뉴스

Limitless XDR 정의: 보안 데이터를 무료로 수집, 보유 및 분석

By
Mike Nichols

Elastic Security의 최신 기능은 사이버 보안 팀을 위한 XDR의 잠재력을 정의합니다.  Elastic의 단일 플랫폼은  SIEM 및 엔드포인트 보안을 통합하여 사용자가 다양한 소스에서 대량의 데이터를 수집 및 보유하고, 데이터를 보다 장기간 저장 및 검색하며, 탐지 및 머신 러닝을 통해 위협 헌팅을 강화할 수 있도록 지원합니다.

보안 공급업체는 "XDR"이라는 용어를 점점 더 자주 사용하고 있으며, 각 기술에 맞게 다양한 정의를 적용하고 있습니다. 이 용어는 EDR(Endpoint detection and response, 엔드포인트 위협 탐지 및 대응)의 발전으로 시작되었으며, "eXtended"의 "X"를 사용하여 조사 과정에서 다양한 데이터 소스의 필요성을 캡슐화하고자 했습니다. 다양한 모든 정의를 아우르는 핵심 개념은 다음과 같습니다.

  • 가시성: 데이터가 기하급수적으로 증가함에 따라 보안 실무자의 업무는 점점 더 어려워지고 있습니다. 이들은 분석, 근본 원인 파악 및 교정 계획을 수행할 중앙 장소가 필요합니다.
  • 분석: 이 중앙 데이터 집합은 데이터 늪이 되어서는 안됩니다. 새로운 분석 활용 사례를 규모에 맞게 구성, 활성화 및 모니터링할 수 있는 유연한 프레임워크를 사용자에게 제공해야 합니다. 또한 분석 워크플로우와 원활하게 통합되어 공격 내러티브의 우선순위를 정하고 이를 구축해야 합니다. 
  • 대응: 이 중앙 솔루션은 대응력이 뛰어나야 합니다. 사용자에게는 공격을 교정할 방법이 필요합니다. 공격이 시작되기도 전에 공격을 예방할 수 있다면 더할 나위 없이 좋습니다. 랜섬웨어 "탐지"는 조직에 도움이 되지 않습니다. 네이티브 엔드포인트 보안을 통해 MTTR(평균 교정 시간)을 0으로 줄일 수 있습니다.

궁극적으로 Elastic에서는 다음과 같은 방식으로 XDR을 정의합니다.

XDR은 보안 운영을 현대화하여 모든 데이터에 대한 분석을 지원하고 주요 프로세스를 자동화하여 모든 호스트에 예방 및 교정 기능을 제공합니다.

Elastic의 많은 사용자는 XDR이라는 용어를 보고 "이미 내 보안 프로그램에서 이 작업을 수행하고 있다"고 생각합니다. 실제로 여러 데이터 소스를 수집하고 규모에 맞게 분석하며 정보에서 위협을 탐지하고 대응 계획을 수립한 다음 문제 해결(교정)을 수행하는 개념은 SOC(Security Operations Center, 보안 운영 센터)의 원칙이라고 볼 수 있습니다. XDR은 이 작업의 대부분을 통합 솔루션에 캡슐화하고 가능한 경우 분류, 조사, 에스컬레이션 및 대응이라는 분석가의 워크플로우를 가속화하여 궁극적으로 더 많은 사용자에게 이 기능을 제공할 것을 약속합니다. 적들은 SOC를 보유한 기업뿐만 아니라 누구든 타깃으로 삼으며, XDR은 엔터프라이즈 조직뿐 아니라 아직 이러한 끊임없는 공격에 대응할 강력한 보안 프로그램을 구축하지 않은 기업에게도 도움이 될 것을 약속합니다.

Elastic이 EPP 공급업체인 Endgame과 힘을 합쳤을 때 모든 사용자를 위해 SIEM과 엔드포인트 보안을 통합하겠다는 우리의 비전을Shay가 공유한 바 있습니다. 이러한 보안의 민주화를 통해 대기업뿐만 아니라 누구나 지능적 위협을 예방, 탐지 및 대응할 수 있습니다. 그 이래로 우리의 여정은 계속되었고 이제 우리의 보안 분석/SIEM 기능과 동일한 사용자 환경에서 엔드포인트 보안 기능을 정식 버전으로 출시하게 되었습니다. SIEM과 엔드포인트 보안 솔루션의 이러한 통합이 바로 XDR입니다.

