EDR과 제로 트러스트 세분화가 모두 필요한 이유

엔드포인트 탐지 및 대응 (EDR) 제품을 이미 사용 중인데 Illumio가 필요한지 문의하는 경우가 있습니다. 또는 이미 일루미오를 사용하고 있는데도 EDR이 필요한지 묻기도 합니다.

정답은 제로 트러스트 세분화와 EDR 제품이 필요하다는 것입니다. 일루미오와 EDR은 서로를 보완하여 사이버 공격에 대한 더욱 강력한 방어 체계를 구축합니다.

Illumio와 EDR이 모두 필수 보안 도구인 이유와 함께 사용하면 조직의 사이버 방어가 더욱 강력해지는 이유를 알아보세요.

다양한 NIST 사이버 보안 역할을 위한 다양한 제품

Illumio와 EDR을 비교하는 가장 좋은 방법은 사이버 보안이라는 가장 큰 맥락을 고려하는 것입니다.

일루미오와 EDR 제품은 사이버 보안 도구 및 관행에 대한 미국 정부의 공식 표준인 NIST 사이버 보안 프레임워크에서 서로 다른 역할을 수행합니다. NIST 사이버 보안 프레임워크는 가장 높은 수준에서 사이버 보안 운영을 구성하는 다섯 가지 기능을 제시합니다. 이 다섯 가지 기능은 다음과 같습니다:

• 식별
• 보호
• 감지
• 응답
• 복구

EDR 제품은 이름에서 알 수 있듯이 감지 및 대응 기능을 다룹니다. 의심스러운 활동이나 엔드포인트에 대한 노골적인 공격을 탐지합니다 . 그런 다음 의심스러운 활동이나 공격에 대응하여 시정 조치를 취합니다. 보안 정보 및 이벤트 관리(SIEM) 시스템에 경고를 보내고, 바이러스 백신 도구를 활성화하는 프로세스를 시작하고, 파일을 삭제하거나 격리하고, 이러한 작업 또는 기타 작업을 조합하여 수행할 수 있습니다.

일루미오 제로 트러스트 세분화는 사이버 보안에서 다른 역할을 합니다. Illumio는 한 엔드포인트에서 다른 엔드포인트로 이동하는 공격자로부터 네트워크를 지속적으로 보호합니다 . 소프트웨어 취약점이나 제로데이 공격으로 인해 엔드포인트에서 미묘한 공격이 발생하고 결국 어딘가의 엔드포인트에 공격이 침투하는 경우, Illumio는 액세스를 거부하고 조직의 네트워크에서 측면으로 이동하지 못하도록 차단하여 조직을 보호합니다.

Illumio는 기본적으로 모든 네트워크 트래픽을 거부하여 공격자의 움직임을 제한하는 제로 트러스트 보안 모델입니다. 대신 Illumio는 보안 및 운영 팀이 Illumio의 실시간 애플리케이션 종속성 맵을 검토한 후 필요하다고 판단한 트래픽만 허용합니다. 애플리케이션 종속성 맵은 비즈니스에 중요한 애플리케이션이 종속된 네트워크 경로를 보여줍니다.

또한, Illumio를 사용하면 보안 팀이 많은 멀웨어 공격에 필수적인 네트워크 프로토콜을 차단하는 정책을 쉽게 시행할 수 있습니다. 예를 들어, 2021년 3분기 랜섬웨어 공격의 거의 절반이 RDP 프로토콜에 의존했습니다. 원래 헬프 데스크 상담원이 직원의 컴퓨터에 액세스할 수 있도록 설계된 RDP는 결국 공격자가 조직 내부로 침투할 수 있는 광범위한 뒷골목 네트워크 역할을 하게 되었습니다. 일루미오를 사용하면 보안 팀이 단 몇 분 만에 RDP 및 기타 위험한 프로토콜을 제한하는 정책을 정의하고 시행하여 공격에 대한 보호 기능을 크게 강화할 수 있습니다.

