네트워크 탐지 및 대응(NDR) 솔루션은 네트워크 트래픽에 대한 가시성과 위협 탐지 기능을 제공합니다. 본 가이드는 이상 탐지 및 사고 대응을 포함한 NDR의 기능과 이점을 살펴봅니다.
포괄적인 보안 전략에서 NDR의 중요성과 구현을 위한 모범 사례에 대해 알아보세요. 조직이 사이버 위협으로부터 네트워크를 보호하기 위해서는 NDR을 이해하는 것이 필수적입니다.
네트워크 탐지 및 대응(NDR)의 진화
초기에는 기업들이 네트워크 환경의 성능 수준을 테스트하기 위한 수단으로 네트워크 트래픽을 포착했습니다. 글로벌 산업과 네트워크 전반에 걸쳐 데이터 양이 증가하기 시작하자, 이 기능은 사이버 방어 목적의 자원으로 진화했습니다.
네트워크 탐지 및 대응으로 알려지기 전, 네트워크 트래픽 모니터링 기술은 처음에 네트워크 트래픽 분석(NTA)이라고 불렸습니다. NTA는 오늘날에도 네트워크 보안 및 보안 운영 센터(SOC) 관행에서 상당한 부분을 차지하지만, 네트워크 탐지 및 보안의 모든 측면을 포괄하도록 크게 확장되었습니다.
오늘날 SentinelOne의 Singularity™ Endpoint와 같은 NDR 솔루션은 정교한 행동 분석, 인공 지능(AI) 및 머신 러닝(ML), 그리고 클라우드 기술을 결합한 형태입니다. 이러한 모든 구성 요소는 현대적인 NDR 솔루션에 기여하며, 이는 탐지 능력 향상, 유입 위협의 위험 수준 식별, 조사 분석 및 원격 측정 관련 작업 자동화를 통해 보안 전문가가 분류 프로세스와 위협 대응에 집중할 수 있도록 지원하는 조직의 인기 있는 선택지입니다.
네트워크 탐지 및 대응(NDR)은 어떻게 작동하나요?
네트워크 탐지 및 대응 솔루션은 조직의 네트워크 전반에 걸쳐 원시 네트워크 트래픽과 활동을 지속적으로 수집하고 상호 연관성을 분석함으로써 작동합니다. 데이터는 네트워크 경계에서 남북 방향 트래픽을 포착하고, 네트워크 내 센서에서 동서 방향 트래픽을 포착하기 위해 수집됩니다.
강력한 NDR은 AI 및 ML 알고리즘을 활용하여 조직의 정상적이거나 전형적인 네트워크 트래픽에 대한 기본적인 이해를 구축하며, 이를 통해 평소와 다른 악성 활동을 포착합니다. 또한 AI와 ML을 활용하여 적대자의 전술, 기법 및 절차(TTP)를 모델링하고, 이를 MITRE ATT&CK 프레임워크와 연계하여 정밀하게 위협 행위자의 행동을 탐지합니다.
보안 팀은 또한 공격 타임라인의 종단 간 포렌식 분석을 위해 NDR을 활용하여 초기 데이터 유출, 측면 이동 및 기타 악성 활동을 포착합니다. 이후 자동화된 방지 및 완화 조치와 워크플로우를 실행합니다. NDR 솔루션은 고품질 데이터를 생성하고 컨텍스트를 상호 연관시킬 수 있으므로, 조사에 소요되는 전체 시간과 노력을 획기적으로 줄여줍니다. NDR 솔루션은 주로 다음과 같은 핵심 기술을 중심으로 운영됩니다:
딥 러닝 및 머신 러닝
NDR 솔루션은 머신 러닝(ML)을 활용하여 정확한 예측을 생성함으로써 네트워크 내 알려지지 않은 위협을 탐지할 수 있습니다. 종종 ML은 행동 분석 기능과 함께 작동하여 보안 팀이 침해 지표가 본격적인 사이버 사고로 발전하기 전에 식별할 수 있도록 지원합니다. NDR 솔루션의 머신 러닝은 실제 시나리오를 기반으로 유입되는 잠재적 위협을 지속적으로 평가함으로써 신속한 분류 및 완화 조치도 가능하게 합니다.
딥 러닝은 일반적인 NDR 솔루션의 또 다른 구성 요소입니다. 이는 인공 신경망을 활용하여 NDR의 역량을 강화하는 머신 러닝의 한 형태입니다. 딥 러닝 모델은 보안 분석가가 데이터를 해석하여 시스템 내에 숨어 있는 알려지지 않은 위협을 발견할 수 있도록 지원합니다.
통계적 분석
통계적 및 휴리스틱 기법을 활용하여 NDR 솔루션은 침해 및 손상 징후를 포착하기 위해 네트워크 트래픽 패턴과 데이터를 사전에 정의된 시스템 '표준'과 비교하여 추적할 수 있습니다. 통계적 분석은 일반적/정상적인 트래픽 사용량을 기준선으로 측정하고, 이를 기준으로 유입되는 트래픽을 비교하는 방식으로 작동합니다. 정상 범위와 임계값을 벗어난 의심스러운 트래픽은 분류를 위해 식별됩니다.
