안녕하세요?
기술연구소의 유지니입니다.
엔드포인트 보안이 점차 중요해지면서 다양한 EDR 솔루션들이 등장하고 있습니다.
하지만 제품마다 그 기능이 천차만별이다 보니 어떤 솔루션을 선택해야 할지 쉽지 않지요?
보안 전문가이자 Notre Dame 대학의 겸임교수인 Mike Chapple은 자신의 저서에서 차세대 EDR 솔루션을 선택할 때 고려해야 할 10가지(Mike Chapple, 2015, Next-Generation Endpoint Security for Dummies, John Wiley & Sons, Inc, pp. 43-44)를 제시하고 있는데요. 오늘은 이 내용을 소개하고자 합니다.
1. 엔드포인트 사용자에게 주는 영향을 최소화하는가?
엔드포인트 사용자를 귀찮게 해서는 안됩니다. 사용자가 정상적인 업무를 수행하는 동안에도 EDR 솔루션은 마치 존재하지 않는 것처럼 보여야 하며 그들의 작업을 방해하면 안 됩니다.
2. 지속적인 모니터링과 기록을 하는가?
일시적 혹은 주기적으로 엔드포인트를 점검할지라도 취약점이 존재할 수 있습니다. 점검하지 않는 순간에는 위험이 발생할 수 있기 때문이지요. 따라서 엔드포인트를 실시간으로, 또 지속적으로 모니터링하는 것이 반드시 필요하며 그 결과는 기록되어야 합니다. 특정 시점(혹은 정기적으로) 점검 방식의 솔루션에 의존하지 말아야 합니다.
3. 모든 이벤트가 서버에 저장되는가?
엔드포인트 에이전트는 모든 이벤트의 결과를 중앙의 서버로 보내야 합니다. 이로써 이벤트에 대한 연관분석이 가능해집니다. 또한 시스템 간 분석, 시계열 분석이 가능해집니다.
4. 공격 및 침해 사고에 대한 전체 맥락을 알 수 있는가?
여러분이 선택한 EDR 솔루션은 미심쩍은 보안 사건에 대해서도 상세한 정보를 제공해야 합니다. 또한 다양한 각도에서 분석할 수 있도록 지원해야 많은 데이터를 요약하여 한눈에 볼 수 있는 결과를 제공합니다.
뿐만 아니라, 단계적 분석이 가능하도록 하여 데이터 소스까지 볼 수 있도록 해야 합니다. 한편 각각의 보안 전문가들은 자신에 맞는 방식으로 데이터를 분석할 수 있어야 합니다.
5. 위협 인텔리전스
최고의 제품은 다양한 소스로부터 수집된 외부의 위협 인텔리전스 정보를 통합하고 이와 관련된 위협 인텔리전스 공유 커뮤니티의 지식을 활용합니다.
6. 신뢰하지 않는 소프트웨어를 방어하는가?
신뢰할 수 있는 소프트웨어를 정의하고 설정할 수 있는 솔루션을 사용해야 합니다. 이것은 지능형 지속 위협(APT)과 같은 상황에서 신뢰할 수 없는 소프트웨어가 쉽게 실행되지 못하게 함으로써 시스템을 완벽하게 보호할 수 있습니다.
7. 오픈 API를 제공하는가?
오픈 API를 지원하는 솔루션을 사용하면 보안 솔루션 간 정보 공유를 용이하게 하고 다른 보안 솔루션 또는 분석 도구와 통합할 수 있습니다. 또한 API를 사용하여 한 솔루션에서 다른 솔루션(혹은 시스템 도구)으로 작업을 트리거 할 수 있습니다.
보안 담당자는 자신이 직접 만든 응용 프로그램 또는 스크립트를 작성하여, 자신이 원하는 대로 해당 솔루션을 최대한 활용할 수 있습니다.
8. 알람과 대응이 얼마나 빠른가?
효과적인 제품은 침해 발생에 대해 자동으로, 또 재빠르게 대응할 수 있어야 합니다. 또한 관리자에게 명확하고 간결한 알람을 제공해야 합니다. 이와 함께 관리자가 재빠르게, 그리고 효율적으로 업무를 처리할 수 있는 직관적인 관리자 콘솔을 제공해야 합니다.
9. 존재하는 보안 시스템들을 보완하는가?
이미 기업들은 많은 보안 솔루션들을 가지고 있습니다. 도입하려는 EDR 솔루션이 기존의 설치된 솔루션들과 호환이 가능해야 하며, 기존의 있던 기능들을 보완할 수 있어야 합니다.
10. 다양한 플랫폼을 지원하는가?
엔드포인트 위협 탐지, 대응 및 예방 솔루션은 리눅스(Linux) 및 맥(Mac)을 포함하여 존재하는 다양한 플랫폼을 지원해야 합니다.
지니언스 뉴스레터를 구독하시면 매달 새로운 보안 컨텐츠를 보내드립니다!
