BLOG

[기사 - 공유] [XDR·SOAR②] “XDR, SOC 탐지·대응 기능 개선”
2021.03.06

- XDR, 엔드포인트·네트워크·클라우드 위협 통합 대응 지원
- ‘오픈 생태계 지원 vs 단일 벤더 솔루션 통합’

[데이터넷] 현재 데이터센터 환경에서 보안 솔루션을 통합하고 자동화 하는 것은 현실적으로 많은 어려움이 있다. 그렇다고 해서 미리 포기할 필요는 없다. 새로 시작하는 프로젝트, 새로 구축하는 SOC는 통합·자동화가 가능한 보안 시스템으로 구성해 최적의 환경을 구현할 수 있다.

클라우드는 대부분 표준 기술을 사용하기 때문에 레거시 데이터센터보다 상대적으로 용이하게 통합·자동화를 이룰 수 있다. 기존에 운영하는 데이터센터도 사용연한이 지난 장비를 교체·업그레이드하거나 비즈니스 확장으로 추가 구매할 때 통합·자동화를 염두에 두고 예산을 수립할 수 있다.

이 때 고려할 수 있는 솔루션이 확장된 탐지 및 대응(XDR), 보안 오케스트레이션, 자동화, 대응(SOAR)이다. 파이어아이는 통합·자동화 플랫폼을 통해 오탐 리포팅 최소화(88%), 민첩한 데브옵스 기능 확보(85%), 머신러닝 툴 자동화(80%) 등이 가능할 것으로 기대했다.

XDR, SOC 탐지·대응 기능 개선

이 중 XDR은 가트너 ‘보안 운영에 대한 2020 하이프 사이클’에서 “실제로 기업·기관에게 높은 혜택을 줄 솔루션”이라고 평가하면서 주목도를 높이고 있다. 가트너는 XDR이 아직은 초보적인 기술 수준을 보이고 있지만 앞으로 발전 가능성이 높다고 평가한다. 가트너의 ‘2020 XDR에 대한 혁신 인사이트’ 보고서에서 “XDR은 대부분 베타·초기 평가판이며, 완전히 통합된 제품은 거의 없다. XDR은 단일 벤더 솔루션을 통합하기 때문에 벤더 종속성이 높으며 동급 최고 솔루션으로 구성하는 것이 아니기 때문에 일부 요소 기술은 낮은 수준의 탐지에 머물 것”이라고 지적하면서도 “XDR의 ‘통합’이 주는 이점은 배제할 수 없다”고 강조했다.

가트너가 제시한 XDR의 이점은 공통 데이터 형식을 제안하고, 실시간 이벤트 데이터를 중앙에 수집하며, 여러 탐지 기술을 사용해 여러 소스에서 수집한 낮은 수준의 이벤트를 연계분석 해 위협 탐지 증거를 찾아내는 것이다. 또 통합과 자동화를 통해 SOC의 탐지·대응 기능을 개선하고, SOC 직원 생산성을 높이면서 총 소유비용을 낮추고 전반적인 운영을 개선한다는 사실이 입증되고 있다.

XDR의 주요 기능은 ▲정규화된 데이터의 중앙집중화 ▲실시간 컨텍스트를 반영한 보안 데이터, 경고, 사고의 상관관계 분석 ▲사고대응 또는 개별 보안 제품 상태 변경 가능한 중앙집중식 사고대응 등으로 요약할 수 있다.

초기 XDR은 EDR과 NDR을 통합하는 개념이었지만, 점차 ▲EPP·EDR ▲클라우드 접근 보안 중개(CASB) ▲SWG ▲보안 이메일 게이트웨이(SEG) ▲네트워크 방화벽·IPS, 통합위협관리 ▲ID·액세스 관리 ▲DLP ▲사용자·엔티티 행위 분석(UEBA) ▲네트워크 트래픽 분석(NTA), 네트워크 탐지 및 대응(NDR) ▲글로벌 위협 인텔리전스 지원으로 확장하고 있다. 또 ▲클라우드 워크로드 보호 플랫폼(CWPP) ▲클라우드 보안 형상관리(CSPM) ▲웹방화벽 등과 연계해 클라우드와 데이터센터 보호 개념으로 확대되고 있다.

오픈 생태계 통해 통합·자동화 효과 ↑

통합·자동화의 흐름에서 보면 XDR과 SOAR는 유사한 면이 많다. 가트너는 XDR은 단일 벤더에서 자사 솔루션을 통합하는 개념으로, SOAR는 이종 솔루션의 자동화된 운영을 지원하는 개념으로 발전하고 있다고 분석했다.

단일벤더 솔루션이 주는 이점은 분명하지만, 데이터센터가 단일 솔루션만으로 운영될 수 없는 만큼, 오픈 생태계를 지원하는 솔루션이 좀 더 확장성이 높을 것으로 보인다.

