사이버 보안 업계는 전문 용어, 약어, 두문자어로 넘쳐납니다. 엔드포인트부터 네트워크, 클라우드에 이르기까지 정교한 공격 경로가 증가함에 따라 많은 기업들이 고급 위협에 대응하기 위한 새로운 접근 방식인 확장된 탐지 및 대응(Extended Detection and Response)으로, 이는 또 다른 약어인 XDR을 탄생시켰습니다. XDR은 올해 업계 리더들과 애널리스트 커뮤니티로부터 큰 주목을 받았지만 업계 리더들과 애널리스트 커뮤니티로부터 큰 관심을 받았지만, XDR은 여전히 진화 중인 개념이며, 따라서 이 주제에 대한 혼란이 존재합니다.
- XDR이란 무엇인가요?
- XDR은 EDR과 어떻게 다른가요?
- SIEM 및 SOAR과 동일한가요?
EDR 시장의 선도 기업이자 신흥 XDR 기술의 선구자로서, 우리는 종종 XDR이 무엇을 의미하는지, 그리고 궁극적으로 고객에게 더 나은 결과를 제공하는 데 어떻게 도움이 되는지 설명해 달라는 요청을 받습니다. 이 글은 XDR EDR, SIEM, SOAR와의 차이점을 설명하고자 합니다.
EDR이란 무엇인가?
EDR는 조직이 엔드포인트의 의심스러운 행동을 모니터링하고 모든 활동과 이벤트를 기록할 수 있는 기능을 제공합니다. 그런 다음 정보를 상호 연관시켜 중요한 컨텍스트를 제공하여 고급 위협을 탐지하고 마지막으로 감염된 엔드포인트를 네트워크에서 격리하는 등의 자동화된 대응 활동을 거의 실시간으로 실행합니다.
XDR이란 무엇인가?
XDR은 EDR의 진화인 엔드포인트 탐지 및 대응(EDR)의 진화입니다. EDR이 여러 엔드포인트에서 활동을 수집하고 상관관계를 분석하는 반면, XDR은 탐지 범위를 엔드포인트를 넘어 확장하여 엔드포인트, 네트워크, 서버, 클라우드 워크로드, SIEM 등 다양한 영역에 걸친 탐지, 분석 및 대응을 제공합니다.
이를 통해 여러 도구와 공격 경로를 아우르는 통합된 단일 창 뷰를 제공합니다. 이러한 향상된 가시성은 위협에 대한 맥락을 제공하여 분류, 조사 및 신속한 해결 노력을 지원합니다.
XDR은 여러 보안 벡터에 걸쳐 데이터를 자동으로 수집하고 상관관계를 분석하여 위협 탐지 속도를 높여 보안 분석가가 위협의 범위가 확대되기 전에 신속하게 대응할 수 있도록 지원합니다. 다양한 제품 및 플랫폼에 대한 즉시 사용 가능한 통합 및 사전 조정된 탐지 메커니즘은 생산성, 위협 탐지 및 포렌식 능력을 향상시키는 데 도움이 됩니다.
요약하자면, XDR은 엔드포인트를 넘어 확장되어 더 많은 제품의 데이터를 기반으로 의사 결정을 내리고, 이메일, 네트워크, 신원 관리 등을 포함한 전체 스택에 걸쳐 조치를 취할 수 있습니다.
XDR은 SIEM과 어떻게 다른가요?
XDR에 대해 이야기할 때, 일부 사람들은 우리가 보안 정보 및 이벤트 관리(SIEM) 도구를 다른 방식으로 설명하고 있다고 생각합니다. 그러나 XDR과 SIEM은 서로 다른 개념입니다.
SIEM은 기업 전반에서 발생하는 대량의 로그 데이터를 수집, 집계, 분석 및 저장합니다. SIEM은 매우 광범위한 접근 방식으로 시작되었습니다: 기업 내 거의 모든 소스에서 사용 가능한 로그 및 이벤트 데이터를 수집하여 여러 사용 사례를 위해 저장하는 것이었습니다. 여기에는 거버넌스 및 규정 준수, 규칙 기반 패턴 매칭, UEBA와 같은 휴리스틱/행동 기반 위협 탐지, IOC(침해 지표) 또는 원자적 지표를 위한 텔레메트리 소스 전반의 헌팅 등이 포함되었습니다.
