TDR(위협 탐지 및 대응)이란?
위협 탐지 및 대응을 통해 사이버 보안 위험을 사전에 식별하고 완화하여 조직의 자산을 보호하는 방법을 알아봅니다.
TDR(위협 탐지 및 대응) 정의
위협 탐지 및 대응은 조직의 디지털 자산에 대한 사이버 위협을 식별하고 가능한 한 빨리 완화하는 단계를 수행하기 위한 사이버 보안 프로세스입니다.
위협 탐지 및 대응의 작동 방식
사이버 위협 및 기타 보안 문제를 해결하기 위해 많은 조직에서는 조직의 사이버 보안 태세를 개선하고 위협에 대한 방지, 탐지, 대응 작업을 수행하기 위한 중앙 집중식 직무 또는 팀인 SOC(보안 운영 센터)를 둡니다. SOC는 진행 중인 사이버 공격을 모니터링하고 그에 대응하는 것 외에도 새로운 사이버 위협 및 조직 취약성을 식별하기 위한 사전 대응 작업을 수행합니다. 내부에 있거나 외부 위탁 형태로 운영되는 대부분의 SOC 팀은 연중무휴 24시간 운영됩니다.
SOC는 위협 인텔리전스와 시도되었거나 성공했거나 진행 중인 침해를 발견하는 기술을 사용합니다. 사이버 위협이 식별되면 보안 팀은 위협 탐지 및 대응 도구를 사용하여 문제를 제거하거나 완화합니다.
위협 탐지 및 대응에는 일반적으로 다음 단계가 포함됩니다.
- 탐지: 엔드포인트, ID, 네트워크, 앱, 클라우드를 모니터링하는 보안 도구는 위험 및 잠재적인 위반을 발견하는 데 도움이 됩니다. 또한 보안 전문가는 탐지를 피하는 정교한 사이버 위협을 파악하기 위해 사이버 위협 헌팅 기술을 사용합니다.
- 조사: 위험이 식별되면 SOC는 AI 및 기타 도구를 사용하여 사이버 위협이 실제 위협인지 확인하고, 어떻게 발생했는지 파악하며, 영향을 받는 회사 자산을 평가합니다.
- 억제: 사이버 공격의 확산을 막기 위해 사이버 보안 팀과 자동화된 도구는 감염된 디바이스, ID, 네트워크를 조직의 나머지 자산에서 격리합니다.
- 박멸: Teams는 환경에서 악의적인 행위자를 완전히 제거하는 것을 목표로 보안 인시던트 근본 원인을 제거합니다. 또한 조직을 유사한 사이버 공격의 위험에 빠뜨릴 수 있는 취약성을 완화합니다.
- 복구: 팀은 사이버 위협이나 취약성이 제거되었다는 것을 합리적으로 확신한 후 격리된 시스템을 다시 온라인 상태로 전환합니다.
- 보고: 인시던트의 심각도에 따라 보안 팀은 발생한 상황과 해결 방법을 문서로 기록하고 리더, 임원진 및/또는 이사회를 대상으로 브리핑합니다.
- 위험 완화: 유사한 침해가 다시 발생하지 않도록 방지하고 향후 대응을 개선하기 위해 팀은 인시던트를 연구하고 환경과 프로세스에 어떤 변화가 필요한지 파악합니다.
위협 탐지란?
조직이 클라우드 공간을 확장하고, 더 많은 디바이스를 인터넷에 연결하고, 하이브리드 업무 공간으로 전환함에 따라 사이버 위협의 식별이 점점 더 어려워지고 있습니다. 악의적인 행위자는 다음과 같은 유형의 전술을 사용하여 이렇게 확장된 노출 영역과 보안 도구의 단편화를 이용합니다.
- 피싱 작전: 악의적인 행위자가 회사에 침투하는 가장 일반적인 방법 중 하나는 직원을 속여 악성 코드를 다운로드하거나 자격 증명을 제공하도록 속이는 이메일을 보내는 것입니다.
- 맬웨어: 많은 사이버 공격자는 컴퓨터와 시스템을 손상시키거나 중요한 정보를 수집하도록 설계된 소프트웨어를 배포합니다.