위협 인텔리전스 피드
NDR은 기존 및 확인된 사이버 위협 정보를 포함하는 위협 인텔리전스 데이터 스트림을 기반으로 작동하도록 훈련될 수 있습니다. 이러한 데이터 피드는 NDR 솔루션이 알려진 위협에 대해 신속하게 경고하고, 추가적인 맥락을 제공하며, 발견된 이상 현상의 위험 수준을 우선순위화하는 능력을 강화합니다. 다만 위협 인텔리전스 피드는 데이터가 최신 상태이며 관련성이 있도록 신중하게 선별 및 관리되어야 합니다.
기업의 네트워크 탐지 및 대응(NDR) 활용 방식
분산 네트워크가 계속 성장함에 따라, 기존 SIEM, 안티바이러스(AV), 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS)과 같은 시그니처 기반 보안 도구만으로는 현대적인 사이버 범죄자들을 앞서 나가기 어렵습니다. 오늘날 대부분의 위협은 이전에 알려진 시그니처가 없기 때문에, 보안 팀은 사이버 공격을 탐지하고 대응하기 위해 더 많은 것이 필요합니다. AI, ML, 행동 분석과 같은 선도적 기술을 활용하는 고급 NDR 솔루션은 클라우드 및 온프레미스 환경 전반에 걸쳐 조직에 더 나은 보호 기능을 제공할 수 있습니다.
현대 조직이 장기적 보안 전략에 NDR 솔루션 도입을 추진하는 주요 비즈니스 이유는 다음과 같습니다:
지속적인 위협 가시성
NDR 솔루션을 통해 보안 팀은 위협이 측면 이동하여 심각한 피해를 입히기 전에 네트워크 전반에서 이를 포착할 수 있습니다. 또한 네트워크에 연결된 모든 사용자, 장치, 기술에 걸쳐 지속적인 가시성을 제공하여 보안 팀이 보호 대상 네트워크를 완벽한 조감도로 파악할 수 있게 합니다.
공격 시각화
NDR은 침입 청사진을 제공하여 보안 팀이 전체 네트워크에 걸친 상세한 위협 타임라인을 확인할 수 있게 합니다. 이를 통해 공격 범위를 신속히 파악하고 조치 및 자원 우선순위를 설정할 수 있습니다. NDR은 정확도가 낮고 중요하지 않은 경보를 걸러내기 때문에 지속성, 권한 상승, 자격 증명 접근, 측면 이동, 데이터 유출, 명령 및 제어(C2) 활동을 포함합니다.
실시간 침입 탐지
AI와 머신러닝을 통해 NDR 솔루션은 실시간으로 작동하여 기계 속도로 사이버 위협을 탐지하고 차단합니다. 이러한 솔루션은 기본 제어 기능을 통해 침해 지표에 자동으로 대응하여 공격이 확산되기 전에 차단할 수 있습니다.
경보 관리
기존 보안 솔루션은 대량의 경보와 알림을 생성하기 쉬워 보안 분석가의 피로도와 탐지 누락을 초래합니다. NDR 솔루션은 오탐(false positive)과 '잡음'을 줄여 분석가가 침입 차단과 사전 대응 전략 수립에 시간을 집중할 수 있도록 지원합니다.
결론
시그니처 기반 방법과 알려진 침해 지표에 의존하는 기존의 위협 탐지 도구로는 현대적인 사이버 공격자를 막기에는 더 이상 충분하지 않습니다. 레거시 안티바이러스, 침입 탐지 및 방지 시스템(IDPS), 일부 방화벽과 같은 도구는 대부분의 위협이 새롭고, 새롭게 등장하며, 사전에 식별된 시그니처가 없는 상황에서 그 효과가 제한적입니다. 랜섬웨어, 고급 지속적 위협 (APT), 비즈니스 이메일 침해 (BEC) 등도 이러한 기존 솔루션을 우회할 수 있습니다.
조직이 인공지능, 머신러닝, 행동 분석을 활용한 네트워크 탐지 및 대응 솔루션으로 전환함에 따라, Singularity™ Endpoint 플랫폼과 같은 포괄적인 솔루션을 통해 정교한 위협 행위자들보다 한 발 앞서 나가고 장기적으로 보다 선제적인 대응 태세를 구축할 수 있습니다. NDR은 방대한 양의 원시 네트워크 트래픽과 데이터를 정상 행동과 지속적으로 비교 분석하여 위협을 탐지하도록 설계되었습니다. 보안 팀이 효과적인 위협 헌팅을 지원하면서 더 빠르고 정확한 대응을 가능하게 하기 때문에, NDR은 오늘날 조직들에게 널리 신뢰받는 솔루션이 되었습니다.
네트워크 탐지 및 대응 FAQ
네트워크 탐지 및 대응은 네트워크 트래픽에서 비정상적인 패턴, 이상 징후 또는 알려진 공격 행동을 감시하는 보안 솔루션입니다. 온프레미스, 클라우드 및 하이브리드 환경 전반에 걸쳐 패킷, 플로우 레코드 및 메타데이터를 검사합니다.
