Ⅰ. EDR(Endpoint Detection and Response) 이란?
엔드포인트 탐지 및 대응(EDR)은 실시간 분석 및 AI 기반 자동화를 사용하여 발생하는 의심스러운 활동과 보안 위협을 탐지, 조사 대응 하는 솔루션입니다. EDR 솔루션은 안티바이러스 소프트웨어 및 기타 기존 엔드포인트 보안 도구를 통과하는 사이버 위협으로부터 조직의 최종 사용자, 엔드포인트 장치 및 IT 자산을 보호하는 소프트웨어입니다.
※ 엔드포인트(End Point) 컴퓨터 네트워크에 연결하고 컴퓨터 네트워크와 정보를 교환하는 물리적 디바이스
Ⅱ. EDR(Endpoint Detection and Response) 사용 이유
성공적인 사이버 공격의 90%와 데이터 침해의 70%가 엔드포인트에서 시작되며, 기존 보안 솔루션은 소셜 엔지니어링, 파일리스 공격, 지능형 위협 탐지에 한계가 있습니다. 이런 위협은 랜섬웨어와 제로데이 공격으로 이어질 수 있으며, 네트워크 내에서 장기간 잠복합니다. EDR은 이러한 한계를 극복해 비정상 활동을 실시간으로 탐지하고, 자동 대응으로 피해를 예방 하기 위해 사용되며, 새로운 위협을 조사하고 예방 할 수 있습니다.
Ⅲ. EDR(Endpoint Detection and Response) 주요 기능
ⅰ. 실시간 위협 탐지
1) 엔드포인트에서 발생하는 데이터를 실시간으로 수집하고 분석하여 의심스러운 활동을 탐지합니다.
2) 머신 러닝 및 AI 기술을 활용해 정상 활동과 비정상 활동을 구별합니다.
ⅱ. 포렌식 및 사고 조사
1) 보안 사고 발생 시 원인을 파악하고 공격자의 활동을 추적합니다.
2) 로그 데이터와 사용자 활동 기록을 바탕으로 자세한 분석을 제공합니다.
ⅲ. 자동화된 대응
1) 의심스러운 활동이 탐지되면 시스템 격리, 악성 파일 삭제, 프로세스 종료 등 자동화된 대응을 실행합니다.
2) 빠른 위협 완화를 통해 추가적인 피해를 방지합니다.
ⅳ. 위협 인텔리전스 통합
1) 최신 위협 정보와 연동해 알려진 악성코드 및 해커 활동에 신속히 대응합니다.
2) 외부 데이터베이스와의 통합을 통해 탐지 정확도를 향상합니다.
ⅴ. 정책 및 규제 준수 지원
1) 보안 데이터 로그를 저장하고 규정 준수를 지원합니다.
2) 기업의 내부 보안 감사와 외부 규제 요건을 충족시킵니다.
Ⅳ. EDR(Endpoint Detection and Response) 작동 방식
| 기능 | 설명 | 주요 내용 |
| 데이터 수집 | 엔드포인트의 실시간 데이터 수집 | 프로세스, 네트워크 연결, 사용자 활동, 구성 변경 모니터링. 클라우드에 데이터 저장. |
| 위협 탐지 | 비정상적인 활동과 새로운 위협 식별 | 머신러닝과 분석을 통해 IOC(침해 지표) 및 IOA(공격 지표) 탐지. 최신 위협 인텔리전스 활용. |
| 자동화된 대응 | 위협에 대해 자동으로 신속한 대응 | 알림 전송, 네트워크 격리, 악성 파일 삭제, 바이러스 검사, SOAR 연동으로 대응 자동화. |
| 조사 및 해결 | 위협 발생 시 근본 원인 분석 및 복구 | 포렌식 도구 사용. 손상된 파일/설정 복구, 패치 적용, 탐지 규칙 업데이트로 재발 방지. |
| 위협 헌팅 | 숨겨진 위협 탐색 및 사전 예방 | 알려지지 않은 위협 탐지. EDR 데이터와 MITRE ATT&CK 활용해 공격자 활동 추적. |
Ⅴ. 안티바이러스(AV) vs EDR vs XDR 비교
| 기능 | 안티바이러스 (Anti Virus) |
EDR (Endpoint Detection and Response) |
XDR (eXtended Detection and Response) |
| 탐지 대상 | 알려진 위협 | 알려지지 않은 위협 포함 | EDR + 네트워크/이메일 탐지 확장 |
| 사고 조사 | 불가능 | 가능 | 더 광범위한 사고 조사 가능 |
| 자동화된 대응 | 제한적 | 엔드포인트에 특화 | 전체 IT 인프라에 대한 대응 |
Ⅵ. EDR(Endpoint Detection and Response) 장점
| 장점 | 설명 |
| 실시간 보안 | 데이터를 실시간으로 분석해 빠른 위협 탐지 가능. |
| 자동화 위협 대응 및 조사 | 프로세스를 자동화해 보안 팀 효율성 증대. |
| 포렌식 기능 | 심층 조사와 원인 분석을 통해 장기적인 보안 강화. |
| 위협 | 인텔리전스 통합 최신 위협 정보를 통해 새로운 공격에도 대응 가능. |
| 확장성 | 대규모 네트워크 및 다양한 엔드포인트를 지원. |
'보안솔루션' 카테고리의 다른 글
| MDM(Mobile Device Management) 솔루션에 대해 알아보겠습니다. (0) | 2025.01.06 |
|---|---|
| PMS(Patch Management System)에 대해 알아보겠습니다. (0) | 2024.12.30 |
| 비업무사이트 차단 솔루션에 대해 알아보겠습니다. (0) | 2024.12.29 |
| SSO(Single Sign On) 에 대해 알아보겠습니다. (1) | 2024.12.27 |
| 안티바이러스(Antivirus)에 대해 알아보겠습니다. (0) | 2024.12.18 |