EDR 장애 시: 엔드포인트 보안에서의 컨테인먼트의 중요성

June 2, 2023

23 최소 읽기

보안 침해가 발생하면 탐지가 실패합니다.이를 수락한다고 해서 탐지 도구가 제대로 작동하지 않는 것은 아닙니다.전혀 그렇지 않습니다. 악의적인 행위자를 상대로 고양이와 쥐 놀이를 하는 안타까운 작업을 수행하는 가장 정교한 도구 중 하나입니다.

엔드포인트 탐지 및 대응 (EDR) 과 같은 도구는 다음과 같은 대명사가 되었지만 엔드포인트 보안실제로 단일 접근 방식에만 의존하면 조직이 취약해질 수 있습니다.포용하기 제로 트러스트 사고방식보안 침해가 발생할 것으로 가정하기 때문에 탐지 못지않게 격리에도 우선 순위를 두어야 합니다.

가장 경도가 높은 EDR 제제도 변조로부터 자유로울 수 없습니다.“라는 이름의 온라인 페르소나의 최근 연구 결과스파이보이” 이걸 보여주세요.위협 행위자는 최소 300달러에 이를 수 있습니다. 종료하십시오 적절한 액세스 권한을 가진 대부분의 EDR보안 팀이 EDR이 실패하는 순간을 대비한다면 이러한 취약성은 우려할 만하지만 치명적이지는 않습니다.

측면 이동 시 도어 닫기

격리는 공격자를 막고 속도를 늦추는 것이 전부입니다.다음과 같은 격리 조치로 제로 트러스트 세그멘테이션 (ZTS), 조직은 영향을 받는 워크로드 또는 엔드포인트의 측면 이동을 방지하여 공격자 확산을 사전에 차단할 수 있습니다.가장 좋은 점은 측면 이동을 제한하면 다른 탐지 도구가 사고를 탐지하는 데 걸리는 시간을 늘리는 데 도움이 된다는 것입니다.

ZTS는 검증된 격리 전략입니다.공격형 보안 업체인 Bishop Fox가 테스트한 결과, ZTS를 사용하면 적색 팀이 필요하다는 사실을 알게 되었습니다. 9배 더 길다 공격을 성공적으로 실행할 수 있습니다.또 다른 이점으로는 공격을 탐지하는 데도 도움이 되었습니다. 4배 더 빠름공격자가 이리저리 움직이려고 할 때 더 많은 소음을 만들어야 했기 때문이죠.

억제가 모든 엔드포인트 보안 전략에 즉시 영향을 미칠 수 있는 여러 영역이 있습니다.

완전한 가시성 확보

육십 퍼센트 불충분한 가시성으로 어려움을 겪고 있는 조직의 수 보안 태세 개선.모든 자산에 대한 완전한 가시성이 없으면 측면 이동을 멈추는 것이 거의 불가능합니다.탐지에만 의존하는 조직은 EDR 솔루션을 완전히 우회할 수 있는 공격에 취약해집니다.격리는 진입 지점에 관계없이 위협을 격리하고 무력화하기 위한 사전 조치를 구현함으로써 중요한 역할을 합니다.

가장 정교한 위협도 차단

제로데이 익스플로잇 탐지 메커니즘을 쉽게 우회할 수 있는 것은 특히 위험합니다.이러한 정교한 위협을 탐지하려면 시간이 걸립니다.조직은 억제에 우선 순위를 지정함으로써 즉각적인 탐지가 없는 경우에도 손상된 시스템을 격리하고 측면 이동을 방지함으로써 위협의 영향을 최소화할 수 있습니다.

위협을 신속하게 차단

보안 침해를 빠르게 탐지하더라도 위험은 여전히 존재합니다.즉각적인 대응이 없다면 공격자는 여전히 목표를 달성할 수 있습니다.대응이 지연되면 공격자가 네트워크 깊숙이 침투할 수 있습니다.신속한 격리의 필요성을 과소평가해서는 안 됩니다.EDR과 함께 격리 전략을 구현함으로써 조직은 위협을 신속하게 완화하여 잠재적 피해를 최소화하고 정상 운영을 복원하는 데 걸리는 시간을 줄일 수 있습니다.

더 적고 더 정확한 네트워크 경고

경고 피로는 현실입니다.측면 이동 경로를 줄임으로써 여전히 표시되는 네트워크 경보의 정확도를 높일 수 있습니다.격리 전략을 통해 의심스러운 엔드포인트를 격리하면 실제 위협을 조사하고 정확하게 대응하는 데 필요한 여유 공간을 확보할 수 있습니다.

내부자 위협으로부터 보호

보안 침해 지표를 찾는 데 초점을 맞춘 EDR 솔루션은 권한 있는 내부자 또는 손상된 계정의 악의적인 행동을 식별하지 못할 수 있습니다.ZTS와 같은 격리 전략은 내부자 위협으로 인한 피해를 최소화하는 데 도움이 될 수 있습니다.이동을 제한함으로써 격리는 이러한 내부 위협에 대한 추가 보호 계층을 추가합니다.