네트워크 탐지 및 대응(NDR)이란?

네트워크 탐지 및 대응(NDR)은 고급 사이버 보안 기술과 방법론의 조합을 사용하여 이상을 식별하고 다른 보안 조치가 놓칠 수 있는 위협에 대응합니다.

NDR이 필요한 이유는 무엇입니까?

보안 운영 센터(SOC) 팀은 사이버 위협으로부터 조직을 보호해야 한다는 압박을 받고 있습니다. 이러한 위협은 네트워크가 점점 더 경계가 없어지는 동안 계속 진화하고 확산되어 더 크고 복잡한 공격 표면을 만듭니다. 원격 및 하이브리드 업무의 급증은 팬데믹 이후 크게 기여했으며  McKinsey는 미국 인력의 최소 58%가 이미 원격 근무로 추정하고 있습니다.

확장 네트워크 내에는 보안 에이전트가 설치되지 않았거나 보안 설정이 잘못 구성되었거나 오래된 장치 등 관리되지 않는 자산이 매우 많습니다. 일부 추정치에 따르면 관리되지 않는 자산은 관리되는 자산보다 2:1 더 많을 수 있습니다.

관리되지 않는 자산은 패치하기가 어렵습니다. 또한 취약점을 스캔하는 경우는 거의 없으며 전혀 스캔할 수 없습니다. 특히 이전 디바이스의 경우 제조업체는 보안 업데이트를 천천히 발행할 수 있습니다. 또한 IT 팀이 이를 업그레이드하려면 먼저 이를 재배포하거나 라이선스를 먼저 추가해야 할 수 있으며, 이러한 장치가 보안 책임을 나타내는 경우에도 정당화하기 어려운 노력과 비용이 필요합니다.

이러한 모든 이유로 사이버 범죄자는 관리되지 않는 장치에 끌립니다. '땅에서 살기' 위한 기회인 훌륭한 숨은 장소를 제공합니다. 공격자는 완전히 합법적이고 승인된 도구를 사용하여 주의력을 끌지 않고 몇 주 또는 몇 달 동안 낮은 위치에 놓이지 않고 관리되지 않는 장치 간에 네트워크를 이동할 수 있습니다.

확장된 탐지 및 대응(EDR), ID 위협 탐지 및 대응(ITDR) 및 공격 표면 관리(ASM)와 같은 보안 기술과 접근 방식은 관리되지 않는 자산에서 위협을 찾거나 내부 네트워크 트래픽을 확인하도록 설계되지 않았습니다. NDR은 이러한 격차를 메워 균열을 통과할 수 있는 위협으로 인해 발생하는 미묘한 이상 징후를 노출시키고 상관 관계를 파악합니다.

Security technologies and approaches such as extended detection and response (EDR), identity threat detection and response (ITDR) and attack surface management (ASM) aren’t designed to find threats lurking in unmanaged assets or see inside network traffic. NDR fills that gap, exposing and correlating even subtle anomalies caused by threats that might otherwise slip through the cracks.

NDR은 SOC 팀에서 어떤 문제를 해결합니까?

일부 전망에 따르면 지구는 2025년에 빠르면 180억 개 이상의 장치로 끝날 수 있습니다. 이러한 디바이스 중 소수가 관리되지 않더라도 보안에 큰 영향을 미칠 수 있습니다. 오늘날 전체 공격 표면 또는 모든 마지막 엔드포인트, 특히 관리되지 않는 자산에 대한 가시성을 보유한 SOC 팀은 거의 없습니다. 접근할 수 없는 곳을 방어하기 어렵고 볼 수 없는 것을 관리하기가 어렵습니다.

또한 SOC는 경보에 의해 압도되어 잘못된 경보와 누락된 공격으로 이어집니다. 이러한 망설임에도 불구하고 사고를 완전히 이해하는 데 필요한 데이터가 부족한 경우가 많습니다. 노이즈가 너무 많고 정확하고 정확하며 실행 가능한 정보가 너무 적습니다.

