
다크 웹이란? 정보 유출 확인, 조사를 전문업자에게 의뢰하는 메리트를 해설
2023년 10월 11일
랜섬웨어에 감염되면 어떻게 될까?기업이 취해야 할 대처법
2023년 10월 11일정보화가 진행된 현재 기업에 대한 사이버 공격을 기존 보안 제품만으로 대응하는 것은 어려워지고 있습니다.그런 가운데 주목을 받고 있는 것이 디바이스의 이상을 검지하는 EDR입니다.이 기사에서는 EDR의 구조나 기능, 안티바이러스와의 차이와 바이러스의 침입 경로와 피해 상황을 파악하기 위한 EDR 조사에 대해서도 설명합니다.

EDR이란 엔드포인트에서 악성 활동을 탐지하고 해결하는 보안 솔루션입니다.
EDR이란, Endpoint Detection and Response의 약자로, PC나 스마트폰, 서버등의 디지털 디바이스로 부정한 활동을 검지해 관리자에게 통지하는 시큐리티 시책을 말한다.텔레워크의 보급 등에 의한 업무 방식의 변화에 따라, 엔드포인트라고 불리는 이러한 디지털 디바이스의 보안을 강화하는 EDR에 주목이 모아지고 있습니다.
EDR과 기타 보안 제품의 차이
EDR과 EPP, NGAV, NDR 등 다른 보안 제품과의 차이와 각각의 특징에 대해 설명합니다.
EDR과 EPP(안티바이러스)의 차이
EPP는 Endpoint Protection Platform의 약자로, 일반적으로 안티 바이러스 소프트웨어 등이라고도합니다.가정의 PC의 보안 대책에도 이용되고 있어, 바이러스의 검지 및 제거를 실시하는 소프트웨어입니다. EDR은 위협이 침입한 후의 피해를 최소한으로 막는 것을 주된 목적으로 하고 있습니다만, EPP는 위협이 침입하기 전의 방어를 주요 목적으로 하고 있는 것이 양자의 차이입니다.
EDR과 NGAV(차세대 안티바이러스)의 차이
NGAV는 Next Generation Anti-Virus의 약자로 차세대 EPP입니다.기계 학습 기술을 이용하여 악성코드(바이러스 등 악성 소프트웨어)와 유사한 움직임과 특징을 가진 이변에 대해 탐지와 제거를 실시합니다.데이터베이스에 없는 미지의 맬웨어에도 대응할 수 있는 것이 특징입니다만, EPP와 같이 위협이 침입하기 전의 방어를 주된 목적으로 하고 있는 것이 EDR과의 차이입니다.
EDR과 NDR의 차이
NDR이란 Network Detection and Response의 약자로 네트워크에서 부정한 활동을 탐지하고 대처하는 보안 시책을 말한다. EDR이 엔드포인트, 즉 PC 및 서버와 같은 장치에 대한 시책인 반면, NDR은 네트워크, 즉 침입 후 통신의 움직임에 대한 시책이라는 차이가 있습니다.
사이버 보안에서 EDR의 중요성과 EDR에 대한 관심이 높아지는 이유
예전에 위협 침입을 막는 것이 아니라 막지 못한 위협에 접근하는 EDR의 중요성과 주목받고 있는 배경을 설명합니다.
사이버 공격의 고도화·교묘화
기술의 진화에 의해, 사이버 공격도 고도화·교묘화하고 있습니다.시큐리티측에서 대책을 강구해도, 곧바로 그것을 웃도는 공격이 발생해 버리기 때문에, 침입을 완전하게 막는 것은 불가능에 가까운 상황입니다.따라서 침입되는 것을 전제로 하여 피해를 최소화하기 위한 구조인 EDR이 중요시되고 있다.
모바일 단말기의 보급
스마트폰이나 태블릿 등 모바일 기기의 보급도 영향을 받고 있습니다.기업의 서버에 사원의 스마트폰을 통해 침입하는 케이스나, 거리의 Wi-Fi 환경을 사용해 침입하는 케이스 등도 늘어나고 있어, 종래의 보안 시스템에서는 대응이 어려워지고 있습니다.
텔레워크 등 일하는 방식의 다양화
코로나 사에 의한 일하는 방식의 다양화도 요인 중 하나입니다.리모트 워크의 보급에 의해 재택이나 외출처 등의 사외 네트워크로 업무를 실시할 기회가 늘어난 것으로, 공격 경로도 다양화했습니다.이러한 네트워크 환경에 있어서 사내와 사외를 나누는 경계형 방어에서는 한계가 있기 때문에, 「무조건에 신뢰하지 않는다」라고 하는 제로 트러스트의 개념에 준한 엔드포인트에서의 보안 강화가 필요합니다.
EDR 제품을 고려할 때의 포인트
EDR 제품은 풍부하고 제품마다 특징이나 비용도 다르기 때문에 자사의 보안 사정에 맞는 제품 선택이 중요합니다.덧붙여 EPP로서 보급하고 있는 툴이 EDR의 제공도 겸하는 경우도 나오고 있습니다만, 그러한 제품 중에는 EDR 기능이 약간 불충분한 경우도 있는 것 같습니다.본격적인 EDR 기능이 필요한 상황이라면 EDR 기능이 메인 제품을 선택하는 등 자사의 사정이나 목적에 따른 선정이 포인트입니다.
EDR 조사의 대상과 조사에서 알 수있는 것
EDR이 무엇을 조사하는지, 그 결과로 무엇을 알 수 있는지 설명합니다.
바이러스 침입 경로
EDR 조사에서 의심스러운 행동이나 의심스러운 프로그램을 탐지하면 침해의 기점이 되는 활성 엔드포인트(단말기)에서 래터럴 무브먼트(횡방향 이동)를 잡을 수 있습니다.또, 평시부터 과거 일정 기간의 로그를 보관 유지하는 EDR 라이센스를 도입하고 있으면, 검지한 시점부터 거슬러 올라가 프로세스를 해석하는 것으로, 침입 경로의 특정도 가능하게 됩니다.
피해 상황
EDR 조사에서는 탐지한 맬웨어의 종류나 침입 경로, 정보 유출의 유무 등의 정보를 수집해 해석해, 보안 침해의 근본 원인을 특정해, 피해 상황을 가시화할 수 있습니다.
EDR 조사를 비롯한 사이버 공격 피해 대응에는 FRONTEO의 "사이버 보안 조사 패키지"
이렇게 장점이 많은 EDR이지만 몇 가지 단점도 존재합니다.하나는 도입에 비용이 든다는 것.다른 하나는 운영에 리소스를 나누어야 한다는 것입니다.위협이 발생했을 때 대응하기 위한 지식과 경험을 가진 인재를 확보하여 신속하게 대응할 수 있는 운용 체제를 정비할 필요가 있습니다.
이러한 단점을 해소하기 위해 FRONTEO의 '사이버 보안 조사 패키지'를 추천합니다. 10,600건 이상의 부정조사 실적을 자랑하는 FRONTEO가, 복수의 보험회사에게도 추천되고 있는 고품질의 사이버 시큐리티 조사를 제공. PC1대에서 조사 가능합니다.
EDR 조사뿐만 아니라 다크 웹 조사까지를 한 패키지로 제공합니다. Wi-Fi 취약성 조사, NDR 조사, 침투 테스트 등 추가 조사도 실시 가능합니다.전문 지식이 있는 인재가 없는 기업의 경우, 유사 대응 시의 스피드나 전문성에 우려가 남습니다.압도적인 실적에서 얻은 노하우를 바탕으로 FRONTEO가 사이버 공격 피해의 초기 대응을 지원합니다.