.
보안 업체 포레스터(Forrester)의 수석 애널리스트 제프 폴라드(Jeff Pollard)는 “보안 부서가 직면한 가장 큰 과제 중 하나는 바로 너무 많은 이슈가 있다는 것”이라고 말했다. 그는 “새로운 기술 하나를 도입할 때마다 엄청나게 많은 경고를 받게 된다”고 설명했다. 더 나은 탐지 능력은 가시성 문제를 해결해주지만 안 그래도 부족한 자원을 더 없애는 결과를 낳는다. 그 탐지 기술이 초래하는 모든 경고들을 다루기 위해 보안 부서가 달라붙어야 하기 때문이다.
이 같은 불균형은 MS나 다른 보안 업체들이 오케스트레이션을 선택하도록 이끈다. 폴라드는 기업들이 모든 보안 이슈를 하나씩 분석하는 대신 “모래사장에서 바늘 찾을 때 가장 뾰족한 바늘부터 찾도록” 돕는 기술이 바로 오케스트레이션이라고 말했다.
윈도우 기업 보안 팀의 프로그램 관리 감독자 롭 레퍼츠(Rob Lefferts)는 윈도우 디펜더 ATP가 다른 탐지 시스템으로부터 경고를 포착할 때, 이 자동화 기술은 침해 수준을 완전하게 파악하기 위해 네트워크 및 엔드포인트 데이터를 수집하고 분석하기 시작한다고 설명했다. 이후, 각 경고에 따른 가장 적합한 행동들을 결정할 수 있다는 것이다.
기능 추가의 일부로, 윈도우 디펜더 ATP는 침해 사건의 우선순위를 매기는 동시에 치료하도록 설계됐다. 관리자는 간단한 사건들의 경우, 그 대응 조치를 자동적으로 수행토록 설정할 수도 있고 더 복잡한 사건들에선 조치 수행 전에 한 번 검토할 수 있도록 설정해둘 수도 있다.
“자원은 부족하고, 경고가 뜨는 양은 엄청납니다. 우선순위를 매기는 일이야말로 핵심입니다.” 레퍼츠는 “매끄럽고 지속적인 사이버 사건 대응을 위해 탐지와 치료 사이 간극을 좁히는 일이 필요하다”고도 덧붙였다.
즉시 조치를 취할 수 있는 경고들을 90%에서 95% 정도 자동화하고 나면, 기업들은 IT 전문가가 대여섯 시간을 투자해서 자세하게 뜯어봐야 할 경고들에 더 많이 집중할 수 있다고 레퍼츠는 강조했다.
일반적으로 자동화에는 많은 장점들이 있지만, 그 자체적인 보안 문제들도 따른다고 폴라드는 지적했다. “가장 큰 단점 중 하나는 자동화를 하려면 성숙하면서도 온전한 프로세스가 바탕이 돼야 한다는 점입니다. 특정한 행동을 자동화하겠다고 결정했다면, 뭔가 잘못된 것을 자동화한 것은 아닌지 명확하게 알 필요가 있습니다.”
예컨대, 기업 환경 내에서 특정 사건과 연관된 기계 하나의 프로세스를 자동화하기로 결정했다고 해보자. 기업의 핵심적인 시스템이 여기에 포함되지 않도록 조치하고 해당 프로세스가 다른 네트워크와 통신할 수 없도록 만들었다면 이런 결정은 탁월했다고 볼 수 있다.
그런데 거짓 긍정(false-positive)의 상황이라면 기업이 망할 위기에 처할 수도 있다. 기존의 시스템이 충분히 성숙되지 않았거나 다큐멘테이션이 부족했기 때문이다. 누군가 자신의 환경에 대해 제대로 이해하지 못한 채로 자동화를 진행한다면, 이는 재앙 속으로 걸어 들어가는 걸 자동화하는 것과 같다.
“새로 도입한 기술이 어련히 잘 알아서 하겠거니 바라면서 제대로 조사하지 않는다면, 어떤 위협을 놓친 것이 아니라 스스로 잘못된 결정을 내린 것입니다. 그리고 그 결정은 바로 자신에게 돌아오겠죠.”
폴라드는 기업 보안의 주요 플레이어로 자리 잡겠다는 MS의 의지가 이번 업데이트에 반영됐다고 말했다. 과거 MS는 보안 기능을 통합한 적 있지만 관리자 인터페이스를 만들지는 않았다. MS가 사용자 경험에 초점을 두고 있다는 사실은 주요 경쟁사 중 한 곳으로서 포지션을 바꿔나가는 데 촉매제가 되고 있다. 현재 관리자는 향상된 인터페이스를 갖게 됐으며 그룹 정책을 통해 이를 관리하지 않아도 된다. 이들 관리자가 MS의 보안 툴을 더 많이 사용하게끔 한 것이다.
폴라드는 “보안은 단지 침해나 공격자를 발견하는 일이 아니”라며 “보안 툴의 사용성도 그만큼 중요하다”고 말했다. MS가 애저와 오피스365 같은 클라우드 서비스에 집중하고 있다는 건 이 회사가 사용자 경험에 우선순위를 매겨야 한다는 뜻이다. 폴라드는 결과적으로 생태계 전반을 아울러 향상을 확인할 수 있었다고 밝혔다.
MS는 새로운 자동화 대응 기능에 대해 올해 말 사전 공개할 것이라고 예고했다. 90일 체험이 제공될 예정이며, 레퍼츠의 블로그에서 관련 소식 및 세부사항을 확인할 수 있을 것이라고 덧붙이기도 했다.
[국제부 오다인 기자(boan2@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
 TH.png)
.jpg)
.jpg)
 THJ.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