NDR은 네트워크 내의 네트워크 트래픽과 장치 동작을 모니터링하여 이러한 문제를 해결합니다. 관리되지 않는 장치 주변의 모든 활동은 장치 자체가 어두워도 이상한 것으로 감지, 분석 및 판단될 수 있습니다. 또한 NDR의 상관 관계 기능은 패턴을 체질하고 점을 연결하여 합법적인 잠재적 위협과 무해한 활동을 보다 정확하게 구별하는 작업을 수행합니다.

효과적인 NDR 솔루션을 통해 SOC 팀은 네트워크에서 관리되지 않는 자산을 발견하고 '약한 신호'를 탐지하고 상호 연관시켜 위협을 차단하고 공격자를 근절할 수 있습니다. 약한 신호는 기본적으로 공격이 존재하는지 여부를 알 수 있는 정보가 충분하지 않은 저신뢰 경고 또는 이벤트입니다.

복잡한 다중 계층 공격은 네트워크의 여러 계층에 걸쳐 증분 이동으로 위장할 수 있기 때문에 사이버 보안 개입을 정당화하기에 충분한 증거는 없습니다. 다른 보안 기술과 프레임워크는 이를 놓칠 수 있습니다. 교차 계층 상관 관계가 있는 NDR은 긍정적인 평가를 제공하기 위해 조각을 통합할 수 있습니다.

엔드 투 엔드 공격 추적

NDR은 의심스럽거나 다른 모든 트래픽에서 네트워크 메타데이터를 추출하여 SOC 팀에 네트워크에서 발생하는 일에 대한 가시성을 제공합니다. 메타데이터는 잠재적 위협과 상관관계가 있으므로 SOC 팀이 공격의 발자국을 시각화할 수 있습니다. 전체 공격 체인을 확인하고, 근본 원인을 식별하고, 전체 보안 스택에서 전체 인시던트 범위를 결정할 수 있습니다.

또한 NDR은 타사 스캔 도구의 결과를 전문가 보안 지식으로 충족할 수 있는 플랫폼을 제공하여 잠재적 취약점이 악용되기 전에 선제적으로 패치를 적용함으로써 잠재적 취약점을 발견할 수 있는 방법을 제공합니다.

특히 EDR, ITDM 및 ASM과 같은 다른 보안 솔루션과 일치할 때 이러한 모든 기능은 더 빠른 탐지 시간, 비용 절감 및 오탐 감소와 함께 실시간에 가까운 조치를 가능하게 합니다.

NDR 솔루션의 구성 요소는 무엇입니까?

NDR은 심층 패킷 검사, 행동 분석 및 머신 러닝을 사용하여 네트워크 트래픽에 대한 지속적인 모니터링 및 분석을 제공합니다. 이 솔루션은 이상을 탐지하고 잠재적 위협을 식별하여 위협 인텔리전스 소스와 통합하여 효율성을 극대화합니다. 실시간 모니터링과 자동화된 대응 및 완화를 결합하여 NDR은 SOC 팀이 정교한 사이버 위협으로부터 선제적으로 방어하고 보안 사고의 잠재적 영향을 최소화할 수 있도록 합니다.

이러한 기능을 수행하기 위해 NDR에는 포괄적인 상호 관련 기능 세트가 필요합니다. 이에는 다음이 포함됩니다.

  • 네트워크 트래픽을 모델링하여 특정 서명을 찾는 대신 이상 현상이 눈에 띄고 탐지를 수행할 수 있는 기능입니다. 이를 위해서는 머신 러닝과 고급 분석이 필요합니다.
  • SOC 팀이 얻은 결과를 신뢰할 수 있도록 솔루션을 적절히 조정한 후 신뢰할 수 있는 낮은 위양성률.
  • Gartner가 \\"구조화된 사고\\"라고 부르는 경보를 집계하고 상호 연관시켜 보안 전문가가 위협을 더 쉽게 조사할 수 있도록 하는 기능입니다.
  • 자동화된 대응을 통해 위협을 억제하거나 차단하는 기능.

네트워크 탐지 및 대응 솔루션은 또한 네트워크가 확장되고 더 많은 장치가 연결됨에 따라 확장할 수 있어야 하며, 일관되고 안정적인 성능을 제공해야 합니다. 이상적으로는 지속적인 개선을 위한 일부 용량도 내장되어 NDR 솔루션이 시간이 지남에 따라 더 정확하고 효과적이 될 수 있습니다.

