2022년 11월 13일
EDR (Endpoint Detection and Response)
1. EDR (Endpoint Detection and Response)의 개요
개념 | 엔드포인트 레벨에서 발생한 침해 행위를 지속적인 모니터링과 대응을 통해 탐지 및 추적하는 보안 솔루션 |
---|---|
필요성 |
- EDR은 엔드포인트에서 발생하는 행위를 신속하게 탐지하여 침해 행위 추적을 위한 가시성(Visibility)과 추가 피해 방지를 위한 대응(Response) 가능
2. EDR의 운영 절차 및 주요 기능
(1) EDR의 운영 절차
① Connect: 보호 대상 시스템에 설치된 Agent에서 EDR 내부 플랫폼에 연동
② Collect: 악성코드 및 프로세스 탐지 및 수집
③ Analysis: 탐지된 정보를 저장 및 분석
④ Investigate: 분석 결과 기반 사건 조사
⑤ Remediate: 사건 조사 결과 기반 보호 대상 시스템 복원
(2) EDR의 주요 기능
구분 | 주요 기능 | 특징 |
---|---|---|
Predict | 기본 보안 태세 (Baseline Security Posture) | – 악성 스크립트 및 메모리 익스플로잇 자동 식별 – 동적 공격자 인텔리젼스 사용에 대한 대응 |
위협 예측 (Anticipate Threats) | – 네트워크 , 엔드포인트 등 제어지점 침투상관관계 분석 – 엔드포인트 활동 캡쳐 , 재연 및 지속적 모니터링 | |
위험 평가 (Resk Assessment) | – 머신러닝 및 행위분석 적용하여 활동 탐지 및 규명 – 침해사고 우선순위 지정 | |
Prevent | 시스템 강화 (Harden System) | – 중단 없는 활동 기록으로 공격 내역에 대한 가시성 확보 – 엔드포인트 프로세스 덤프 검색 |
시스템 격리 (Isolated System) | – 감염 가능성 있는 엔드포인트 차단 및 격리 – 공격받은 엔드포인트내 악성파일 및 관련아티팩트삭제 | |
공격 방지 (Prevent Attacks) | – 비정상적 사용자 , 메모리 , 네트워크 패턴탐지 – FlowChart, DashBoard 등을 이용한 공격 경로 가시화 | |
Detect | 사고 탐지 (Detect Incident) | – 엔드포인트 내 보안침해지표 검색 후 보안 위협 추적 – 행동기반 휴리스틱 분석 , 평판분석 , 익스플로잇 탐지 |
사건 포함 (Contain Incidents) | – 공격받은 엔드포인트에 악성파일, 관련 아티팩트 삭제 – 수집 분석된 이벤트 정보 저장 및 인덱싱 수행 | |
위험 확인 및 중요도 (Confirm and Prioritize Risk) | – 상관관계 분석 통한 위협 우선순위와 중요도 대응 – 엔드포인트 , 네트워크 , 이메일 영역 통합 분석 | |
Response | 보안 위협 억제/대응 | – 샌드박싱 , 블랙리스팅 , 격리로 의심이벤트 조사/차단 |
침해사고 대응자동화 | – 엔드포인트 가시성 확보 – 자동화된 방식으로 보안위협 추적하여 침해 사고 대응 |
- EDR 기반 분석 시 침해 행위의 핵심사항은 IOC(Indicator Of Compromise) 기반 탐지 및 조사
3. EDR 기반 효과적인 보안 위협 분석 위한 IOC 활용
- IOC(Indicator Of Compromise): 운영체제 혹은 네트워크의 침해를 확인할 수 있는 포렌식 아티팩트
- 일반적인 침해 지표: IP 주소, 악성코드의 MD5 해시, C2 URL
침해 지표 표준 | 역할 |
---|---|
IODEF (The Incident Object Description Exchange Format) | – 컴퓨터 보안사고 대응팀 간 사건 정보 교환용 XML 포맷 – 사건의 세부 내용에 대한 XML 스키마 정의 |
CybOX (Cyber Observable Expression) | – 운용 도메인에서 확인 가능한 상태 속성, 이벤트 통신 대상 스키마 – 이벤트 관리/로깅, 악성코드 특성, 침입 탐지, 사고 대응/관리 등 |
Open IOC by Mandiant | – XML 기반 위협 정보 표현 프레임워크 – 논리적 그룹 형식으로 포렌식 아티팩트 정리 |
[참고]
- DIGITAL FORENSICS COMMUNITY IN KOREA, Utilization of IOC, IOAF and SigBase
- Symantec, Symantec Endpoint Detection and Response