엔드포인트, 네트워크, 클라우드 등 다양한 소스에서 보안 위협 정보 수집해 분석
대응 자동화로 보안운영 조직 업무를 줄이고, 비 전담 담당자에게도 보안 위협 가시성 제공
[보안뉴스 이상우 기자] 엔드포인트는 사이버 공격자가 가장 쉽게 접근할 수 있는 기업과의 접점이다. 공격자는 해킹 이메일, 피싱 사이트, 불법 복제 소프트웨어 등 다양한 방식으로 엔드포인트에 접근한 뒤, 기업 주요 시스템에 접근하기 위한 신원증명 정보를 빼돌리거나 랜섬웨어 같은 악성코드를 실행하는 등 공격을 펼친다.
특히, 코로나19가 유발한 비대면 사회는 엔드포인트를 통한 침입 가능성을 더욱 키우고 있다. 기업의 보안 울타리 안에 있던 사용자의 기기가 상대적으로 보안이 취약한 홈 네트워크에 연결되면서 보안 역시 상대적으로 취약하게 됐다. 특히, 재택근무 기간 중 각 가정에서 사용됐던 엔드포인트가 코로나19 종식 이후 기업 네트워크에 다시 연결됐을 때, 잠복해 있던 악성코드가 활동을 시작할 가능성도 배제할 수 없다.
▲맥아피 MVISION XDR[자료=맥아피]
오늘날 기업은 재택근무로 인해 조직 구성원이 어디에서든지 사내 인프라에 접근하고 있으며, 비지니스 속도, 업무 편리성 향상 등을 위해 클라우드(SaaS. PaaS, IaaS) 사용이 급격하게 늘어났다. 보안운영 담당자는 기존의 EDR 솔루션에서 제공하는 엔드포인트에서 공격 탐지 및 대응 외에도 모든 웹 접속과 클라우드 서비스의 데이터 흐름, 공격, 유출 여부까지 확인해야 하는 상황이 됐다.
관제가 지원되지 않는 영역에서 보안 공백이 발생하는 것은 물론, 웹과 클라우드까지 데이터 저장 및 인프라 공간이 확대되면서 보안과 관련한 알림 역시 과도하게 발생하고 있다. 뿐만 아니라 클라우드까지 보안기술 적용범위가 확장되면서 내부 직원의 대응 기술 역시 공백이 발생하고 있다. 이러한 공백을 메우기 위해서 위협 탐지 및 대응에 대한 포괄적인 전략 수립 및 지속적인 개선작업이 필요하지만, 보안운영조직은 우선순위가 높은 위협에 대응하는데 많은 시간을 투자하고 있다.
새로운 보안 위협을 사전 탐지해 대응하는 맥아피 MVISON XDR
ESG(Enterprise Security Group)가 지난 2020년 발표한 보고서에 따르면 보안운영조직의 31%가 우선 순위가 높은 이벤트 및 보안 위협에 대처하는데 대부분의 시간을 할애하고 있으며, 위협 탐지 및 대응에 대한 포괄적 전략을 적용하는 등의 개선이 어려운 상황이다. 해당 보고서에서는 이 부분을 개선하기 위해 △XDR을 통해서 고급 위협 탐지 능력을 개선하고 △교정 작업을 자동화해 대응 시간을 개선하며 △사이버 위협에 대해 보다 나은 가시성을 제공할 수 있을 것 등을 제안하고 있다.
이러한 상황에서 등장한 맥아피 MVISION XDR은 빠른 속도로 변화한 최근 업무환경에서 위협을 효율적으로 탐지하고 대응하며, 깊이 있는 위협 분석을 제공하기 위해 설계한 최신 XDR 솔루션이다. MVISION XDR은 엔드포인트부터 네트워트, 클라우드에 이르는 모든 로그를 수집해 위협을 사전에 탐지하고, 인공지능을 통해 자동 분석 및 대응하며, 중요 데이터 위치를 기반으로 발생할 수 있는 위험에 대해 통합적인 가시성을 제공한다. 또한, Open API를 통해 맥아피 솔루션이 보고, 알고, 대응할 수 있는 모든 것을 외부 애플리케이션에서 수행할 수 있다.