그러나 SIEM 도구는 구현에 많은 미세 조정과 노력이 필요합니다. 보안 팀은 SIEM에서 발생하는 엄청난 양의 경고에 압도되어 SOC가 중요한 경고를 무시하는 경우도 있습니다. 또한 SIEM은 수십 개의 소스와 센서에서 데이터를 수집하지만, 여전히 경보를 발행하는 수동적인 분석 도구입니다.
XDR 플랫폼은 표적 공격에 대한 효과적인 탐지 및 대응을 위해 SIEM 도구의 과제를 해결하는 것을 목표로 하며, 행동 분석, 위협 인텔리전스, 행동 프로파일링 및 분석 기능을 포함합니다.
XDR은 SOAR과 어떻게 다른가?
보안 오케스트레이션 및 자동화 대응(SOAR) 플랫폼은 성숙한 보안 운영 팀이 API로 연결된 보안 솔루션 생태계 전반에 걸쳐 작업을 자동화하는 다단계 플레이북을 구축하고 실행하는 데 사용됩니다. 반면 XDR은 마켓플레이스를 통해 생태계 통합을 가능하게 하고, 타사 보안 제어에 대한 간단한 작업을 자동화하는 메커니즘을 제공합니다.
SOAR 은 복잡하고 비용이 많이 들며, 파트너 통합 및 플레이북을 구현하고 유지 관리하기 위해 매우 성숙한 SOC가 필요합니다. XDR은 'SOAR-lite'로 설계되었습니다: XDR 플랫폼에서 연결된 보안 도구로 실행 가능성을 제공하는 간단하고 직관적인 제로 코드 솔루션입니다.
MXDR이란 무엇인가?
관리형 확장 탐지 및 대응(MXDR)은 MDR 서비스를 기업 전체로 확장하여 엔드포인트, 네트워크, 클라우드 환경 전반에 걸친 보안 분석 및 운영, 고급 위협 헌팅, 탐지 및 신속 대응을 포함하는 완전 관리형 솔루션을 제공합니다.
MXDR 서비스는 추가적인 모니터링, 조사, 위협 헌팅 및 대응 기능을 위해 MDR 서비스로 고객의 XDR 역량을 보완합니다.
XDR이 주목받고 화제가 되는 이유는 무엇인가?
XDR은 분산된 보안 체계를 대체하여 조직이 통합된 관점에서 사이버 보안 과제를 해결할 수 있도록 지원합니다. 전체 생태계 전반의 정보를 포함하는 단일 원시 데이터 풀을 통해 XDR은 EDR보다 더 빠르고 깊이 있으며 효과적인 위협 탐지 및 대응을 가능하게 하며, 더 광범위한 출처에서 데이터를 수집하고 통합합니다.
XDR은 위협에 대한 가시성과 맥락을 더욱 명확히 제공합니다. 기존에는 대응되지 않았을 사건들이 더 높은 수준의 인식으로 부각되어 보안 팀이 추가적인 영향을 완화 및 감소시키고 공격 범위를 최소화할 수 있도록 합니다.
전형적인 랜섬웨어 공격은 네트워크를 가로질러 이동한 후 이메일 수신함에 도달하여 엔드포인트를 공격합니다. 이러한 각 요소를 개별적으로 다루는 방식의 보안 접근은 조직에 불리한 상황을 초래합니다. XDR은 서로 다른 보안 제어 기능을 통합하여 사용자 접근 권한 비활성화, 계정 침해 의심 시 다중 인증 강제 적용, 유입 도메인 및 파일 해시 차단 등 기업 보안 영역 전반에 걸쳐 자동화되거나 원클릭 대응 조치를 제공합니다. 이 모든 것은 사용자가 작성한 맞춤 규칙 또는 규정적 대응 엔진에 내장된 로직을 통해 수행됩니다.
이러한 포괄적인 가시성은 다음과 같은 여러 이점을 제공합니다:
- 데이터 소스 간 상관관계 분석을 통한 평균 탐지 시간(MTTD) 단축.
- 트라이아지 가속화 및 조사 및 범위 설정 시간 단축을 통한 평균 조사 시간(MTTI) 감소.
- 간단하고 빠르며 관련성 높은 자동화를 통해 평균 대응 시간(MTTR) 단축.
- 전체 보안 영역에 걸친 가시성 향상.
