인프라 보안와 침해 대응의 방식 변화

최근 보안 사고를 격으면서 과거와 많이 달라진 침해 대응 방식에 놀랍고 참 많이 발전했구나 하는 생각이든다.

그럼 그 발전에 대해서 정리해 보았다.

1. VM기반의 멜웨어 분석 – 이부분은 이미 많이 알려진 부분이기 때문에 크게 애기할 필요가 없는것 같다. Fireeye NX 제품이 대표 제품으로 이제 휴리스틱 기능도 들오갔다고 하니 많이 고도화 되고 있는듯 하다.

2. 호스트 에이전트 실시간 검색/관리 – 일명 EDR로 통하는 이 쪽이 신선했는데 기존에 침해 분석을 중앙에서 가능하도록 해주면서 호스트 탐지 정책은 물론, 즉각적인 정보 수집까지 가능한 막강 제품인것 같다. 어제 처음 접했을때 바로 머리가 한방 먹은것 같은 참신함을 느꼈다. 바로 기능이 어떤건이 있ㄴ지 알고 싶을 만큼 충격이 컸다. 중요 기능은 즉각적인 검색/다양한 탐지룰 적용과 원격 조사 및 조정이다. 주요 제품은 Fireeye HX와 Tanium 이다.

관련 사용성 분석 글은 아래를 참고하면 좋다.

Choose business IT software and services with confidence. Compare verified reviews from the IT community of FireEye vs. Tanium in Endpoint Detection and Response Solutions

 

기존 주력 보안시장은 SIEM의 탐지 방향이였다.이는 대량의 로그 기반에 탐지가 주력인 솔류션이라면 지금은 각 호스트 레벨에서 즉각적으로 침해사고를 대응하는 보안 레벨 단계까지 넘어갔다.

SIEM을 통해 탐지를 하면 기존에는 해당 호스트를 분석하기 위해 분석 도구를 들고 들어가야 했다면 이제는 원격으로 분석과 대응이 가능해진다. 그것도 동시에 여러대를 진행 할 수 있는건 가히 놀랍다.

물론 SIEM의 역활과 EDR의 역활이 다르기 때문에 심층적 보안을 위해 다양한 레이어에 보안이 필요하다.

하지만 기존에는 빠른 침해 대응을 힘든 부분이 많아 포기하거나 어렵게 했던 부분들을 해결할 수 있을 것 같아 기쁘다.

지금은 보안 분야 역시 단계적으로 4차 산업에 접어든것 같다는 생각이 든다.

Facebook Comments

Leave A Reply

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다

This site uses Akismet to reduce spam. Learn how your comment data is processed.