해외나 국내에서 EDR이 화제인 것 같습니다.
하지만 국내 도입은 예상보다 더디게 도입을 하고 있는 실정이란 기사를 보았습니다.
실무에서 보안을 담당하고 계시는 실무자분들께서 EDR을 어떻게 생각하고 계신지 궁금합니다.
실제로 쓰여지고는 있는지, 그렇다면 어떤 부분이 기존에 비해서 좋거나 나쁘다고 느껴지는지 알고 싶습니다.
경험있으신 실무진분들의 생생한 이야기를 듣고 싶어서 최근에 가입했습니다. 여러모로 많이 배울 수 있는 기회가 되었으면 좋겠습니다.
감사합니다. 모두들 좋은 하루 되세요!! :)
하지만 국내 도입은 예상보다 더디게 도입을 하고 있는 실정이란 기사를 보았습니다.
실무에서 보안을 담당하고 계시는 실무자분들께서 EDR을 어떻게 생각하고 계신지 궁금합니다.
실제로 쓰여지고는 있는지, 그렇다면 어떤 부분이 기존에 비해서 좋거나 나쁘다고 느껴지는지 알고 싶습니다.
경험있으신 실무진분들의 생생한 이야기를 듣고 싶어서 최근에 가입했습니다. 여러모로 많이 배울 수 있는 기회가 되었으면 좋겠습니다.
감사합니다. 모두들 좋은 하루 되세요!! :)
2019-03-06(수) 14:10:12에 작성 되었습니다. 2019-03-06(수) 16:10:44에 수정 되었습니다
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
5개의 답변이 있습니다.
EDR은 기존 백신이 갖고 있던 패턴기반의 사후조치(치료) 한계에서 벗어나
행위를 감지하고 분석해서 사후조치까지 할 수 있도록 짜여진 능동적 플랫폼이라는데에서
큰 차이를 갖습니다.
간단한 예로, a.exe라는 프로세스가 또다른 어떤 프로세스들을 동작시키고, 어느 레지스트리에 접근하여 어떤 변경행위를 일으키는지, 그리고 이것이 결론적으로 시스템에 어떤 영향을 주는지 분석해서 최종적으로 어떤 대책(치료, 삭제, 격리, 패치 등)을 세울 것인지, 운영자의 의사결정을 돕는데 큰 의의가 있다 할 수 있을 것 같습니다.
중요한 키는, 결국 Detection과 Analysis 일것인데, 얼만큼 고도화된 형태이냐가 문제일듯 합니다.
기업마다 환경이 다르고, 내부에서만 사용하도록 자체개발된 시스템의 경우 해당 프로세스가 악성인지 아닌지를 과연 얼만큼 잘 가려낼지도 의문이긴 합니다.
그렇기 때문에 EDR이 Detection부터 Response까지 알아서 해결해준다는 식으로 생각하면 위험하다고 생각하고, 결론적으로 이를 운영하고 관리할 수 있는 담당자의 판단력이 더욱더 중요해질 것이라고 생각합니다.
적용하는 경우에 따라 포렌직 솔루션이 될수 있고 DLP 같은 차단 솔루션이 될수 있습니다.
적용하는 룰적용 및 정책이 워낙 다양할수 있기 때문에 고객사 환경에 따라 다르게 적용될수 있어 솔루션 구축이 아닙니다.
업체로써 구축하기 어려운 솔루션입니다.
고객사 입장에서는 단순 솔루션으로 보고 도입하다가 성공적인 솔루션 도입을 하기위해서는 고생을 할수 있는 솔루션 입니다.
EDR 솔루션은 EPP로 시작해서 EDR로 간 솔루션과 EDR에서 EPP로 진화한 솔루션 2개로 나눌수 있습니다.
EPP에서 시작해서 EDR로 진화한 솔루션이 방향성이 좋다 생각합니다.
해커저리가좀 | 약 5년 전
당연히 백신보다는 더큰 부하를 요구하게 될 것이라 생각되고요.
네트워크에서 L3, L4 단에서 정책을 넣어 차단 시키던 방식의 한계를 벗어 나기 위해서 네트워크 상에 있을 수 있는 모든 위협들에 대비하는 기능들을 넣어 UTM 장비가 나온 것과 유사하다는 생각이 들고요.
한가지 기능에 충실한 제품을 사용하냐, 아니면 모든 기능을 두루 두루 갖춘 제품을 사용하냐는 정도의 차이가 아닐까 싶네요..
해커저리가좀 | 약 5년 전
wansoo | 약 5년 전
해커저리가좀 | 약 5년 전
EDR은 결국 기존 보안제품(네트웍단의 경계선 보안제품 기타 엔드포인트단의 백신)이 공격을 제대로 못 막아내니까 나온 것인데 백신과는 컨셉이 다릅니다.
EDR = Endpoint Detection and Response인데 백신은 들어올 때 막아내는 Prevention 컨셉인데 반해서 EDR은 들어오고 나서 특정한 행위를 할 때 그 행위를 보고 공격을 탐지해서 막아내자는 컨셉입니다.(통상 행위기반)
Endpoint 관제 솔루션이라고도 볼 수 있고요.
다른 제품들은 모르겠으나 제가 하고 있는 외산 C 제품의 경우에는 그렇습니다.
행위기반, 머신런닝, 인공지능, 상관분석 등이 관련 핵심기술이라고 볼 수 있고요.
어떻게 보면 보안 위에 또 보안, 옥상옥의 제품이라고 볼 수도 있는데 개략적인 컨셉은 그렇습니다.
해커저리가좀 | 약 5년 전
해커저리가좀 | 약 5년 전