엔드포인트 보안
엔드포인트 보안은 노트북, 휴대폰, 서버가 맬웨어, 랜섬웨어, 자격 증명 도용 및 장치에 유입되는 기타 모든 불량품을 탐지하는 데 사용되는 것입니다. 이 범주는 단순한 시그니처 일치 바이러스 백신에서 EDR(엔드포인트 탐지 및 대응), 이제는 XDR(확장 탐지 및 대응)으로 발전했으며 세대 간의 차이는 엄청납니다.
전체 기사 본문은 아래에 영어로 제공됩니다.
엔드포인트 보안는 노트북, 데스크톱, 서버, 휴대폰, 태블릿 등 개별 장치를 위협으로부터 보호하는 도구 세트입니다. 범주는 3세대를 거쳤습니다.
- 안티바이러스(AV) — 알려진 악성 코드에 대한 패턴 일치
- EDR(엔드포인트 탐지 및 대응) — 행동 분석과 원격 측정 및 사고 대응
- XDR(확장 탐지 및 대응) — EDR 조직 전체의 네트워크, ID, 클라우드 및 이메일 신호와 상관 관계
기존 바이러스 백신
Classic AV의 한계는 서명 일치를 통해 작동합니다. 알려진 맬웨어 해시 데이터베이스와 파일을 스캔하고 일치하는 항목이 발견되면 경고합니다. 이는 2000년대 초반의 맬웨어(예측 가능하게 확산되는 고정 문자열 문자열 바이너리)에 효과적이었습니다.
- 다형성 악성 코드. 현대 공격자들은 도구를 지속적으로 재컴파일하거나 패키징합니다. 오늘 변종의 시그니처가 내일의 시그니처와 일치하지 않습니다.
- 파일 없는 공격. 공격이 전적으로 메모리에 존재하거나 내장 OS 도구(PowerShell, WMI, cmd.exe)를 사용하는 경우가 점차 늘어나고 있습니다. 스캔할 파일이 없습니다.
Signature 기반 AV의 현재 공격에 대한 탐지율은 낮습니다. 새로운 위협의 경우 20% 미만인 경우가 많습니다. 이는 상용 맬웨어에 대한 기준으로 여전히 유용하지만 이것에만 의존하는 사람은 10년 동안 압도당했습니다.
EDR이 추가하는 기능
EDR는 엔드포인트의 모든 프로세스(프로세스 생성, 파일 수정, 네트워크 연결, 레지스트리 편집, 명령줄 인수)가 수행하는 작업을 기록하고 스트림에서 의심스러운 패턴을 분석합니다. 탐지는 서명 기반이 아닌 동작 기반입니다.
- Office 프로세스는 인코딩된 인수로 PowerShell을 생성합니다
- cmd.exe 아웃바운드 네트워크 연결 만들기
- 비정상적인 속도로 대량 파일 수정(랜섬웨어 암호화)
- 사용자가 절대 사용하지 않는 국가에서 오전 3시에 서비스 계정에 로그인 Visited
- LWMI, PsExec, SMB
를 통한 측면 이동 시도 EDR이 무언가를 감지하면 프로세스를 격리하고 네트워크에서 호스트를 격리한 다음 보안 팀에 경고를 표시할 수 있습니다. 기록된 원격 측정을 통해 응답자는 어떤 프로세스가 생성되었는지, 어떤 파일이 접촉되었는지, 어떤 URL에 도달했는지 등 공격을 되돌릴 수 있습니다. 메모리 덤프를 수행하거나 장치를 점유하지 않고도 전체 조사가 가능합니다.
주요 EDR 제품
- CrowdStrike Falcon — 클라우드 기반, 기업 내 강력한 시장 입지
- Microsoft Defender for Endpoint — Windows에 내장, E5 포함 무료 라이센싱
- SentinelOne — 자율 대응("AI 기반" 교정)의 선두주자
- Palo Alto Cortex XDR
- Sophos Intercept X
- VMware Carbon Black
XDR이 지배적인 전략이 되면서 시장은 2022년부터 2025년까지 빠르게 통합되었습니다.
XDR이 EDR
XDR 외에 추가하는 것은 엔드포인트 신호를 다음과 연관시킵니다:
- 네트워크 감지(NDR) — 무엇 방화벽, 프록시 및 패킷 캡처 참조
- 신원 신호(ITDR) — Active Directory, SSO 로그, 의심스러운 로그인
- 클라우드 워크로드 원격 측정 — AWS, Azure, GCP 감사 로그 및 런타임 이벤트
- 이메일 위협 데이터 — 피싱 캠페인, 첨부 파일 동작
값은 도메인 간 상관 관계에 있습니다. 오전 3시에 한 번 로그인하는 것은 소음입니다. 오전 3시에 로그인한 후 메일함 규칙 생성, S3 버킷 유출이 이어지는 공격입니다. XDR은 개별 도구가 놓친 점을 연결합니다.