측면 이동이나 데이터 유출과 같은 위협을 감지하면 경보를 발생시키고, 신속한 사고 조사 및 대응을 돕기 위한 컨텍스트를 제공합니다.
NDR 도구는 네트워크 탭, 스팬 포트 또는 패킷 브로커를 활용하여 원시 트래픽 및 흐름 데이터를 수집합니다. 행동 분석, 위협 인텔리전스, 때로는 머신 러닝을 적용하여 승인되지 않은 프로토콜, 이상한 스캐닝 또는 명령 및 제어 호출과 같은 편차를 찾습니다.
의심스러운 이벤트가 표시되면 플레이북이 분류, 위협 헌팅 및 자동 또는 수동 억제 조치를 안내합니다.
현대 네트워크는 복잡합니다: 마이크로 세그먼트화된 클라우드, 원격 사용자, 암호화된 흐름은 엔드포인트 도구만으로는 위협을 숨길 수 있습니다. NDR은 세그먼트와 프로토콜 전반에 걸친 트래픽을 추적함으로써 이러한 격차를 해소합니다.
이는 은밀하게 측면 이동하는 침입자, 암호화된 악성코드 다운로드, 또는 악성 장치를 포착할 수 있음을 의미합니다. 따라서 모든 위협을 발견하기 위해 로그나 엔드포인트 센서에만 의존하지 않아도 됩니다.
NDR을 통해 다음과 같은 이점을 얻을 수 있습니다: 내부 트래픽에 대한 심층적인 가시성, 은밀한 공격의 신속한 탐지, 조사에 필요한 풍부한 컨텍스트. EDR을 회피하는 측면 이동 및 암호화된 위협을 포착할 수 있습니다. 자동화된 경고 및 대응 플레이북으로 격리 속도를 높입니다.
또한 지속적인 모니터링을 통해 네트워크 세분화 및 규정 준수를 검증하여 체류 시간을 단축하고 침해 영향을 제한합니다.
EDR은 호스트의 프로세스, 파일, 레지스트리 변경 등 엔드포인트 행동에 중점을 둡니다. SIEM은 상관 관계 분석 및 보고를 위해 스택 전반의 로그와 이벤트를 수집합니다. XDR 엔드포인트, 네트워크, 클라우드, 신원 정보의 원격 측정 데이터를 하나의 콘솔로 통합합니다.
NDR은 네트워크 트래픽 자체에 집중하여 암호화되거나 관리되지 않는 세그먼트의 사각지대를 메웁니다. 이 세 가지가 함께 다층적인 탐지 및 대응을 제공합니다.
NDR 도구는 측면 이동, 무차별 대입 또는 무단 접근 시도, DNS 터널링, 명령 및 제어 콜백, 데이터 유출, ARP 스푸핑, 비정상적인 프로토콜 사용을 포착합니다. 또한 비정상적인 트래픽 양, 숨겨진 비콘 전송, 보안되지 않은 섀도 IT 서비스와 같은 정책 위반을 감지하여 방화벽을 우회하는 자동화된 공격과 수동 침입을 모두 발견할 수 있습니다.
NDR은 의심스러운 트래픽을 감지하면 패킷 캡처, 세션 세부 정보 및 위협 컨텍스트(관련 IP 주소, 프로세스 이름 또는 사용자 계정)를 제공합니다. 자동화된 플레이북을 통해 악성 IP를 차단하거나 감염된 세그먼트를 격리하거나 의심스러운 흐름을 제한할 수 있습니다. 분석가는 실시간 흐름 그래프와 포렌식 타임라인을 활용하여 공격 경로를 추적함으로써 정상 트래픽을 신속하게 격리, 복구 및 복원할 수 있습니다.
고정밀 패킷 캡처, 암호화 트래픽 분석, 클라우드 및 컨테이너 네트워크 지원을 제공하는 NDR을 선택하십시오. 기준선을 학습하는 행동 분석 기능, 내장된 위협 인텔리전스 피드, SOAR 또는 SIEM과의 원활한 통합을 확인하세요.
자동화된 대응 워크플로, 사용자 정의 가능한 탐지 기능, 상세한 포렌식 대시보드는 팀이 위협을 추적하고 신속하게 대응하는 데 도움이 됩니다.
SentinelOne의 NDR은 AI를 활용해 동서(east-west) 및 남북(north-south) 트래픽 행동을 분석함으로써 네트워크 트래픽 위협을 자동으로 격리 및 격리합니다. 글로벌 위협 텔레메트리 데이터를 활용해 이상 징후를 포착합니다. 사고를 탐지하면 Singularity XDR이 조치를 취하고 취약점을 수정하며 필요한 경우 롤백을 시작할 수 있습니다.
또한 SentinelOne의 NDR 지원이 포함된 SOAR 서비스를 활용하여 위협 조사를 강화할 수 있습니다.