맥아피는 MVISION XDR은 MSSP(Managed Security Service Provider)보다 MDR(Managed Detection and Response)을 지향한다고 설명했다. 사이버 공격자의 공격을 분석할 수 있는 고급 분석가뿐만 아니라, 고급 위험 분석 능력이 부족한 비 전담 운영자도 MVISION XDR의 AI 분석 결과를 통해서 위협을 명확하게 인식하고 대응할 수 있도록 제안한다는 것. 이를 통해서 외부의 MSSP 서비스를 아웃소싱 할 필요가 없으며, 자체적으로 위협 탐지 분석이 가능한 수준의 정보를 제공한다.
MVISION XDR이 다른 EDR·XDR 솔루션과 차별화될 수 있는 점은 크게 4가지다. 우선 사전 예방적 XDR이다. 맥아피 MVISION Insight를 통해서 전 세계에서 발생하고 있는 모든 위협정보를 기반으로 해당 기업에 위험이 될 수 있는 위협을 자동 선정해서 알려주고, 해당 공격이 발생했을 때 위협에 노출된 기기에 대한 정보를 제공하며, 해당 위협을 어떤 조치를 통해 사전 예방할 수 있는지 제시함으로써 위협이 발생하기 전에 이를 사전 예방한다.
뛰어난 보안과 랜섬웨어 탐지 기능도 제공한다. 맥아피 엔드포인트 보호 솔루션은 가트너의 ‘2021 엔드포인트 보호 솔루션 평가’에서 리더로 선정된 바 있으며, MITRE ATT&CK 공격탐지 평가에서도 모든 위협을 탐지했고, 타사 대비 공격을 초기 단계에서 전부 막아내는 성과를 거뒀다. 이는 새로운 위협이 발생해 사내 인프라로 침투해 확장하고 공격을 실행하는 최근의 높은 수준 공격에 대해 초기 단계에서 전부 차단함으로써 공격이 회사내 인프라에서 확장되는 것을 효과적으로 차단할 수 있다는 의미다. 특히, 맥아피 엔드포인트 보호 솔루션은 차세대 안티 바이러스로서 온라인·오프라인 머신 러닝과 행위기반 탐지 기능, 기존 시그니처 기반의 공격방어 기능도 함께 운용해 최고의 보안 기능을 제공한다.
또한, 랜섬웨어 공격이 성공한다 하더라도 롤백 기능을 통해 최대 6시간까지의 변경사항에 대한 원상복구가 모두 가능해져 설치된 모든 환경정보와 관련된 프로세스를 전부 제거함으로써 악성 파일이 침투하기 전의 상태로 되돌릴 수 있다.
확장성과 효율성을 통한 생산성 향상 역시 특징이다. Open API인 MVISION API를 통해서 모든 정보를 보고, 탐지하고, 대응할 수 있다. MVISION API를 사용해 생성된 프로그램은 MVISION Marketplace에 등록해 MVISION 솔루션과 연결된다. AI를 통해 취합된 모든 정보 소스를 바탕으로 위협의 경로, 인사이트, 노출된 위협에 대한 결과를 자동으로 제공한다.
통합 플랫폼을 통한 보안 기능도 제공한다. 맥아피 MVISION 보안 프레임워크를 통해서 모든 SECaaS 보안 제품을 하나로 통합 제공한다. EDR, CASB, SCPM, CWPP, WGCS, EDLP, EPP 등의 모든 보안 솔루션을 통합해 관리자는 하나의 계정으로, 하나의 관리 콘솔에서, 동일한 보안 컴플라이언스를 통해 운용할 수 있다. MVISION XDR은 이 모든 솔루션으로부터 로그를 수집하고, SIEM이나 160개 이상의 SIA(Security Innovation Alliance) 벤더 제품과 API로 연결돼 보안을 강화한다.
맥아피 관계자는 “MVISION XDR의 최대 특징은 맥아피 보안 기능을 최대한 이끌어낸 현재 재택근무 환경, 클라우드 환경에 맞게 설계된 차세대 XDR이라는 점이며, 클라우드의 변화 속도에 맞춰 기능이 지속적으로 향상되고 있다. 사전 예방적으로 잠재적 위험을 사전 제거 및 대응하고, 최고 레벨의 보안 제품을 제공하며, 엔드포인트, 네트워크, 클라우드까지 포함해 탐지한 위협의 전체 흐름도를 쉬운 언어와 가시성 있는 그래프, 타임라인을 통해 보고한다”고 말했다.
