진화한 엔드포인트 보호 정의

진화한 엔드포인트 보호의 이점

오늘날의 조직에는 점점 더 정교해지는 위협 환경에 대한 진화한 보호 기능이 필요합니다. 사이버 범죄는 수익성이 좋은 사업이며 많은 돈이 걸려 있는 상황에서 사이버 범죄자들은 IT 시스템에 침투할 수 있는 새로운 방법을 찾는 데 능숙해졌습니다. 예를 들어 혼합 공격이 보편화되었습니다. 이러한 공격에서는 여러 가지 조정된 전술을 사용하며, 기존 보안 시스템에서는 어떤 전술도 의심스럽게 보이지 않습니다. 제로 데이 위협은 표준 시그니처 기반 검사로 쉽게 식별할 수 없는 또 다른 일반적인 형태의 공격입니다. Trellix 위협 연구팀은 매일 400,000개에 가까운 새로운 유형의 공격을 보고합니다. 그중 다수는 기존 맬웨어를 약간 변경된 형태로 포함하지만, 시그니처 검사 정도는 피할 수 있을 정도로 다릅니다.

진화한 엔드포인트 보호의 작동 방식

진화한 엔드포인트 보호 솔루션에는 잠재적인 위협을 최대한 조기에 식별하고 위협이 네트워크 또는 데이터베이스에 유입되는 것을 방지하는 여러 보완 기술이 포함되어 있습니다. 또한 진화한 도구는 위협이 작동하는 방식과 향후 엔드포인트의 취약성을 완화하는 방법에 대한 인사이트를 제공하기 위해 정보를 수집합니다. 일부 엔드포인트 보안 솔루션은 네트워크의 각 엔드포인트에 있는 소형 소프트웨어 에이전트에 의존하여 데이터를 기록하고, 경고를 보내고, 명령을 구현합니다. 하지만 일부 공급업체에서는 단일 에이전트 아키텍처의 형태로 진화한 엔드포인트 보호를 제공하기 시작했습니다. 이 아키텍처는 설치 공간이 더 간소하고 배포 및 관리가 용이하며 관리 작업 중복성이 크게 감소하여 보호 형태로 선호되고 있습니다.

진화한 엔드포인트 보안 솔루션에는 다음 기술 또는 기능 중 일부 또는 전부가 포함될 수 있습니다.

기계 학습. 인공 지능의 범주인 기계 학습은 대량의 데이터를 분석하여 사용자와 엔드포인트의 일반적인 동작을 학습합니다. 그러면 기계 학습 시스템에서 일반적인 동작을 식별한 후 IT 직원에게 경고하거나 위협 억제, 엔드포인트 격리, 경고 발행과 같은 자동 보안 프로세스를 트리거할 수 있습니다. 기계 학습은 엔드포인트에 대한 지능형 위협과 새로운 위협 또는 제로 데이 위협을 식별하는 주요 방법입니다.

보안 분석.  보안 분석 도구는 엔드포인트와 기타 소스의 데이터를 기록하고 분석하여 잠재적 위협을 탐지합니다. 보안 분석은 IT 전문가가 보안 침해 또는 비정상적인 활동을 조사하고 발생한 피해를 확인하는 데 도움이 될 수 있습니다. IT 부서에서는 보안 분석을 사용하여 침해로 이어질 수 있는 취약성과 IT 부서에서 향후 공격을 방지하기 위해 수행할 수 있는 작업을 파악할 수 있습니다.

실시간 위협 인텔리전스. 진화한 보안에서는 외부 보안 공급업체 및 기관의 실시간 위협 인텔리전스를 사용할 수 있습니다. 최신 유형의 맬웨어, 제로 데이 위협 및 기타 유행하는 공격에 대한 실시간 업데이트를 통해 첫 발생부터 위협 격리까지의 시간을 단축합니다. 인텔리전스 피드의 예는 다음과 같습니다.

• Cyber Threat Alliance - 많은 대규모 사이버 보안 회사를 비롯한 구성원이 거의 실시간으로 사이버 위협 정보를 공유하는 독립적인 조직입니다.
• VirusTotal - 수많은 온라인 검사 엔진과 안티바이러스 제품에서 데이터를 집계하는 아일랜드 보안 사이트입니다.

IoT 보안.  산업 제어, 의료 이미징 시스템, 사무용 프린터, 네트워크 라우터와 같은 스마트 연결 장치는 어디에나 있습니다. 데이터 회사인 IHS Markit에 따르면 전 세계 IoT(사물인터넷) 장치의 수가 2030년에 1,250억 개에 이를 것이라고 합니다. 이렇게 연결된 장치 중 상당수는 보안이 부족하고 사이버 공격에 취약합니다. 보호되지 않는 단일 장치로 인해 전체 네트워크에 해커가 침입할 수도 있습니다. 산업 제어의 경우 공격자가 취약한 장치를 활용하여 전력망과 같은 주요 시스템을 손상시킬 수 있습니다. 이러한 새로운 엔드포인트를 위한 보안 솔루션에는 인증되지 않은 소프트웨어 또는 IP 주소를 차단하는 화이트리스트와 구성 또는 소프트웨어에 대한 무단 변경을 검사하기 위한 파일 무결성 모니터링이 포함됩니다.

엔드포인트 탐지 및 대응(EDR). EDR은 완전히 새로운 기술은 아니지만 위협이 점점 정교해짐에 따라 오늘날 더욱 중요해졌습니다. EDR은 의심스러운 엔드포인트 또는 최종 사용자 동작을 지속적으로 모니터링하고 위협 분석을 위해 엔드포인트 데이터를 수집합니다. EDR 솔루션은 네트워크에서 감염된 엔드포인트 차단, 의심스러운 프로세스 종료, 계정 잠금, 악성 파일 삭제와 같은 자동화된 응답 기능을 제공할 수 있습니다.

사이버 범죄가 증가하고 사이버 공격이 점점 더 정교해짐에 따라 모든 조직이 공격의 위험에 처해 있습니다. 장시간의 가동 중지나 데이터의 손실 또는 도난을 유발하는 공격은 조직에 심각한 영향을 줄 수 있습니다. 고객과 주주 사이에서 조직의 평판이 크게 훼손되거나 침해의 직접적인 비용 외에 수백만 달러의 합의금을 지불하라는 명령을 받을 수 있습니다.

조직은 효과적인 보안 솔루션과 사례를 구현하여 사이버 공격의 위험을 최소화할 수 있습니다. 진화한 엔드포인트 보호는 IT 보안의 중요한 요소입니다. 데스크톱 PC, 프린터, 산업 제어 등 모든 엔드포인트는 네트워크로 연결되는 잠재적 게이트웨이이기 때문입니다.

과거 몇 년 동안의 오래된 사후 대응적이고 정적인 엔드포인트 보안 솔루션은 더 이상 진취적인 해커를 차단하는 데 충분하지 않습니다. 특히 전문 범죄 그룹과 국가가 많은 공격에 자금을 대는 경우에는 더욱 그렇습니다. 기계 학습, 분석, 실시간 위협 업데이트와 같은 진화한 동적 엔드포인트 보안 기술은 더 짧은 시간에 더 많은 위협을 식별할 수 있으므로 IT 시스템과 데이터의 보안에 점점 더 중요해지고 있습니다.