- 랜섬웨어: 일종의 맬웨어인 랜섬웨어 공격자는 중요한 시스템과 데이터를 인질로 잡고 몸값이 지불될 때까지 개인 데이터를 공개하거나 클라우드 리소스를 훔쳐 비트코인을 채굴하겠다고 위협합니다. 최근 사이버 공격자 집단이 조직의 전체 네트워크에 액세스하는 형태의 인간 조작 랜섬웨어가 보안 팀이 주목하는 문제로 대두되고 있습니다.
- DDoS(분산형 서비스 거부) 공격: 악의적인 행위자는 일련의 봇을 사용하여 트래픽을 폭주시켜 웹 사이트나 서비스를 중단시킵니다.
- 내부자 위협: 모든 사이버 위협이 조직 외부에서 발생하는 것은 아닙니다. 중요한 데이터에 액세스할 수 있는 신뢰할 수 있는 직원이 의도치 않게 또는 악의적으로 조직에 해를 끼칠 위험도 있습니다.
- ID 기반 공격: 대부분의 침해는 사이버 공격자가 사용자 자격 증명을 훔치거나 추측하여 조직의 시스템 및 데이터에 액세스하는 데 사용할 때 발생하는 손상된 ID와 관련됩니다.
- IoT(사물 인터넷) 공격: IoT 디바이스도 사이버 공격에 취약하며, 특히 최신 디바이스와 달리 보안 제어 기능이 내장되어 있지 않은 레거시 디바이스는 더욱 그렇습니다.
- 공급망 공격: 때로는 악의적인 행위자가 타사 공급업체에서 제공하는 소프트웨어나 하드웨어를 변조하여 조직을 표적으로 삼는 경우도 있습니다.
- 코드 삽입: 사이버 범죄자는 원본 코드가 외부 데이터를 처리하는 방식의 취약점을 이용하여 애플리케이션에 악성 코드를 삽입합니다.
위협 탐지
증가하는 사이버 보안 공격에 앞서기 위해 조직은 위협 모델링을 사용하여 보안 요구 사항을 정의하고, 취약성과 위험을 식별하고, 수정 우선 순위를 지정합니다. SOC는 가상 시나리오를 사용하여 사이버 범죄자의 마음속으로 들어가 보안 인시던트를 예방하거나 완화하는 조직의 능력을 향상시키고자 노력합니다. MITRE ATT&CK® 프레임워크는 일반적인 사이버 공격 기법 및 전술을 이해하는 데 유용한 모델입니다.
다중 계층 방어에는 환경에 대한 지속적인 실시간 모니터링을 제공하고 잠재적인 보안 문제를 발견하는 도구가 필요합니다. 또한 한 탐지 방법이 손상되면 두 번째 탐지 방법이 문제를 탐지하고 보안 팀에 알릴 수 있도록 솔루션이 중복되어야 합니다. 사이버 위협 탐지 솔루션은 다음과 같은 다양한 방법을 사용하여 위협을 식별합니다.
- 서명 기반 탐지: 많은 보안 솔루션은 소프트웨어와 트래픽을 검사하여 특정 유형의 맬웨어와 관련된 고유한 서명을 식별합니다.
- 동작 기반 탐지: 새롭게 등장하는 사이버 위협을 포착하기 위해 보안 솔루션은 사이버 공격에서 흔히 발생하는 활동와 동작도 찾습니다.
- 변칙 기반 탐지: AI 및 분석은 팀이 사용자, 디바이스, 소프트웨어의 일반적인 행동을 이해하여 사이버 위협을 나타낼 수 있는 비정상 상황을 식별할 수 있도록 도와줍니다.
소프트웨어도 중요하지만 사이버 위협 탐지에서는 사람도 똑같이 중요한 역할을 합니다. 분석가는 시스템 생성 경고를 분류하고 조사하는 것 외에도 사이버 위협 헌팅 기술을 사용하여 손상 징후를 사전에 찾거나 잠재적인 위협을 암시하는 전술, 기법, 절차를 찾습니다. 이러한 접근 방식은 SOC가 정교하고 탐지하기 어려운 공격을 신속하게 발견하고 막는 데 도움이 됩니다.