엔드포인트가 침해되면 Illumio는 공격이 더 이상 확산되는 것을 방지하여 시스템과 비즈니스의 가용성을 유지합니다. EDR 시스템이 공격을 감지하면 자동화된 프로세스를 통해 감염된 워크로드를 종료하고 격리할 수 있습니다: 

1. 공격 지점에서 공격이 격리됩니다.
2. 공격이 EDR 또는 XDR에 의해 탐지되었습니다.
3. 감염된 워크로드는 격리됩니다.
4. 인프라 전체에서 적절한 프로토콜이 차단됩니다.

어떤 엔드포인트 보안 도구를 사용하든 조직은 제로 트러스트 세분화가 제공하는 보호 기능도 활용해야 합니다. 오늘날 EDR 및 확장 탐지 및 대응 (XDR) 제품이 아무리 훌륭하다고 해도 완벽하지는 않습니다. 또한 엔드포인트 자체에 대한 가시성이 제한되어 있기 때문에 EDR 제품은 다단계 공격이 전개되는 동안 이를 놓치는 경우가 있습니다. 즉, EDR 도구는 완전한 보호 기능을 제공하지 않으며 탐지 기능도 제한적인 경우가 많습니다.

EDR 대 XDR 대 일루미오

EDR 제품은 정의상 관리되는 엔드포인트에서만 실행됩니다. 당연히 위협에 대한 엔드포인트 중심적인 관점을 제공합니다.

확장 탐지 및 대응(XDR) 제품은 이메일, 엔드포인트, 서버, 클라우드 워크로드 및 네트워크 트래픽을 포함하도록 보안 모니터링의 범위를 확장합니다. XDR 제품은 보안팀에 위협 분석을 위한 광범위한 상관관계 데이터 수집을 제공함으로써 은밀한 공격을 더 쉽게 탐지할 수 있게 해줍니다. 예를 들어, XDR 제품은 기존 EDR 제품이 놓칠 수 있는 다단계 공격을 탐지할 수 있습니다.

그러나 XDR 제품은 IT 활동에 대한 더 넓은 시야를 제공하지만, 탐지 및 대응이라는 점에서 EDR과 동일한 NIST 사이버 보안 프레임워크 기능에 속합니다. 두 기술 모두 제로 트러스트 세분화가 제공하는 보호의 필요성을 충족시키지 못합니다.

EDR이나 XDR 모두 애플리케이션과 관련된 모든 트래픽을 체계적으로 분석할 수 있는 방법을 제공하지 않습니다. 이 보기를 얻으려면 Illumio의 애플리케이션 종속성 맵이 필요합니다. 또한 EDR 및 XDR 제품은 제로 트러스트 세분화를 대규모로 적용하기 위한 호스트 기반 방화벽 규칙을 즉시 생성할 수 없습니다. 이러한 규칙을 생성하려면 일루미오의 정책 컴퓨팅 엔진에 있는 기능이 필요합니다.

Illumio는 공격자가 기동할 여지를 거의 남기지 않는 제로 트러스트 세분화 정책으로 공격 표면을 줄임으로써 EDR 및 XDR 제품을 보완합니다.

함께하면 더 좋습니다: 일루미오와 EDR 또는 XDR

어떤 EDR 또는 XDR 제품을 배포하든 네트워크를 세분화하고, 제로 트러스트 제어를 적용하고, 공격자의 측면 이동을 방지하는 빠르고 유연하며 확장 가능한 방법이 필요합니다.

제로 트러스트 세분화의 선두주자인 Illumio가 어떻게 도움을 줄 수 있는지 자세히 알아보세요:

• 제로 트러스트와 마이크로세그멘테이션에 대한 최신 Forrester Wave 보고서를 읽어보세요.
• 지금 바로 문의하여 상담 및 데모 일정을 잡으세요.