EDR을 시작으로 텔레메트리 수집을 통한 탐지와 분석 그리고 대응을 수행하는 “Detection and Response”는 이제 Network DR, Cloud DR, Identity Threat DR, Data DR 등 다양한 계층에서의 탐지 및 대응을 포함하는 eXtended Detection and Response(XDR)로 확장하고 있다.
트렌드마이크로의 ‘Vision One’은 XDR에 공격 표면 위험 관리(Attack Surface Risk Management)와 제로 트러스트 보안 접근 제어를 통합함으로써 진정한 사이버 보안 통합 관리 플랫폼으로 진화했다.
1천여 명의 정보보호 실무자들이 참석한 하반기 최대 정보보호 컨퍼런스&전시회인 PASCON 2023에서 트렌드마이크로는 Vision One을 주력 솔루션으로 선보였다.
◆Vision One, EDR의 기본에 충실하면서 가장 광범위한 계층을 커버하는 XDR
XDR을 논하기에 앞서, Vision One은 EPP와 EDR기능이 모두 통합된 에이전트와 기존의 EPP를 교체하지 않고도 사용할 수 있는 EDR 에이전트를 자유롭게 선택하여 사용할 수 있다. MITRE ATT&CK의 Tactic/Technique이 충실히 반영된 약 700여 가지의 다양한 탐지 모델을 제공하여 조직 내의 의심스러운 행위를 탐지하며, 탐지 모델 외에도 트렌드마이크로 자체 위협 인텔리전스와 다양한 외부 위협 인텔리전스를 자동으로 입수하여 조직 내에서 위협의 흔적을 찾아 워크벤치에 경고를 제시한다.
이러한 위협 경고는 파일, 프로세스, 주소, 계정 등 다양한 객체 간의 상관관계를 도식화하여 체인 형태로 풍부한 데이터와 함께 제공함으로써, SOC팀이 인시던트의 원인과 진행과정의 분석을 가능하게 한다. 특히 업계 최초로 LLM방식의 Companion AI가 적용되어 인시던트에 대한 상세 해설이 필요할 경우, 정적인 방식의 Knowledge Base가 아닌 대화형 쿼리와 응답 기능을 사용할 수 있으므로, SOC팀의 스킬이 낮더라도 인시던트 분석을 매우 쉽게 이해할 수 있도록 돕는다.
Vision One XDR은 엔드포인트 격리, 원격셀 접속, 파일 수집, 샌드박스 분석, 커스텀 스크립트 배포 등의 다양한 대응 기능을 제공하며, SOC팀이 이들 대응 기능을 직접 수행할 수도 있지만, PlayBook을 작성하여 미리 지정한 기준에 부합하는 경고가 발생하게 되면 자동적으로 대응기능이 동작하여 시나리오에 의해 대응이 수행되고, 대응의 최종 결과를 지정한 관리자가 확인할 수 있다.
이처럼 Vision One은 EDR로서 필요한 모든 기능을 제공하면서, 이메일, 네트워크(NDR), 클라우드(CDR), 계정(ITDR), OT 등 다양한 계층에서 센서를 활용하거나 계층간 솔루션과 연동하여 탐지 및 대응을 구현할 수 있는, 업계에서 가장 광범위한 계층을 포괄하는 XDR이라고 할 수 있다.
▶Vision One - Attack Surface Risk Management(공격 표면 위험 관리)
Vision One 플랫폼의 공격표면 위험 관리는 크게 다음과 같은 세 가지 방법으로 위험 자산을 파악하며, 동시에 위험 완화를 수행한다.
첫번째로 모든 자산을 신속하게 탐색하여 사각지대를 제거하고 최첨단 내부 및 외부 자산 탐색을 통해 공격 표면을 감소할 수 있다. 두번째로 동적 평가를 통하여 분석가의 노력에 초점을 맞추고 해결 조치의 우선순위를 지정하기 위해 지속적 위험 평가를 활용한다. 세번째로 선제적 대응을 수행한다. 고급 AI 및 ML 기법을 사용해서 위험을 경감하고 위협에 대응하기 위해 대응 조치를 자동화하고 조율하며 가속화한다.
이와 같이 취약점, 잘못된 보안 구성, 자산 중요도, XDR 연계를 통하여 이상 행위 및 클라우드 활동의 위험을 측정하여 지속적으로 대응이 가능하게 된다. 보안 계층 전반의 위험을 해결하고 플레이북을 통한 각각의 부서의 필요에 맞게 대응하여 위험의 완화가 자동으로 진행되도록 적용할 수 있다.
▶Vision One - 제로 트러스트 보안 접근 제어
트렌드마이크로 제로 트러스트 기본 원칙은 ‘사용자에게 반드시 필요한 접근 이외에는 어떤 접근도 허용하지 않는다’로 보안 접근 제어를 제공하며 이 기본 원칙을 넘어서 사용자 계정 또는 디바이스의 위험에 기반한 지속적인 동적 접근 제어를 제공한다.
또한 트렌드마이크로 제로 트러스트 보안 접근 제어는 XDR을 통해 다양한 표면의 텔레메트리(엔드포인트, 이메일, 네트워크 그 외 여러 제조사 솔루션 등)와 상관 관계 분석을 통한 표면 위험을 인지하고 공격과 위협 영향 가능성에 기반한 접근 제어를 수행한다. 그리고 누가, 어떤 애플리케이션에 접속하는지 제한하기 위한 세부 권한 정책을 적용하고 접근 허용 이후에도 사용자나 디바이스가 위험 레벨 변경사항에 대한 모니터링을 지속하여 접속을 제어 가능하도록 한다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★