Genian EDR 이해

EDR이란 무엇인가

가트너(Gartner)에 따르면 EDR(Endpoint Detection & Response)솔루션은
엔드포인트 레벨의 동작을 기록 및 저장하고 의심스러운 시스템 동작을 탐지하고 상황에 맞는 정보를 제공하며, 악성활동을 차단하고 영향을 받는 시스템을 복원하기 위한 개선 제안을 제공하는
다양한 데이터 분석 기술을 사용하는 솔루션 으로 정의하고 있습니다.

EDR이 해결해주는 문제점들

국내에서 보안 관리자가 지능형 위협 공격(APT)으로 인해 발생한 침해 사고를 인지한 시점은 2개월에서 8개월까지로 이미 내부 정보가 대부분 유출된 이후였습니다.
APT, 랜섬웨어 등 날로 지능화되는 보안 위협은 기존에 도입된 전통적인 보안 솔루션만으로는 조기에 탐지하고 대응하기 매우 어려운 것이 현실입니다.

가트너에서는 변화하는 환경에 대해 신속하게 적용할 수 있는 적응형 보안 아키텍처(Adaptive Security Architecture)를 전략 기술 중 하나로 발표하였습니다.

위험을 관리하고 통제하기 위해서는 적응형 보안 아키텍처에서 제시하는 예측(Predict)-예방(Prevention)-탐지(Detect)-대응(Response) 에 이르는 전 사이클을 다 아우르는 것이 이상적이겠지만,
단일 솔루션만으로 모든 기능을 기대하기 어렵습니다.

EDR 솔루션은 적응형 보안 아키텍처의 탐지(Detect)와 대응(Response)영역을 충족시킬 수 있습니다.

Genian EDR은 Genian NAC와 협업하여 효율적으로 위협에 대응할 수 있습니다.

_images/e_info.png

사전 예방(Prevention)

Genian NAC를 통해 단말 및 사용자에 대한 인증/식별을 진행하고 필수 S/W 설치 및 보안패치 적용 상태를 지속적으로 모니터링하여 패치가 적용되지 않은 단말을 네트워크에서 격리합니다.

조사 / 분석(Detection)

Genian NAC와의 로그 연동 및 에이전트를 설치하여 단말에서 발생하는 주요 행위를 모니터링하고 실시간 저장 후 분석합니다.

IOC(침해 지표), 머신 러닝, YARA를 이용하여 단계별로 위협을 탐지하며 최고 수준의 정탐률(악성파일 + 정상파일 탐지)을 제공합니다.
XBA(행위기반엔진)을 통해 File less를 포함한 다양한 형태의 악성행위를 탐지합니다. 위협의 탐지와 동시에 조치의 대상이 누구인지 ‘사용자, 부서, ID’ 등을 정확하게 알 수 있으며 Reversing Labs, VirusTotal 등의
외부 인텔리전스(CTI) 조회를 통해 탐지된 위협의 상세정보 확인이 가능합니다.

확산 / 재발 방지(Response)

단말에서 위협이 탐지되는 경우 위협의 ‘심각성, 확산성, 위험성’ 등을 고려하여 단말과 네트워크에서 동시 대응합니다.
정책(Policy) 기반으로 관리자 개입 없이 즉시 작용하므로 확산 방지 등 초동 대응이 가능합니다.
Genian NAC와 연동을 통해 위협 단말의 네트워크 접근을 제어하거나 단말에서 위협 파일 격리,위협 파일 수집, 프로세스 종료 처리를 할 수 있습니다.

Genian EDR의 특징

지니안 이디알 (Genian EDR)은 단말에서 발생하는 다양한 형태의 악성코드 및 이상행위를 신속하게 탐지, 대응, 분석할 수 있는 단말 기반 지능형 위협 탐지 및 대응 (EDR: Endpoint Detection & Response) 솔루션입니다.

내부 네트워크와 단말에 대한 악성 행위 파악 및 이상 징후를 탐지해 원천적인 방어가 불가능한 APT, 랜섬웨어 등의 보안 공격 실행 단계에서 최신 침해 지표(IOC : Indicators of Compromise)를 통해 신속한 탐지 및 대응이 가능합니다.

국내 환경에 적합한 최신 IOC 활용

  • 주기적인 IOC 업데이트로 최신 위협 및 침해사고 대응
  • 탐지된 위협에 대한 위험도, 신뢰도 및 유형 정보 제공
  • 국내 환경을 고려한 IOC DB 관리(오탐 및 과탐 최소화)
  • Custom Malware Hash/IP, Good Hash/IP 추가 및 관리 기능

다양한 탐지 모듈 제공

  • IOC (Indicator Of Compromise) 침해 지표
  • ML (Machine Learning) 기계학습 : 알려지지 않은 Similar변종에 대한 대응
  • UEBA (User & Entity Behavior Analytics) 사용자 행위 분석
  • YARA Rule

Ecosystem 연동

  • 오탐 및 최신 악성코드 분석 결과(평판 서비스)를 Ecosystem을 통해 공유
  • 수집된 위협과 예외 처리된 데이터를 가공하여 재배포

분석정보 가시화

  • 보안관리자가 필요한 기본정보 외 데이터 시각화가 가능한 유연한 16종의 위젯 제공(관리자 추가 가능)
  • 시스템/감염단말/위험-이상단말/프로세스/접속정보/ 신규생성 파일 모니터링 가능
  • 시스템 상태 / NAC 센서 상태 /Genian 제품 현황 등 다양한 대시보드 설정 가능(Import, Export 지원)
  • 위협목록 및 분석화면 제공

가벼운 에이전트

  • 단말 부하 최소화를 위한 에이전트 정보수집 설계 (약 25MB 리소스 사용)
  • 데이터 분석은 Genian EDR 서버에서 수행

편리한 적용 및 확장

  • NAC 플러그인 기반 확장 모듈 설치
  • 추가 기능 모듈 도입 시 신속한 전사적용 가능한 설계