위협 대응이란?
사이버 위협이 확실하게 식별된 후의 위협 대응에는 SOC가 이를 억제 및 제거하고, 복구하고, 유사한 공격이 다시 발생할 가능성을 줄이기 위해 취하는 모든 조치가 포함됩니다. 많은 기업에서는 체계적으로 빠르게 움직이는 것이 중요한 상황에서 잠재적인 침해가 발생할 경우 조치를 안내하는 데 도움이 되는 인시던트 대응 계획을 개발합니다. 좋은 인시던트 대응 계획에는 특정 유형의 위협, 직무 및 책임에 대한 단계별 지침이 포함된 플레이북과 커뮤니케이션 계획이 포함됩니다.
위협 탐지 및 대응의 구성 요소
확장된 감지 및 대응
XDR(확장된 감지 및 대응) 제품은 SOC가 전체 예방, 탐지, 대응 사이버 위협 수명 주기를 간소화하는 데 도움이 됩니다. 이러한 솔루션은 엔드포인트, 클라우드 앱, 이메일, ID를 모니터링합니다. XDR 솔루션이 사이버 위협을 탐지하면 보안 팀에 경고를 보내고 SOC가 정의한 기준에 따라 특정 인시던트에 자동으로 대응합니다.
ID 위협 탐지 및 대응
악의적인 행위자는 종종 직원을 표적으로 삼기 때문에 조직 ID를 대상으로 하는 위협을 식별하고 그에 대응하기 위한 도구와 프로세스를 마련하는 것이 중요합니다. 이러한 솔루션은 일반적으로 UEBA(사용자 및 엔터티 동작 분석)를 사용하여 기본 사용자 동작을 정의하고 잠재적인 위협을 나타내는 이상 현상을 찾아냅니다.
보안 정보 및 이벤트 관리
전체 디지털 환경에 대한 가시성을 확보하는 것은 위협 환경을 이해하는 첫 번째 단계입니다. 대부분의 SOC 팀은 엔드포인트, 클라우드, 이메일, 앱, ID 전반에 걸쳐 데이터를 집계하고 상호 연관시키는 SIEM(보안 정보 및 이벤트 관리) 솔루션을 사용합니다. 이러한 솔루션은 탐지 규칙과 플레이북을 사용하여 로그와 경고의 상호 연관을 통해 잠재적인 사이버 위협을 드러냅니다. 최신 SIEM은 또한 AI를 사용하여 사이버 위협을 보다 효과적으로 발견하고 외부 위협 인텔리전스 피드를 통합하여 새롭게 등장하는 사이버 위협을 식별할 수 있습니다.
위협 인텔리전스
SOC는 사이버 위협 환경에 대한 포괄적인 시각을 얻기 위해 엔드포인트, 이메일, 클라우드 앱, 외부 위협 인텔리전스 원본을 비롯한 다양한 원본의 데이터를 종합하고 분석하는 도구를 사용합니다. 이 데이터에서 얻은 인사이트는 보안 팀이 사이버 공격에 대비하고, 활성 사이버 위협을 탐지하고, 진행 중인 보안 인시던트를 조사하고, 효과적으로 대응하는 데 도움이 됩니다.
엔드포인트 감지 및 응답
EDR(엔드포인트 감지 및 응답) 솔루션은 컴퓨터, 서버, 모바일 디바이스, IoT와 같은 엔드포인트에만 초점을 맞춘 XDR 솔루션의 이전 버전입니다. 이러한 솔루션은 XDR 솔루션과 마찬가지로 잠재적인 공격이 발견되면 경고를 생성하고 잘 알려진 특정 공격의 경우 자동으로 대응합니다. EDR 솔루션은 엔드포인트에만 초점을 맞추기 때문에 대부분의 조직은 XDR 솔루션으로 마이그레이션하고 있습니다.
취약성 관리
취약성 관리는 컴퓨터 시스템, 네트워크, 엔터프라이즈 애플리케이션의 보안 약점을 모니터링하는 지속적이고 사전 예방적이며 자동화된 프로세스입니다. 취약성 관리 솔루션은 취약성의 심각도와 위험 수준을 평가하고 SOC가 문제를 해결하는 데 사용하는 보고 기능을 제공합니다.