XDR 신흥 시장에서 Elastic이 특별한 이유는 Elastic의 솔루션이 무한하다는 것입니다.

eXtended(확장된)의 X

무한히 펼쳐지는 가시성

엔드포인트 보안 제품에서 발전한 XDR 솔루션은 일반적으로 엔터프라이즈 데이터 소스의 볼륨과 다양성을 수집 및 유지할 수 있도록 확장할 수 없습니다. Elastic은 무료 개방형 아키텍처를 활용하여 모든 데이터 소스를 수집함으로써 데이터 문제를 해결하는 데 있어 다른 솔루션보다 몇 년 앞서 있습니다. 미리 빌드된 수백 개의 통합 데이터를 Elastic Common Schema(ECS)에 매핑하고 사용자 커뮤니티는 지속적으로 새로운 확장을 추가해나가고 있습니다. 또한 Logstash를 사용하면 모든 종류의 사용자 정의 데이터 수집이 가능합니다. Elastic Agent는 수백 개의 통합을 지원하는 단일 설치 프로그램으로, 한 번의 클릭으로 새로운 사용 사례를 제공합니다.

무한한 데이터

공격자의 드웰 타임은 대부분의 SIEM 및 XDR 시스템의 현재 보존 시간을 훨씬 초과합니다. 그리고 이러한 시스템이 데이터를 보존하더라도 통상적으로 분석 속도가 크게 느려집니다. Elastic은 수년 간의 검색, 위협 인텔리전스, 대시보드, 보고서 등을 위해 Amazon S3와 같은 개체 스토리지의 동결된 데이터에 대해 조치를 취할 수 있습니다. 2주에서 2년까지의 시간 범위를 변경하기만 하면 몇 분 만에 분석가가 결과를 쉽게 확인할 수 있습니다.

Detection(탐지)의 D

한계가 없는 분석

위협은 끊임없이 진화합니다. 위협을 탐지하고 저지하려면 심층 방어가 필요합니다. Elastic에서는 여러 데이터 소스에 걸친 상관 관계에서 수년 간의 정보 및 머신 러닝 모델 이상 징후 탐지에 적용되는 위협 인텔리전스에 이르기까지 모든 데이터에 걸쳐 수많은 탐지 계층을 사용할 수 있습니다. Elastic 팀은 수백 개의 MITRE ATT&CK® 매핑 탐지와 머신 러닝 작업을 제공하여 첫날부터 여러분이 가치를 활용할 수 있도록 보장합니다. 

Elastic은 여러분이 팀과 직접 연결하여 Elastic 커뮤니티의 지혜를 공유할 수 있도록 우리의 탐지 개발을 개방했습니다. Elastic의 계층적 탐지 엔진 아키텍처를 통해 새로운 탐지 규칙이 이전 탐지를 분석하여 고급 공격 진행을 찾을 수 있습니다. 많은 조직이 서로 다른 지역, 클라우드 서비스 제공자 및 지역에서 데이터를 수집합니다. 백홀 정보는 비용이 많이 들고 비효율적입니다. Elastic은 클러스터 간 검색을 통해 데이터를 여러 지역 또는 서비스 제공자 간에 전송할 필요 없이 멀티 클라우드 환경에서 이러한 모든 분석 기능을 강화하여 데이터에 대한 검색을 수행할 수 있도록 지원합니다.

Response(대응)의 R

마지막으로, 탐지된 문제들은 즉시 해결되어야 합니다. 현대적인 문제 해결(교정) 방법은 프로세스 중단뿐만 아니라 사용자 비활성화, 서버에서 이메일 삭제, 방화벽에서 나쁜 도메인 차단 등 엔터프라이즈 전반에 걸쳐 조치를 취할 수 있는 역량을 필요로 합니다. 분석가는 조사, 교정 계획 수립, 실행 및 성공 보고에 대한 간단하고 직관적인 협업 방법이 필요합니다. 

Elastic에는 무료 개방형 사례 관리가 포함됩니다. 사용자는 사례 기능을 활용하여 팀과 소통하고 협업합니다. 사례는 ServiceNow ITSM, ServiceNow SecOps, IBM Resilient, JIRA, Swimlane과 같은 주요 교정 공급업체와 원활하게 통합되도록 확장되어 규모에 상관없이 기존 비즈니스의 교정 워크플로우에 적합합니다. 또한 API 우선 개발 및 웹후크 기능을 통해 다른 모든 생산성 도구와 통합할 수 있습니다.

