Genian EDR 이해 ============================================== EDR이란 무엇인가 ---------------------------- | 가트너(Gartner)에 따르면 EDR(Endpoint Detection & Response)솔루션은 | **엔드포인트 레벨의 동작을 기록 및 저장하고 의심스러운 시스템 동작을 탐지하고 상황에 맞는 정보를 제공하며, 악성활동을 차단하고 영향을 받는 시스템을 복원하기 위한 개선 제안을 제공하는** | **다양한 데이터 분석 기술을 사용하는 솔루션** 으로 정의하고 있습니다. EDR이 해결해주는 문제점들 ---------------------------- | 국내에서 보안 관리자가 지능형 위협 공격(APT)으로 인해 발생한 침해 사고를 인지한 시점은 2개월에서 8개월까지로 이미 내부 정보가 대부분 유출된 이후였습니다. | APT, 랜섬웨어 등 날로 지능화되는 보안 위협은 기존에 도입된 전통적인 보안 솔루션만으로는 조기에 탐지하고 대응하기 매우 어려운 것이 현실입니다. 가트너에서는 변화하는 환경에 대해 신속하게 적용할 수 있는 적응형 보안 아키텍처(Adaptive Security Architecture)를 전략 기술 중 하나로 발표하였습니다. | 위험을 관리하고 통제하기 위해서는 적응형 보안 아키텍처에서 제시하는 **예측(Predict)-예방(Prevention)-탐지(Detect)-대응(Response)** 에 이르는 전 사이클을 다 아우르는 것이 이상적이겠지만, | 단일 솔루션만으로 모든 기능을 기대하기 어렵습니다. EDR 솔루션은 적응형 보안 아키텍처의 탐지(Detect)와 대응(Response)영역을 충족시킬 수 있습니다. Genian EDR은 Genian NAC와 협업하여 효율적으로 위협에 대응할 수 있습니다. .. image:: /images/e_info.png :width: 600px :align: center **사전 예방(Prevention)** Genian NAC를 통해 단말 및 사용자에 대한 인증/식별을 진행하고 필수 S/W 설치 및 보안패치 적용 상태를 지속적으로 모니터링하여 패치가 적용되지 않은 단말을 네트워크에서 격리합니다. **조사 / 분석(Detection)** Genian NAC와의 로그 연동 및 에이전트를 설치하여 단말에서 발생하는 주요 행위를 모니터링하고 실시간 저장 후 분석합니다. | IOC(침해 지표), 머신 러닝, YARA를 이용하여 단계별로 위협을 탐지하며 최고 수준의 정탐률(악성파일 + 정상파일 탐지)을 제공합니다. | XBA(행위기반엔진)을 통해 File less를 포함한 다양한 형태의 악성행위를 탐지합니다. 위협의 탐지와 동시에 조치의 대상이 누구인지 ‘사용자, 부서, ID’ 등을 정확하게 알 수 있으며 Reversing Labs, VirusTotal 등의 | 외부 인텔리전스(CTI) 조회를 통해 탐지된 위협의 상세정보 확인이 가능합니다. **확산 / 재발 방지(Response)** | 단말에서 위협이 탐지되는 경우 위협의 ‘심각성, 확산성, 위험성’ 등을 고려하여 단말과 네트워크에서 동시 대응합니다. | 정책(Policy) 기반으로 관리자 개입 없이 즉시 작용하므로 확산 방지 등 초동 대응이 가능합니다. | Genian NAC와 연동을 통해 위협 단말의 네트워크 접근을 제어하거나 단말에서 위협 파일 격리,위협 파일 수집, 프로세스 종료 처리를 할 수 있습니다. Genian EDR의 특징 ------------------------------------------------------ **지니안 이디알 (Genian EDR)은 단말에서 발생하는 다양한 형태의 악성코드 및 이상행위를 신속하게 탐지, 대응, 분석할 수 있는 단말 기반 지능형 위협 탐지 및 대응 (EDR: Endpoint Detection & Response) 솔루션입니다.** 내부 네트워크와 단말에 대한 악성 행위 파악 및 이상 징후를 탐지해 원천적인 방어가 불가능한 APT, 랜섬웨어 등의 보안 공격 실행 단계에서 최신 침해 지표(IOC : Indicators of Compromise)를 통해 신속한 탐지 및 대응이 가능합니다. **국내 환경에 적합한 최신 IOC 활용** - 주기적인 IOC 업데이트로 최신 위협 및 침해사고 대응 - 탐지된 위협에 대한 위험도, 신뢰도 및 유형 정보 제공 - 국내 환경을 고려한 IOC DB 관리(오탐 및 과탐 최소화) - Custom Malware Hash/IP, Good Hash/IP 추가 및 관리 기능 **다양한 탐지 모듈 제공** - IOC (Indicator Of Compromise) 침해 지표 - ML (Machine Learning) 기계학습 : 알려지지 않은 Similar변종에 대한 대응 - UEBA (User & Entity Behavior Analytics) 사용자 행위 분석 - YARA Rule **Ecosystem 연동** - 오탐 및 최신 악성코드 분석 결과(평판 서비스)를 Ecosystem을 통해 공유 - 수집된 위협과 예외 처리된 데이터를 가공하여 재배포 **분석정보 가시화** - 보안관리자가 필요한 기본정보 외 데이터 시각화가 가능한 유연한 16종의 위젯 제공(관리자 추가 가능) - 시스템/감염단말/위험-이상단말/프로세스/접속정보/ 신규생성 파일 모니터링 가능 - 시스템 상태 / NAC 센서 상태 /Genian 제품 현황 등 다양한 대시보드 설정 가능(Import, Export 지원) - 위협목록 및 분석화면 제공 **가벼운 에이전트** - 단말 부하 최소화를 위한 에이전트 정보수집 설계 (약 25MB 리소스 사용) - 데이터 분석은 Genian EDR 서버에서 수행 **편리한 적용 및 확장** - NAC 플러그인 기반 확장 모듈 설치 - 추가 기능 모듈 도입 시 신속한 전사적용 가능한 설계