본문 바로가기

보안 이야기

외부 보안위협 대응 탐지기술_샌드박스, 위협 인텔리전스. EDR

 

저번 포스팅에서 외부 보안 위협의 최신 대응 기술 4가지를 소개해 드렸는데요.

그중에서 탐지 기술이 어떤 것인지와 보안 한계점에 대해 설명해 드리겠습니다.

 

탐지 기술은 말 그대로 외부의 위협을 탐지하는 기술을 의미합니다.

탐지 기술의 대표적인 보안 기술로는 샌드박스와 위협 인텔리전스, 엔드포인트 탐지 대응이 있습니다.

 

 

 

ㅣ 샌드박스(Sandbox)

 

<샌드박스 행위 분석>

 

 

▲ 샌드박스(Sandboc) 의미

 

  샌드박스(Sandbox)는 보호가 필요한 어린아이들을 위해 모래통에서만 놀도록 하는 데서

  유래한 소프트웨어 보안 개발 기법이다. 예를 들명, 악성 바이러스나 악성코드의 경우,

  이들의 공격 행위를 테스트할 때, 실제 운영 체계나 파일 또는 이러한 시스템에 추가적인

  악영향을 주거나 이를 감염시킬 수 없도록 하는 차단된 환경이 필요하게 된다. 이처럼

  테스트를 위해 외부로의 연결점을 차단하거나 외부로부터의 접근 및 영향을 필터링 또는 

  차단할 수 있는 통제된 환경 내에서  프로그램을 동작 시키는 것을 가리킨다

   ※ 출처 : 위키백과

 

좀 더 쉽게 설명하면,

샌드박스는 격리된 가상환경에서 파일을 열람 또는 실행하고 이상 행위를 감시하여

알려지지 않은 보안 취약점의 악용 여부를 확인하는 기술입니다.

즉, 가상화 환경에서 테스트함으로써 가상화 밖 환경에는 영향을 주지 않습니다.

 

샌드박스에서 가장 중요 포인트는 얼마나 다양한 환경에서

얼마나 빠른 시간 내에 행위 분석을 수행하는지입니다.

 

 

▲ 샌드박스(Sandbox) 한계점

 

<샌드박스 방식 한계점>

 

업데이트 이슈

지능화, 고도화되는 외부 보안 위협에 대응하기 위해 지속적인 환경 업데이트가 필요하다

 

다양한 우회 공격에 무방비

샌드박스 환경을 감지하여 타임 딜레이 어택(Time-Delayed Attack), 로직 붐(Logic Bomb),

암호화 문서 파일 등과 같은 우회하는 공격 대응에 무방비하다.\

 

출입구 보안 한계

샌드박스는 파일 유입 당시에만 검사를 하기 때문에 반입 후 관리가 안되는 한계점이 있다.

즉, 신종 악성코드를 탐지하기까지 시간이 소요되거나 탐지되지 않기도 한다.

 

 

ㅣ 위협 인텔리전스(Threat Intelligence)

 

<위협 인텔리전스 분석 방식 ㅣ 출처 : InfodatInc>

 

 

▲ 위협 인텔리전스(Threat Intelligence) 의미

 

  위협 인텔리전스(Threat Intelligence)란 현재 존재하거나 발생이 임박한 위협에 대한 증거 기반의

  지식이며, 위협 대응에 관한 결정 사항을 알려줄 수 있어야 한다.

   ※ 출처 : 가트너

 

위협 인텔리전스는 보안 위협에 관한 분석된 정보입니다.

다양한 출처로부터 위협 정보를 취합하여 공유 및 제공하는 서비스입니다.

 

 

▲ 위협 인텔리전스(Threat Intelligence) 한계점

위협 인텔리전스는 새로운 공격의 대응에 대한 한계점이 있고,

망이 분리된 환경에서 외부 위협에 대한 인텔리전스 정보를 조회하기가 어려운 아쉬운 점이 있습니다.

 

 

 

ㅣ 엔드포인트 탐지 대응(Endpoint Detection & Prespone :  EDR)

 

<엔드포인트 탐지 대응>

 

 

▲ 엔드포인트 탐지 대응(Endpoint Detection & Response : EDR)

 

  엔드포인트 탐지 대응(Endpoint Detection & Response : EDR)이란 엔드포인트에서 지속적인

  모니터링과 대응을 제공하는 보안 솔루션이다. 보안 사고 탐지 대응(Detect security incident),

  감염 전 사태로 엔드포인트 치료(Remediate endpoint to a preinfection state),

  엔드포인트에서의 보안 사고 통제(Contain the incident at the ednpont),

  보안 사고 조사(Investigate security incident) 등 4가지 기능을 제공해야 한다.

   ※ 출처 : 가트너

 

엔드포인트(Endpoint)란 PC, 노트북, 서버 등 기업 IT 환경에서 최종 사용자가

기업 네트워크에 접속하는 지점을 의미합니다. 즉, 엔드포인트 탐지 대응(EDR)은

엔드포인트에서 발생하는 비정상 행위를 분석해 위협을 탐지하고 선제 대응하는 솔루션입니다.

 

 

▲ 엔드포인트 탐지 대응(Endpoint Detection & Response) 한계점

엔드포인트 탐지 대응 방식은 감시를 하기 위해 PC에 부하가 걸리거나, 오탐지, 과탐지 등 탐지하기 전에

피해가 우려됩니다.