사이버리즌의 탐지 차단 능력이 백신 대체로 이어질수 있나요?

Cybereason의 제품은 EDR과 NGAV 2가지로 나눠져 있습니다. 즉, 알려진 악성코드와 알려지지 않은 악성코드에 대해서는 AI 및 ML(기계학습) 기반의 차세대 안티바이러스 제품인 NGAV로 선 방어를 하며, 그 이후 APT 공격과 같은 고도화된 공격의 경우 EDR로 탐지 및 방어를 합니다. 따라서, EDR만으로 백신을 대체할 수는 없으며 NGAV와 함께 방어를 해야만 합니다. 만약, 윈도우 기본 백신인 Windows Defender를 포함한 타 벡신사 제품을 사용하신다면 NGAV에서 알려진 악성코드를 막는 시그니처 기반 탐지 기능만 OFF 하면 되겠습니다. 이렇게 한다면, 기존 Cybereason의 방어체계에 타 벡신사 제품을 추가해서 사용하는 것이기 때문에 사이버 공격에 대한 방어 체계에 큰 문제는 없습니다.

(뒤세션) SIEM/MDR과 SOAR의 궁극적인 차이가 궁급합니다. (앞세션)공격 흐름을 보여주도록 되어있는데, IPS&WAF 등 서로 다른 이벤트를 하나의 연계된 공격으로 간주하는 기준이 궁금합니다

(뒤세션) SIEM의 경우 Security Information and Event Management의 약자로 IPS, IDS, WAF 등 여러 보안장비의 이벤트를 통합적으로 수집하여 운영자 또는 분석가가 한 화면에서 모든 보안 이벤트를 볼 수 있는 솔루션입니다. 반면에 MDR의 경우 Managed Detection and Response의 약자로써 악성코드 관련 공격행위를 탐지하는 보안장비에서 발생된 이벤트를 SIEM 또는 SOAR에서 수집 후 확인 / 분석 / 대응하는 서비스가 되겠습니다. 즉, 솔루션이 아닌 악성코드 분석 서비스라고 보시면 되겠습니다.

(앞세션)처음 초기침투부터 권한상승, 측면이동(내부확산), C2 통신, 정보탈취, 랜섬웨어 감염 등 각 항목별로 순차적으로 기준을 제시하고 있습니다. 이런 기준으로 볼때 해커가 처음 A 회사에 공격을 시도할 때는 IDS, IPS, WAF 등의 네트웍 보안장비에서 접근시도가 탐지될 것이며, 그 이후에 조직 내에 악성코드/랜섬웨어 감염 및 정보탈취 등의 악성행위를 할 경우는 EDR 장비에서 이벤트가 발생합니다. 그 이후에 C2 통신을 할 경우에는 EDR과 방화벽, WAF 등의 보안장비에서 이벤트가 발생할 수 있습니다. 즉, 각자 서로 따로 보는게 아닌 각각의 보안장비에서 발생된 이벤트를 담당자 및 분석가가 상관분석을 통해 종합적으로 공격자의 악성행위에 대한 시나리오를 파악할 수 있습니다.

(앞세션 답변) 만약, 공격자가 특정 A라는 회사에 대해 공격을 한다고 가정해보면 어떨까요? 공격 전에 공격자는 어떻게 A 회사에 침투를 할지 그리고 침투 이후에는 어떤 악의적인 행위를 할지 고민을 하고 시나리오를 작성할 겁니다. 이런 전체적인 시나리오에 대해 현재 거의 업계표준으로 자리잡고 있는 기준이 있습니다. 바로, MITRE ATT&CK Matrix 입니다.

기존의 알람중심 보안관제 대비 운영중심의 프로세스와 솔루션을 이용하는 경우, 몇 배의 업무 효율을 낼 수 있을지 궁금합니다.

정확히 몇배라고 표현하기는 어렵지만, 예시를 들어 설명 드리겠습니다. 기존 알람 중심의 보안관제의 경우 이벤트 발생 시 해당 이벤트가 정탐인지 오탐인지 파악이 어려우며 악성코드 감염 등을 파악하기 위해서는 추가적으로 수동 로그수집을 통해 수집을 하고, 그 이후에 수집된 로그를 분석 후 대응을 해야합니다. 대응을 할 때도 각 보안장비 및 서버를 운영하는 담당자 분들께 요청하는 경우가 대부분일 것입니다. 반면에 Cybereason XDR을 활용한 운영중심의 보안관제를 진행한다면 이벤트가 발생하는 즉시 추가로그 수집 없이 분석을 하고, 분석 후 악성으로 판단되면 버튼 하나로 각 보안장비에 대응을 할 수가 있습니다. 즉, 기존 알람 중심에서 악성 이벤트 발생 시 로그수집 및 분석 그리고 대응하는데 예를 들어 3일이 걸렸다면, 운영 중심의 악성 이벤트 관제의 경우 1일도 아닌 1시간안에 처리가 됩니다.