[이상우 기자(boan@boannews.com)]
대응 자동화로 보안운영 조직 업무를 줄이고, 비 전담 담당자에게도 보안 위협 가시성 제공
[보안뉴스 이상우 기자] 엔드포인트는 사이버 공격자가 가장 쉽게 접근할 수 있는 기업과의 접점이다. 공격자는 해킹 이메일, 피싱 사이트, 불법 복제 소프트웨어 등 다양한 방식으로 엔드포인트에 접근한 뒤, 기업 주요 시스템에 접근하기 위한 신원증명 정보를 빼돌리거나 랜섬웨어 같은 악성코드를 실행하는 등 공격을 펼친다.
특히, 코로나19가 유발한 비대면 사회는 엔드포인트를 통한 침입 가능성을 더욱 키우고 있다. 기업의 보안 울타리 안에 있던 사용자의 기기가 상대적으로 보안이 취약한 홈 네트워크에 연결되면서 보안 역시 상대적으로 취약하게 됐다. 특히, 재택근무 기간 중 각 가정에서 사용됐던 엔드포인트가 코로나19 종식 이후 기업 네트워크에 다시 연결됐을 때, 잠복해 있던 악성코드가 활동을 시작할 가능성도 배제할 수 없다.
▲맥아피 MVISION XDR[자료=맥아피]
오늘날 기업은 재택근무로 인해 조직 구성원이 어디에서든지 사내 인프라에 접근하고 있으며, 비지니스 속도, 업무 편리성 향상 등을 위해 클라우드(SaaS. PaaS, IaaS) 사용이 급격하게 늘어났다. 보안운영 담당자는 기존의 EDR 솔루션에서 제공하는 엔드포인트에서 공격 탐지 및 대응 외에도 모든 웹 접속과 클라우드 서비스의 데이터 흐름, 공격, 유출 여부까지 확인해야 하는 상황이 됐다.
관제가 지원되지 않는 영역에서 보안 공백이 발생하는 것은 물론, 웹과 클라우드까지 데이터 저장 및 인프라 공간이 확대되면서 보안과 관련한 알림 역시 과도하게 발생하고 있다. 뿐만 아니라 클라우드까지 보안기술 적용범위가 확장되면서 내부 직원의 대응 기술 역시 공백이 발생하고 있다. 이러한 공백을 메우기 위해서 위협 탐지 및 대응에 대한 포괄적인 전략 수립 및 지속적인 개선작업이 필요하지만, 보안운영조직은 우선순위가 높은 위협에 대응하는데 많은 시간을 투자하고 있다.
새로운 보안 위협을 사전 탐지해 대응하는 맥아피 MVISON XDR
ESG(Enterprise Security Group)가 지난 2020년 발표한 보고서에 따르면 보안운영조직의 31%가 우선 순위가 높은 이벤트 및 보안 위협에 대처하는데 대부분의 시간을 할애하고 있으며, 위협 탐지 및 대응에 대한 포괄적 전략을 적용하는 등의 개선이 어려운 상황이다. 해당 보고서에서는 이 부분을 개선하기 위해 △XDR을 통해서 고급 위협 탐지 능력을 개선하고 △교정 작업을 자동화해 대응 시간을 개선하며 △사이버 위협에 대해 보다 나은 가시성을 제공할 수 있을 것 등을 제안하고 있다.
이러한 상황에서 등장한 맥아피 MVISION XDR은 빠른 속도로 변화한 최근 업무환경에서 위협을 효율적으로 탐지하고 대응하며, 깊이 있는 위협 분석을 제공하기 위해 설계한 최신 XDR 솔루션이다. MVISION XDR은 엔드포인트부터 네트워트, 클라우드에 이르는 모든 로그를 수집해 위협을 사전에 탐지하고, 인공지능을 통해 자동 분석 및 대응하며, 중요 데이터 위치를 기반으로 발생할 수 있는 위험에 대해 통합적인 가시성을 제공한다. 또한, Open API를 통해 맥아피 솔루션이 보고, 알고, 대응할 수 있는 모든 것을 외부 애플리케이션에서 수행할 수 있다.