보안 오케스트레이션, 자동화, 대응
SOAR(보안 오케스트레이션, 자동화, 대응) 솔루션은 내부 및 외부 데이터와 도구를 하나의 중앙 집중식 장소에 통합하여 사이버 위협 탐지 및 대응을 간소화하는 데 도움이 됩니다. 또한 사전 정의된 규칙 집합을 기반으로 사이버 위협 대응을 자동화합니다.
관리형 탐지 및 대응
모든 조직이 사이버 위협을 효과적으로 탐지하고 대응할 수 있는 리소스를 보유하고 있는 것은 아닙니다. 관리형 탐지 및 대응 서비스는 이러한 조직이 위협을 헌팅해 적절하게 대응하는 데 필요한 도구와 인력으로 보안 팀을 강화하는 데 도움이 됩니다.
위협 탐지 및 대응의 주요 이점
조기 위협 탐지
완전히 침해되기 전에 사이버 위협을 막는 것은 인시던트의 영향을 극적으로 줄일 수 있는 중요한 방법입니다. SOC에서 최신 위협 탐지 및 대응 도구와 전담 팀을 갖추면 비교적 해결하기 쉬운 조기에 위협을 발견할 가능성이 높아집니다.
규정 준수
여러 국가와 지역에서 조직이 강력한 데이터 보안 조치를 마련하고 보안 인시던트에 대응하기 위한 세부 프로세스를 갖추도록 요구하는 엄격한 개인 정보 보호법을 계속해서 통과시키고 있습니다. 이러한 규칙을 준수하지 않는 기업은 엄청난 벌금을 물게 됩니다. 위협 탐지 및 대응 프로그램은 조직이 이러한 법률의 요구 사항을 충족하는 데 도움이 됩니다.
침투 시간 감소
일반적으로 가장 큰 피해를 주는 사이버 공격은 사이버 공격자들이 디지털 환경에서 감지되지 않은 채 가장 많은 시간을 소비한 인시던트에서 발생합니다. 감지되지 않은 채 소요한 시간, 즉 침투 시간을 줄이는 것은 피해를 제한하는 데 매우 중요합니다. 위협 헌팅과 같은 위협 탐지 및 대응 프로세스는 SOC가 이러한 악의적인 행위자를 빠르게 포착하고 그 영향을 제한하는 데 도움이 됩니다.
향상된 가시성
SIEM 및 XDR과 같은 위협 탐지 및 대응 도구는 보안 운영 팀에 환경에 대한 더 광범위한 가시성을 제공하여 위협을 신속하게 식별할 뿐만 아니라 해결해야 할 오래된 소프트웨어 문제와 같은 잠재적인 취약성을 발견할 수 있도록 도와줍니다.
중요한 데이터 보호
많은 조직에서 데이터는 가장 중요한 자산 중 하나입니다. 보안 팀은 적절한 위협 탐지 및 대응 도구 및 절차를 통해 악의적인 행위자가 중요한 데이터에 액세스하기 전에 포착하여 해당 정보가 공개되거나 다크 웹에서 판매될 가능성을 줄일 수 있습니다.
사전 예방적 보안 태세
위협 탐지 및 대응을 통해 새로운 위협을 조명하고 악의적인 행위자가 회사의 디지털 환경에 액세스할 수 있는 방법 또한 밝힐 수 있습니다. 이 정보를 통해 SOC는 조직을 강화하고 향후 공격을 방지할 수 있습니다.
비용 절감
사이버 공격이 성공하면 몸값(랜섬), 규제 수수료 또는 복구 노력에 지출되는 실제 비용 측면에서 조직이 매우 큰 금전적 손해를 입을 수 있습니다. 또한 생산성과 매출 손실로 이어질 수도 있습니다. 조직은 위협을 신속하게 탐지하고 사이버 공격의 초기 단계에 대응함으로써 보안 인시던트 비용을 줄일 수 있습니다.