아울러 Elastic Agent는 데이터 수집 및 정책 시행을 조정하는 중앙 집중식 방법을 제공합니다. 예를 들어 악성 파일을 자동으로 격리하고 랜섬웨어를 중지하는 것입니다. 교정하는 동안 모든 OS(Windows, macOS 및 Linux)의 Osquery 관리를 통해 사용자는 인시던트 프로세스에 필요한 추가 정보를 수집할 수 있습니다. 공격이 확인되면 Windows와 macOS에서 한 번의 클릭으로 간단히 호스트 격리 기능을 통해 대응 계획을 세우는 동안 상대방이 데이터를 훔치거나 파괴하는 것을 중단시킬 수 있습니다. 이 대응은 사용자 모드 방화벽 아래에 있으며 커널 수준에서 제어를 구현하여 적의 무단 변경을 방지합니다. 

Automation(자동화)의 A(숨은 글자)

이러한 추가 가시성을 통해 XDR 솔루션은 분석가 프로세스를 자동화하여 서로 다른 데이터 소스 간의 효율성을 보장할 수 있도록 지원해야 합니다. 수많은 기능은 다음과 같이 분석가 워크플로우를 사용하여 규모에 맞게 적용됩니다.

  • 클릭 한 번으로 데이터 수집: 보안 팀은 클라우드 인프라, SaaS 인증 공급자 및 포인트 보안 제품과 같이 비즈니스로부터 끊임없이 새로운 데이터 소스를 모니터링해야 합니다. 분석가는 수집 파이프라인을 구축하는 것이 아니라 데이터에서 가치를 찾는 데 시간을 투자해야 합니다. Elastic Agent는 대시보드, 모델, 규칙 등을 포함하여 데이터를 빠르고 쉽게 수집, 정규화 및 적용할 수 있는 방법을 제공합니다. 
  • 모든 데이터 소스에 걸쳐 탐지 확장: 탐지 유형의 성능 외에도 사용자는 미래의 위협에 대비해 최신 상태로 높은 품질의 탐지 기능을 지속적으로 공급받고 있음을 확신할 수 있어야 합니다. Elastic의 팀은 적극적으로 참여하는 훌륭한 커뮤니티와 협력하여 이 공개 탐지 규칙 리포지토리를 최신 상태로 유지합니다.
  • 분석가 결정 가속화: 데이터 소스가 증가하고 이러한 소스 전반에 걸친 탐지 수가 증가함에 따라 분석가 워크로드는 증가할 수밖에 없습니다. 먼저 XDR 솔루션은 경보 기능이 필요할 뿐만 아니라 어떤 경보(또는 경보 모음)를 먼저 조사해야 하는지도 알려야 합니다. Elastic은 모든 데이터 소스의 컨텍스트를 사용하여 환경 내 호스트의 리스크를 평가하여 비즈니스에 가장 큰 리스크를 기준으로 탐지 우선 순위를 지정합니다. 둘째, 이전의 탐지, 사례 및 위협 인텔리전스에 대한 지식을 통해 경보를 강화함으로써 분석가가 에스컬레이션해야 하는 사항이 있는지 여부를 보다 쉽게 판단할 수 있습니다. 셋째, 분석가는 가장 빠른 해결 시간으로 이어지는 다음 단계를 안내받아야 합니다. Elastic은 분석가가 가장 유용한 다음 단계를 이해하는 데 도움이 되는 탐지에 대한 조사 가이드를 제공합니다.

Elastic의 타의 추종을 불허하는 무료 개방형 XDR

무제한 사용

리소스 기반 요금제를 통해 유연한 라이선싱으로 제어 권한을 획득할 수 있습니다. 미션을 달성하는 데 융통성 없는 라이선싱이 방해가 되지 않도록 하세요. Elastic에서는 사용 사례, 데이터 볼륨 또는 엔드포인트 수와 상관 없이 사용하는 서버 리소스에 대해서만 비용을 지불하면 됩니다. 따라서 요금이 예측 가능해지며 필요에 따라 유연하게 조정할 수 있습니다.

 Elastic Security 의 임무는 공격으로부터 전 세계의 데이터를 보호하는 것입니다. Elastic은 전 세계 사용자가 미래의 공격으로부터 보호받을 수 있도록 보호 공간을 지속적으로 혁신하고 있습니다. 이 솔루션은 무제한 분석을 위해 구축된 단일 플랫폼에서 SIEM, Endpoint Security 및 XDR의 무료 개방형 기능을 제공하여 조직이 피해를 예방, 탐지 및 대응할 수 있도록 지원합니다.

 Elastic Security를 처음 사용하시는 분들은 Elastic Cloud의  Elasticsearch Service 에서 최신 버전을 무료로 사용해보실 수 있습니다. 


XDR-vision-roadmap.png