NDR에 필요한 추가 기능은 무엇입니까?

GartnerForrester와 같은 기술 전문 연구 기관들은 위에서 설명한 핵심 기능 외에도 NDR 솔루션이 필요한 전체 보호 범위를 개발하기 위해 다른 특성도 필요하다고 제안했습니다.

이러한 고급 기능은 다음과 같습니다.

  • 네트워크 트래픽 복호화 . 트래픽 패턴을 분석하는 것은 한 가지이지만 트래픽에 포함된 것을 확인하는 것은 사이버 보호를 보장하기 위해 훨씬 더 많은 도움이 됩니다. 그러나 거의 모든 웹 트래픽(95%)과 마찬가지로 오늘날 네트워크 트래픽의 상당 부분이 암호화되어 있습니다. 즉, 네트워크의 자산 간에 의심스러운 내부 이동이 감지되더라도 복호화 없이 SOC 팀은 트래픽에 무엇이 포함되어 있는지 또는 트래픽이 실제로 유해한지 알 수 없습니다.
  • 계층 간 상관 관계 . 네트워크의 단일 계층 내에서 비정상적인 동작을 상호 연관시키는 능력은 명백히 유익하지만 여전히 과도한 경보 또는 오탐을 생성할 수 있다. 여러 계층의 데이터를 상호 연관시킬 수 있는 NDR 솔루션은 실제 위협을 격리하여 SOC 팀이 신뢰할 수 있는 의미 있는 경보를 해결해야 할 가능성이 훨씬 더 높습니다.
  • 제로 트러스트 접근 방식 지원 제로 트러스트는 기업 자산 및 리소스에 대한 액세스를 제한하고 최대한 주의를 통해 침해 및 공격을 방지하기 위한 오늘날의 가장 좋은 프레임워크입니다. 제로 트러스트 접근 방식과 네트워크 탐지 및 대응을 결합하면 비정상적인 행동이 더 눈에 띄고 위협을 더 빨리 찾아내는 데 도움이 됩니다.
  • SOC 분석가 경험의 우선 순위 지정. 이것은 정량적인 기능보다 정성적인 기능이지만 모든 비트(더 많지 않은 경우)가 중요합니다. SOC 팀에 가해지는 스트레스, 매일 처리하는 경보의 양, 무언가 잘못되었을 때 발생할 수 있는 결과를 고려하여 SOC의 생활을 더 쉽게 만드는 NDR 솔루션을 제공하면 높은 가치와 훨씬 더 큰 사용 가능성이 있습니다.

NDR에 대한 트렌드마이크로의 접근 방식은 무엇입니까?

트렌드마이크로는 보안 벡터 전반에서 네이티브 원격 측정을 사용하여 강력한 상관 관계와 풍부한 컨텍스트를 통해 충실도가 높은 탐지를 제공합니다. NDR에 대한 트렌드마이크로 접근 방식을 통해 SOC는 타사 솔루션 및 보안 오케스트레이션, 자동화 및 대응(SOAR) 플랫폼과 협력하여 향후 공격을 방지하면서 자동화된 복구를 통합할 수 있습니다.

트렌드마이크로의 NDR 기술은 관리되지 않는 장치와 관리되는 장치와 관련된 위험을 식별하여 이상 현상을 감지하고 행동을 모델링하여 위협을 나타낼 수 있는 희미한 패턴도 찾아냅니다.

많은 NDR 솔루션은 AI, 머신 러닝 및 이상 탐지에만 거의 의존하지만 트렌드마이크로는 35년 이상의 위협 인텔리전스와 매우 정교한 행동 분석을 통합하여 매우 낮은 오탐률로 위협을 정확하게 탐지합니다.

NDR은 EDR, ITDR 및 ASM을 보완하여 네트워크 취약점을 방지하고 완전한 XDR을 제공하는 조직의 사이버 보안 툴킷에 필수적인 추가 기능입니다. 트렌드마이크로는 NDR에 대한 핵심 요구 사항과 종합적이고 신뢰할 수 있는 네트워크 탐지 및 대응 솔루션을 위해 주요 사이버 보안 분석가가 식별한 추가 기능에 대한 요구 사항을 충족합니다.

NDR

관련 기사