평판 관리
심각한 데이터 침해는 회사 또는 정부의 평판에 큰 피해를 줄 수 있습니다. 사람들은 개인 정보를 제대로 보호하지 못하는 기관에 대해 신뢰를 잃습니다. 위협 탐지 및 대응을 통해 기삿거리가 될 만한 인시던트가 발생할 가능성을 줄이고 고객, 시민 및 기타 이해관계자에게 개인 정보가 보호되고 있다는 확신을 심어줄 수 있습니다.
위협 탐지 및 대응 모범 사례
위협 탐지 및 대응을 효과적으로 수행하는 조직은 팀이 협력하고 접근 방식을 개선하는 데 도움이 되는 모범 사례를 반영하여 사이버 공격을 줄이고 비용을 절감합니다.
정기적인 교육 진행
조직을 보호하는 데 가장 큰 책임은 SOC 팀에게 있지만 회사 내 모든 사람들에게도 각자의 역할이 있습니다. 대다수의 보안 인시던트는 직원이 피싱 작전에 걸려들거나 승인되지 않은 디바이스를 사용하는 것에서 시작됩니다. 정기적으로 교육을 진행하면 직원이 가능한 위협에 대해 보안 팀에 알릴 수 있도록 늘 주의를 기울이는 데 도움이 됩니다. 또한 좋은 교육 프로그램을 갖추면 보안 전문가가 최신 도구, 정책, 위협 대응 절차에 대한 최신 동향을 파악할 수 있습니다.
인시던트 대응 계획 개발
보안 인시던트가 발생하면 일반적으로 문제를 해결하고 복구할 뿐만 아니라 관련자들에게 정확한 업데이트 사항을 전달하기 위해 빠르게 움직여야 하므로 많은 스트레스를 받게 됩니다. 인시던트 대응 계획을 통해 적절한 억제, 박멸, 복구 단계를 정의하면 추측에 기반한 작업이 일부 제거됩니다. 또한 인시던트 대응 계획은 직원과 기타 이해관계자들에게 어떤 상황인지 알리고 조직이 관련 규정을 준수하도록 보장해야 하는 인사팀, 기업 커뮤니케이션 및 홍보 부서, 변호사, 임원진에게 지침을 제공합니다.
강력한 협업 촉진
새로운 위협에 앞서고 효과적인 대응을 조율하려면 보안 팀 구성원 간의 원활한 협업과 의사소통이 필요합니다. 개인은 팀의 다른 사람들이 어떻게 위협을 평가하고, 관련 내용을 비교하고, 잠재적인 문제에 대해 협력하는지 이해해야 합니다. 협업은 위협을 탐지하거나 대응을 지원할 수 있는 회사 내 다른 부서로까지도 확장됩니다.
AI 배포
사이버 보안용 AI 는 조직 전체의 데이터를 종합하여 팀이 각자의 시간에 집중하고 인시던트를 신속하게 해결하는 데 도움이 되는 인사이트를 제공합니다. 최신 SIEM 및 XDR 솔루션은 AI를 사용하여 개별 경고를 인시던트와 상호 연관시켜 조직이 사이버 위협을 더 빠르게 탐지하도록 돕습니다. Microsoft Defender XDR과 같은 일부 솔루션은 AI를 사용하여 진행 중인 사이버 공격을 자동으로 저지합니다. Microsoft Security Copilot과 같은 솔루션의 생성형 AI는 SOC 팀이 인시던트를 신속하게 조사하고 그에 대응할 수 있도록 도와줍니다.
지속적 개선
모든 보안 인시던트는 배움의 기회를 제공합니다. 보안 인시던트가 해결되면 프로세스를 업데이트하고 취약성을 완화한다는 목표를 가지고 잘 처리된 것과 그렇지 않은 것을 평가하는 것이 좋습니다. XDR과 같은 도구는 인시던트 사후 보안 태세 개선을 대응 프로세스의 일부로 만들어 도움을 줍니다.