스텔라사이버는 ‘오픈 XDR’을 추구하면서 이종 솔루션에 대한 유연한 통합과 연계를 지원하며 차별성을 알리고 있다. ‘오픈 XDR’은 완전히 개방된 플랫폼으로 유연한 써드파티 통합을 지원한다. 기존에 구축된 IT 시스템과 클라우드, 사용자 행위까지 통합해 정확도 높은 보안 이벤트를 탐지하고 대응한다.

국내 보안 솔루션과의 연동도 완료됐으며, 스텔라사이버가 제공하는 NTA/NDR, 머신러닝 기반 IDS, 차세대 SIEM, UEBA, SOAR 기능을 연계해 개방형 보안 분석 생태계를 구축한다. 또한 클라우드와 MSSP를 위한 라이선스와 파트너 모델도 제공해 보안 전문가를 충분히 고용하지 않은 조직도 침해 탐지·대응 효율성을 높일 수 있게 하고 있다.

스텔라사이버_‘오픈XDR’.jpeg

▲스텔라사이버 ‘오픈XDR’

스텔라사이버 ‘오픈 XDR’은 파고네트웍스를 통해 매니지드 탐지 및 대응(MDR) 서비스가 가능하다. 파고네트웍스는 블랙베리의 AI 기반 엔터프라이즈 보안 제품군, 딥인스팅크트의 한국총판이며, 자체 개발한 MDR 플랫폼 ‘딥액트’를 통해 완벽하게 통합된 엔드포인트 보안 탐지와 대응을 제공한다.

여기에 스텔라사이버 오픈 XDR까지 통합해 엔드포인트부터 네트워크, 클라우드까지 유기적으로 통합된 위협 탐지와 대응 서비스를 제안한다. 이를 통해 엔터프라이즈 환경은 물론이고, 중견·중소기업, 제조망·생산망, 클라우드까지 산업 경계 없는 위협 대응 서비스를 제공할 계획이다.

경쟁 시작한 XDR

XDR이 본격적인 성장을 시작하자 일부 성급한 전문가들은 EDR, SIEM, NTA/NDR가 사라지고 XDR로 통합될 것이라고 전망하지만, 통합·자동화의 한계를 생각하면 현실적인 전망은 아니다. 또 SIEM은 EDR이나 NTA/NDR와는 다른 성격을 보이고 있으며 XDR보다 SOAR로 진화하는 흐름을 보일 것이라는 전망이 지배적이다.

대신 EDR, NTA/NDR 기업들이 서로 다른 탐지 기술을 접목하면서 XDR로 확장하는 흐름이 나타나는 것은 분명하다. 특히 엔드포인트 보안 기업들이 EPP, EDR, 클라우드 워크로드 보호, 위협 인텔리전스 결합에 더해 이메일, 네트워크 보안 기능을 확장하면서 XDR로 진화하고 있다.

트렌드마이크로의 경우, 통합 보안 플랫폼 ‘클라우드 원(Cloud One)’에 하이브리드·멀티 클라우드 위협 탐지와 대응 기능을 강화한 ‘비전 원(Vison One)’을 출시하고 XDR 전략을 강화한다. ‘비전 원’은 정교하지 않은 보안 리소스를 전문적인 수준으로 운영할 수 있게 해 보안 업무 효율성을 극대화한다. 클라우드까지 포함한 탐지 모델과 글로벌 위협 인텔리전스 기반 인사이트를 통해 보안 위협 가시성을 제공하고, 기업이 사용하고 있는 사일로화된 솔루션이 놓치는 복잡한 공격과 보안 위험 지점을 확인할 수 있도록 지원한다.

맥아피는 엔드포인트와 네트워크, 클라우드 보안 기술을 모두 보유하고 있어 XDR로 진화하는데 있어 다른 벤더보다 유리한 위치에 있다고 자신한다. 맥아피의 ‘엠비전 XDR(MVISION XDR)’은 클라우드로 제공되며, 통합된 가시성과 제어 기능으로 대응 주기를 단축하고 SOC 효율성을 향상시킨다. 대화형 타임라인, 스토리보드를 통해 전체 엔터프라이즈에서 가시성을 확보하고 위협 우선순위를 지정하며, AI를 이용한 자동 조사로 다양한 실력의 분석가를 지원하고 위협 분류 속도를 높인다.

AI 기반 엔드포인트 보안 솔루션을 공급해 온 센티넬원이 한국지사를 설립하고 XDR 시장 진출에 나서 주목된다. 센티넬원의 ‘싱귤래러티 XDR(Singularity XDR)’은 EPP, EDR, IoT 공격면 제어, 컨테이너·클라우드 워크로드 보호(CWP)를 통합하며, 클라우드, 하이브리드, 온프레미스 모두 보호한다.

o 원문 기사 링크 --> [XDR·SOAR②] “XDR, SOC 탐지·대응 기능 개선”