소비자를 위한 엔드포인트 보안
좋은 소식: 소비자 엔드포인트 보안은 수십 년 전보다 더 좋아졌습니다. 내장된 보호 기능은 유능합니다:
- Windows Defender는 Windows 10/11과 함께 제공되며 상업용 AV와 확실하게 경쟁합니다. 대부분의 개인 사용자에게는 이것으로 충분합니다.
- macOS XProtect, Gatekeeper, Notarization — 서명되지 않고 알려진 악성 소프트웨어에 대한 Apple의 계층화된 방어입니다.
- iOS/iPadOS — 샌드박싱과 App Store 검토를 통해 사실상 기존 악성 코드 시장이 존재하지 않습니다. iPhones.
- Chromebooks — 기본적으로 읽기 전용 OS, 자체 검사 부팅, 샌드박스. 맬웨어 이야기는 ChromeOS에서 본질적으로 해결됩니다.
주요 소비자 엔드포인트 위험은 더 이상 맬웨어가 아닙니다. 피싱, 계정 탈취, 소셜 엔지니어링 등은 엔드포인트 보안이 표시할 수 있지만 자체적으로 예방할 수는 없습니다.
엔드포인트 보안이 여전히 수행할 수 없는 것
- 엔드포인트. 공격자의 컴퓨터에서 원격으로 사용되는 피싱 비밀번호는 사용자의 장치에 절대로 도달하지 않습니다.
- 잘못된 구성을 수정합니다. 노출된 관리 인터페이스 또는 잘못 구성된 클라우드 버킷은 EDR이 볼 수 없는 취약점입니다.
- 국가 수준 제로 데이를 중지합니다. APT 등급 공격자는 상업용 EDR을 회피하기 위해 특별히 도구를 작성합니다. 때로는 몇 달 동안 성공하기도 합니다.
- 패칭 교체. EDR은 악용을 감지할 수 있지만 패치가 더 중요합니다.
엔드포인트 보안은 전체 스택이 아닌 주요 계층입니다. 심층 방어는 이를 네트워크 제어, 신원 보호 및 구성 위생과 결합합니다.
자주 묻는 질문
- Windows 또는 macOS에 타사 바이러스 백신이 필요합니까?
- 대부분의 개인 사용자에게는 그렇지 않습니다. Windows Defender 및 macOS 내장 보호 기능으로 충분합니다. 더 많은 것을 원할 수 있는 곳: 가치가 높은 대상을 가진 소규모 기업, 많은 엔드포인트를 관리하는 사람, EDR을 지정하는 규제 요구 사항이 있는 사용자. 무료 타사 AV는 시스템 성능 및 (때때로) 원격 측정을 희생하면서 약간의 개선을 제공합니다.
- AV, EDR, XDR의 차이점은 무엇입니까?
- AV는 서명을 통해 알려진 악성 코드를 포착합니다. EDR은 엔드포인트 동작을 기록하고 악성 패턴을 탐지합니다. XDR은 EDR을 네트워크, ID, 클라우드 및 이메일 데이터와 연관시킵니다. 각 세대마다 기능이 추가됩니다. 최신 보안 스택에는 세 가지 계층이 모두 포함되어 있으며 종종 하나의 제품으로 통합됩니다.
- EDR로 인해 컴퓨터 속도가 느려지나요?
- 한계 오버헤드 — 최신 하드웨어의 CPU는 몇 퍼센트 정도입니다. 일부 레거시 AV 제품은 역사적으로 큰 영향을 미쳤습니다. 최신 EDR은 경량으로 설계되었습니다. 속도가 크게 느려지는 경우 제품 설정을 확인하거나 다른 공급업체를 고려해보세요.
- 엔드포인트 보안이 내 파일을 읽을 수 있나요?
- 예 — 의도적으로 설계된 것입니다. EDR은 악성 패턴을 탐지하기 위해 파일 내용과 프로세스 활동을 확인해야 합니다. 엔터프라이즈 제품에는 데이터 처리 정책이 있습니다. 클라우드에 원격 측정을 제공하는 소비자 제품은 메타데이터를 공유할 수 있습니다. 이것이 중요하다면 개인 정보 보호 정책을 읽으십시오. VPN은 장치에서 실행되는 것을 변경하지 않습니다.
- Mac은 Windows보다 정말 안전한가요?
- 공격을 덜 받고 부분적으로 더 안전하도록 설계되었습니다. macOS는 시장 점유율이 더 낮고 Apple의 샌드박싱/서명 모델이 기준을 높였기 때문에 일반 맬웨어 감염이 더 적습니다. 고급 위협(표적, 국가별)은 Mac에서 잘 작동합니다. "더 안전하다"는 것은 일상적인 사용자에게 해당됩니다. "면역"은 어떤 플랫폼에서도 적용되지 않았습니다.