EDR이 실패할 때: 엔드포인트 보안에서 봉쇄의 중요성

6월 2, 2023

23 분 읽기

침해가 발생하면 탐지가 실패합니다. 이를 받아들인다고 해서 탐지 도구가 실패하는 것은 아닙니다. 전혀 그렇지 않습니다. 그들은 나쁜 배우들과 고양이와 쥐를 연기하는 불행한 임무를 가진 가장 정교한 도구 중 하나입니다.

엔드포인트 탐지 및 대응(EDR)과 같은 도구가 엔드포인트 보안의 대명사가 되었지만, 단일 접근 방식에만 의존하는 것은 조직을 취약하게 만들 수 있다는 것이 현실입니다. 침해가 발생할 것을 가정하는 제로 트러스트 사고방식을 수용하려면 탐지만큼이나 차단에 우선순위를 두어야 합니다.

아무리 강화된 EDR 에이전트라도 변조로부터 자유로울 수 없습니다. '스파이보이'라는 온라인 페르소나의 최근 연구 결과가 이를 잘 보여줍니다. 위협 행위자는 최소 300달러만 지불하면 올바른 액세스 권한을 가진 대부분의 EDR을 종료할 수 있습니다. 보안팀이 EDR이 실패하는 순간에 대비한다면 이와 같은 취약점은 놀랍지만 치명적이지는 않습니다.

측면 이동 시 도어 닫기

봉쇄는 공격자를 막고 속도를 늦추는 것이 핵심입니다. 제로 트러스트 세분화(ZTS)와 같은 격리 조치를 통해 조직은 영향을 받는 워크로드 또는 엔드포인트에서 측면 이동을 방지하여 공격자의 확산을 선제적으로 차단할 수 있습니다. 가장 좋은 점은 측면 이동을 제한하면 다른 탐지 도구가 인시던트를 탐지할 수 있는 시간을 늘릴 수 있다는 것입니다.

ZTS는 검증된 격리 전략입니다. 공격 보안 업체인 비숍 폭스가 테스트한 결과, ZTS를 사용하면 레드팀이 공격을 성공적으로 실행하는 데 9배 더 오래 걸리는 것으로 나타났습니다. 또한 공격자가 움직이려고 하면 더 많은 소음이 발생하기 때문에 공격을 4배 더 빨리 탐지하는 데 도움이 되었습니다.

봉쇄가 모든 엔드포인트 보안 전략에 즉각적인 영향을 미칠 수 있는 영역은 여러 가지가 있습니다.

완전한 가시성 확보

조직의 60%가 부적절한 가시성으로 인해 보안 태세를 개선하는 데 어려움을 겪고 있습니다. 모든 자산에 대한 완전한 가시성이 없으면 측면 이동을 막는 것은 거의 불가능합니다. 탐지에만 의존하면 조직은 EDR 솔루션을 완전히 우회하는 공격에 취약해집니다. 봉쇄는 위협의 진입 지점에 관계없이 위협을 격리하고 무력화하기 위한 사전 조치를 구현함으로써 중요한 역할을 합니다.

가장 정교한 위협도 차단합니다.

탐지 메커니즘을 쉽게 우회할 수 있는 제로데이 익스플로잇은 특히 위험합니다. 이러한 정교한 위협을 탐지하는 데는 시간이 걸립니다. 조직은 봉쇄에 우선순위를 두어 즉각적인 탐지가 이루어지지 않더라도 손상된 시스템을 격리하고 측면 이동을 방지하여 위협의 영향을 최소화할 수 있습니다.

위협을 신속하게 차단

침해를 신속하게 탐지하더라도 여전히 위험은 존재합니다. 즉각적인 대응이 없다면 공격자는 여전히 목적을 달성할 수 있습니다. 응답이 지연되면 공격자가 네트워크에 더 깊숙이 침투할 수 있습니다. 신속한 봉쇄의 필요성을 과소평가해서는 안 됩니다. 조직은 EDR과 함께 격리 전략을 구현함으로써 위협을 신속하게 완화하여 잠재적 피해를 최소화하고 정상 운영을 복구하는 데 걸리는 시간을 단축할 수 있습니다.

더 적고 더 정확한 네트워크 알림

경고 피로는 현실입니다. 측면 이동 경로를 줄임으로써 여전히 팝업되는 네트워크 알림의 정확도를 높일 수 있습니다. 격리 전략을 통해 의심스러운 엔드포인트를 격리하면 실제 위협을 조사하고 정확하게 대응하는 데 필요한 숨통을 틔울 수 있습니다.

내부자 위협으로부터 보호

침해 지표를 찾는 데 초점을 맞춘 EDR 솔루션은 권한이 있는 내부자나 침해된 계정의 악의적인 행동을 식별하지 못할 수 있습니다. ZTS와 같은 격리 전략은 내부자 위협으로 인한 피해를 최소화하는 데 도움이 될 수 있습니다. 이동을 제한함으로써 봉쇄는 이러한 내부 위협에 대한 추가적인 보호 계층을 추가합니다.