맥아피는 MVISION XDR은 MSSP(Managed Security Service Provider)보다 MDR(Managed Detection and Response)을 지향한다고 설명했다. 사이버 공격자의 공격을 분석할 수 있는 고급 분석가뿐만 아니라, 고급 위험 분석 능력이 부족한 비 전담 운영자도 MVISION XDR의 AI 분석 결과를 통해서 위협을 명확하게 인식하고 대응할 수 있도록 제안한다는 것. 이를 통해서 외부의 MSSP 서비스를 아웃소싱 할 필요가 없으며, 자체적으로 위협 탐지 분석이 가능한 수준의 정보를 제공한다.
MVISION XDR이 다른 EDR·XDR 솔루션과 차별화될 수 있는 점은 크게 4가지다. 우선 사전 예방적 XDR이다. 맥아피 MVISION Insight를 통해서 전 세계에서 발생하고 있는 모든 위협정보를 기반으로 해당 기업에 위험이 될 수 있는 위협을 자동 선정해서 알려주고, 해당 공격이 발생했을 때 위협에 노출된 기기에 대한 정보를 제공하며, 해당 위협을 어떤 조치를 통해 사전 예방할 수 있는지 제시함으로써 위협이 발생하기 전에 이를 사전 예방한다.
뛰어난 보안과 랜섬웨어 탐지 기능도 제공한다. 맥아피 엔드포인트 보호 솔루션은 가트너의 ‘2021 엔드포인트 보호 솔루션 평가’에서 리더로 선정된 바 있으며, MITRE ATT&CK 공격탐지 평가에서도 모든 위협을 탐지했고, 타사 대비 공격을 초기 단계에서 전부 막아내는 성과를 거뒀다. 이는 새로운 위협이 발생해 사내 인프라로 침투해 확장하고 공격을 실행하는 최근의 높은 수준 공격에 대해 초기 단계에서 전부 차단함으로써 공격이 회사내 인프라에서 확장되는 것을 효과적으로 차단할 수 있다는 의미다. 특히, 맥아피 엔드포인트 보호 솔루션은 차세대 안티 바이러스로서 온라인·오프라인 머신 러닝과 행위기반 탐지 기능, 기존 시그니처 기반의 공격방어 기능도 함께 운용해 최고의 보안 기능을 제공한다.
또한, 랜섬웨어 공격이 성공한다 하더라도 롤백 기능을 통해 최대 6시간까지의 변경사항에 대한 원상복구가 모두 가능해져 설치된 모든 환경정보와 관련된 프로세스를 전부 제거함으로써 악성 파일이 침투하기 전의 상태로 되돌릴 수 있다.
확장성과 효율성을 통한 생산성 향상 역시 특징이다. Open API인 MVISION API를 통해서 모든 정보를 보고, 탐지하고, 대응할 수 있다. MVISION API를 사용해 생성된 프로그램은 MVISION Marketplace에 등록해 MVISION 솔루션과 연결된다. AI를 통해 취합된 모든 정보 소스를 바탕으로 위협의 경로, 인사이트, 노출된 위협에 대한 결과를 자동으로 제공한다.
통합 플랫폼을 통한 보안 기능도 제공한다. 맥아피 MVISION 보안 프레임워크를 통해서 모든 SECaaS 보안 제품을 하나로 통합 제공한다. EDR, CASB, SCPM, CWPP, WGCS, EDLP, EPP 등의 모든 보안 솔루션을 통합해 관리자는 하나의 계정으로, 하나의 관리 콘솔에서, 동일한 보안 컴플라이언스를 통해 운용할 수 있다. MVISION XDR은 이 모든 솔루션으로부터 로그를 수집하고, SIEM이나 160개 이상의 SIA(Security Innovation Alliance) 벤더 제품과 API로 연결돼 보안을 강화한다.
맥아피 관계자는 “MVISION XDR의 최대 특징은 맥아피 보안 기능을 최대한 이끌어낸 현재 재택근무 환경, 클라우드 환경에 맞게 설계된 차세대 XDR이라는 점이며, 클라우드의 변화 속도에 맞춰 기능이 지속적으로 향상되고 있다. 사전 예방적으로 잠재적 위험을 사전 제거 및 대응하고, 최고 레벨의 보안 제품을 제공하며, 엔드포인트, 네트워크, 클라우드까지 포함해 탐지한 위협의 전체 흐름도를 쉬운 언어와 가시성 있는 그래프, 타임라인을 통해 보고한다”고 말했다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.JPG)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