또한 AI와 자동화 덕분에 XDR은 보안 분석가의 수작업 부담을 줄여줍니다. XDR 솔루션은 정교한 위협을 사전에 신속하게 탐지하여 보안 또는 SOC 팀의 생산성을 높이고 조직에 막대한 ROI 향상을 가져다줍니다.&
마지막으로 드리는 말씀
벤더 환경을 탐색하는 것은 많은 기업에게 어려운 일이며, 특히 탐지 및 대응 솔루션을 고려할 때 더욱 그렇습니다. 가장 큰 장애물은 종종 각 솔루션이 제공하는 내용을 이해하는 것입니다. 특히 용어가 공급업체마다 다르고 서로 다른 의미를 가질 수 있기 때문입니다.
시장에 진입하는 모든 신기술과 마찬가지로 과대광고가 많으며, 구매자는 현명해야 합니다. 현실은 모든 XDR 솔루션이 동일하지 않다는 점입니다. SentinelOne Singularity XDR는 여러 보안 계층에 걸쳐 탐지 및 대응 기능을 통합하고 확장하여 보안 팀에게 중앙 집중식 엔드투엔드 기업 가시성, 강력한 분석 기능, 전체 기술 스택에 걸친 자동화된 대응을 제공합니다.
SIEM vs SOAR vs XDR vs EDR FAQs
SIEM은 방화벽, 서버, 애플리케이션에서 로그를 수집한 후 경보 및 규정 준수 보고서를 생성합니다. SOAR는 이 스택에 추가되어 경보를 자동화된 런북으로 전환하여 사람의 클릭 없이 티켓을 처리하거나 IP를 차단합니다.
EDR은 엔드포인트에 상주하며 프로세스를 감시하고 로컬에서 악성코드를 제거합니다. XDR은 엔드포인트, 이메일, 클라우드, 네트워크 텔레메트리 데이터를 하나의 헌트 콘솔로 통합하여 탐지 및 대응을 통합함으로써 시야를 넓힙니다.
EDR은 각 호스트에 집중합니다: 파일 쓰기, 프로세스 트리, 레지스트리 수정, 격리 또는 삭제 조치 등. XDR은 이러한 엔드포인트 데이터를 이메일 게이트웨이, ID 서비스, 클라우드 워크로드, 네트워크에서 수집한 신호와 융합한 후, 계층 간 이벤트를 상관 분석하여 단일 뷰로 캠페인을 노출합니다. 간단히 말해, EDR은 노트북을 방어하고 XDR은 전체 자산을 방어합니다.
EDR은 위협이 최종 사용자 장치에만 존재할 때 가장 빠르게 대응합니다. SIEM은 모든 로그 소스를 정교한 규칙으로 이미 통합한 경우 효과적이지만, 과도한 알림으로 인해 혼란을 초래할 수 있습니다. XDR은 중간 위치에 있습니다: 기본적으로 다중 계층 신호를 자동 상관 분석하여 원시 SIEM보다 오탐을 줄이고 순수 EDR보다 더 넓은 가시성을 제공하므로, 대부분의 팀은 XDR을 통해 더 정확한 경고를 확인합니다.
분석가가 반복적인 경보 분류 작업에 허덕일 때 SOAR를 선택하세요. SIEM이 이미 수천 건의 티켓을 생성하는 경우, SOAR를 사용하면 플레이북을 연결하여 저위험 경보를 보강, 우선순위 지정 및 자동 종료하고 방화벽 차단 및 사용자 비활성화 단계를 하나의 흐름으로 연결할 수 있습니다. 이러한 자동화 계층이 없으면 SIEM이 클릭하는 속도보다 더 빠르게 대기열을 넘칠 수 있습니다.
중소기업은 일반적으로 EDR로 시작합니다. 배포 부담이 적고 엔드포인트당 가격 책정이 가능하며 랜섬웨어 대응 속도가 빠르기 때문입니다. 비즈니스에 클라우드 애플리케이션이나 원격 사이트가 추가되면 XDR이 매력적으로 다가옵니다. 추가 인력 없이도 동일한 콘솔에서 해당 피드를 통합할 수 있기 때문입니다.
예산이 빠듯하고 공격 표면이 단순하다면 EDR을 유지하세요. 신호가 확산되면 XDR로 업그레이드하십시오.
예—팀이 해당 도구들을 통합하는 데 수시간을 소비한다면. XDR은 동일한 엔드포인트 데이터를 수집하고 클라우드 및 이메일 피드로 보강하여, 10개의 개별 경고 대신 하나의 우선순위화된 인시던트를 노출합니다. 많은 플랫폼은 SIEM과 규칙을 동기화하기도 합니다.
SOC에서 이미 로그를 원활하게 상관관계 분석하고 경보 피로도가 낮다면, 투자를 보류하고 비용을 절감할 수 있습니다.