위협 탐지 및 대응 솔루션
위협 탐지 및 대응은 피해를 입기 전에 사이버 위협을 찾아 해결하기 위해 모든 조직에서 사용할 수 있는 중요한 기능입니다. Microsoft Security는 보안 팀이 사이버 위협을 모니터링 및 탐지하고 그에 대응할 수 있도록 여러 가지 위협 방지 솔루션을 제공합니다. 제한된 리소스를 보유한 조직의 경우 Microsoft Defender 전문가를 통해 기존 직원과 도구를 보강하는 관리형 서비스를 받을 수 있습니다.
Microsoft Security에 대해 자세히 알아보기
자주 묻는 질문
-
고급 위협 탐지에는 장기간 탐지되지 않은 상태를 유지하도록 설계된 정교한 위협인 지능형 지속 위협을 발견하기 위해 보안 전문가가 사용하는 기술과 도구가 포함되어 있습니다. 이러한 위협은 보다 심각한 경우가 많으며 간첩 행위나 데이터 도난이 포함될 수 있습니다.
-
위협 탐지의 기본적인 방법은 환경 전반의 활동을 분석하여 침해 징후나 예상에서 벗어난 동작을 찾아내는 SIEM 또는 XDR과 같은 보안 솔루션입니다. 사람들은 이러한 도구를 사용하여 잠재적인 위협을 분류하고 그에 대응합니다. 또한 탐지를 회피할 수 있는 정교한 공격자를 헌팅하는 데도 XDR 및 SIEM을 사용합니다.
-
위협 탐지는 디바이스, 소프트웨어, 네트워크 또는 ID가 손상되었음을 나타낼 수 있는 활동을 포함하여 잠재적인 보안 위험을 찾아내는 프로세스입니다. 인시던트 대응에는 보안 팀과 자동화된 도구가 사이버 위협을 억제하고 제거하기 위해 수행하는 단계가 포함되어 있습니다.
-
위협 탐지 및 대응 프로세스에는 다음이 포함됩니다.
- 탐지: 엔드포인트, ID, 네트워크, 앱, 클라우드를 모니터링하는 보안 도구는 위험 및 잠재적인 위반을 발견하는 데 도움이 됩니다. 또한 보안 전문가는 사이버 위협 헌팅 기술을 사용하여 새로운 사이버 위협을 찾아내려고 노력합니다.
- 조사: 위험이 식별되면 AI 및 기타 도구를 사용하여 사이버 위협이 실제 위협인지 확인하고, 어떻게 발생했는지 파악하며, 영향을 받는 회사 자산을 평가합니다.
- 억제: 사이버 공격의 확산을 막기 위해 사이버 보안 팀은 감염된 디바이스, ID, 네트워크를 조직의 나머지 자산에서 격리합니다.
- 박멸: 팀은 환경에서 적을 완전히 제거하고 조직을 유사한 사이버 공격의 위험에 빠뜨릴 수 있는 취약성을 완화하는 것을 목표로 보안 인시던트의 근본 원인을 제거합니다.
- 복구: 팀은 사이버 위협이나 취약성이 제거되었다는 것을 합리적으로 확신한 후 격리된 시스템을 다시 온라인 상태로 전환합니다.
- 보고: 인시던트의 심각도에 따라 보안 팀은 발생한 상황과 해결 방법을 문서로 기록하고 리더, 임원진 및/또는 이사회를 대상으로 브리핑합니다.
- 위험 완화: 유사한 침해가 다시 발생하지 않도록 방지하고 향후 대응을 개선하기 위해 팀은 인시던트를 연구하고 환경과 프로세스에 어떤 변화가 필요한지 파악합니다.
-
TDR은 위협 감지 및 대응(Threat Detection and Response)을 의미하며, 조직을 대상으로 하는 사이버 보안 위협을 식별하고 이러한 위협이 실제 피해를 입히기 전에 완화하기 위한 조치를 취하는 프로세스입니다. EDR은 엔드포인트 탐지 및 대응(Endpoint Detection and Response)을 의미하며, 조직의 엔드포인트에서 잠재적인 사이버 공격을 모니터링하고, 이러한 사이버 위협을 보안 팀에 알리며, 특정 유형의 사이버 공격에 자동으로 대응하는 소프트웨어 제품의 범주입니다.
Microsoft 365 팔로우