파이어아이 스토리

FireEye XDR: 위협 탐지 및 대응의 최전선에서 탄생한 XDR 솔루션

파이어아이의 솔루션 개발에는 공통적인 비하인드스토리가 있습니다. 개발팀에 영감을 주는 것이 있다는 것입니다. 파이어아이의 경우 보안 솔루션을 개발하다 보니 영감의 계기는 주로 위협 탐지와 대응이 실제로 이루어지는 최전선에서 나오곤 합니다. 그러다 보니 어떤 솔루션을 개발하건 목표는 늘 같습니다. 전 세계 모든 보안 운영팀의 역량을 강화하는 더 나은 기술과 플랫폼을 제공하는 것이죠. 이번 포스팅에서 소개할 XDR(Extended Detection and Response)도 마찬가지입니다.

FireEye XDR에 대하여

FireEye XDR은 보안 운영팀이 정교하고 거대한 침해에 대응할 수 있도록 파이어아이의 기술과 전문 지식을 솔루션의 형태로 결합한 결과물입니다. 파이어아이 XDR은 피싱, 랜섬웨어 같은 공격으로부터 조직을 보하는 것은 물론이고 단일 솔루션으로 엔드포인트, 네트워크, 클라우드, 이메일 전반에 걸친(E) 탐지(D) 및 대응(R) 역량을 제공합니다. 괄호 안 약어를 합치면? 네, XDR이죠. FireEye XDR은 XDR의 개념에 매우 충실한 솔루션이라 할 수 있습니다. FireEye XDR은 조직에서 이미 운영 중인 다양한 보안 솔루션으로 탐지와 대응 역량을 확장하는 것을 지원합니다. 또한, 파이어아이의 다양한 솔루션과 함께 구성하면 파이어아이 XDR 운영 효과를 극대화할 수 있습니다.

FireEye XDR의 필요성

파이어아이는 오랜 기간 동안 고객과 함께 사이버 침해 최전선을 지켜왔습니다. 최전선에서 셀 수 없이 많은 시간을 보내면서 확인한 사실이 하나 있습니다. 사일로화된 보안 태세를 유지하는 곳은 늘 지속적인 위협 행위자에게 약점을 보일 수밖에 없다는 것입니다. 문제는 공격이 날이 갈수록 정교해지고 있다는 것이죠. 파이어아이가 공격자의 진화 속도를 따라잡을 수 있는 솔루션, 보안 운영팀에 마음의 평화를 가져올 수 있는 XDR 솔루션을 개발하게 된 배경입니다.

FireEye XDR은 세계적인 수준을 자랑하는 파이어아이의 EDR 기능을 엔드포인트를 넘어 네트워크, 이메일, 클라우드로 확장한 것입니다. 파이어아이 XDR은 600개 이상의 애플리케이션과 서비스의 로그 및 이벤트 피드를 지원합니다. 네, 사일화되어 각각 따로 기능하던 보안 솔루션들을 둘러싼 보이지 않는 벽을 허문 것입니다. FireEye XDR을 설명할 때 조직의 사일로를 무너뜨린다고 표현하는 이유죠.

유연성

FireEye XDR은 앞서 설명한 바와 같이 타사 보안 도구를 손쉽게 통합할 수 있는 유연성을 제공합니다. 이에 따라 조직은 보안 전략에 맞게 솔루션들을 조정할 수 있습니다. FireEye XDR 도입 효과를 극대화하려면 기본적으로 통합되어 있는 엔드포인트 보안, 이메일 보안, 네트워크 보안 외에 Cloudvisory를 Helix와 함께 사용하면 됩니다. 이 조합으로 구성하면 XDR 성능을 최적화하는 한편 가장 정교한 위협에 맞설 수 있는 보안 태세를 갖출 수 있습니다. 보안 운영 측면에서 이 조합의 이점을 설명하자면 지능형 공격, 측면 이동같이 탐지가 어려운 이상 행위도 더 또렷하게 파악할 수 있는 분석 역량을 갖출 수 있습니다.

FireEye XDR을 이용하면 보안 운영팀은 새로운 수준의 분석 경험을 할 수 있습니다. 엔드포인트, 네트워크, 이메일, 클라우드 전반에 걸친 탐지와 분석을 단일 환경에서 할 수 있다는 것! 체험해 보면 확실히 다른 경험임을 알 수 있습니다. 다음 FireEye XDR 대시보드 화면만 봐도 새로운 경험이 기대되네요. 

Figure 1: FireEye XDR Dashboard

탐지

FireEye XDR은 모든 벡터에서 지능형 공격을 탐지합니다. 이를 이용하면 보안 운영팀은 조직 곳곳에 배치한 보안 도구에서 가져온 데이터를 연결해 상황을 분석하고 위협을 감지할 수 있습니다. 여기에 파이어아이가 제공하는 위협 인텔리전스 및 여러 기관이나 기업에서 제공하는 보안 기술 스택을 적용해 보면 위협을 더 뚜렷이 인지할 수 있습니다. 예를 들어 보죠. 한 지점에서는 이상 행위로 보이지 않지만, 여러 지점에 걸쳐 데이터를 확보해 연결해 보면 뭔가 의심쩍은 활동이 보입니다. 다음 화면을 보시죠. 여러 데이터를 연결해 만든 위협 그래프입니다. 이를 보면 엔드포인트 환경에서 Mimikatz 관련 탐지 지표가 관찰됨을 알 수 있습니다.


Figure 2: Showing the correlated detection of Mimikatz being used post-exploitation on an endpoint in the Threat Graph

대응

탐지를 했다면 다음에 할 일은? 신속한 대응입니다. 파이어아이 XDR을 이용하면 자신감 있게 대응에 나설 수 있습니다. 파이어아이가 연간 20만 시간 이상을 가장 강력하고, 세간의 관심을 끄는 보안 사고에 대응하는 데 쓰고 있다는 사실을 떠올려 보십시오. 네, 이 현장 경험과 노하우가 반영된 FireEye XDR을 통해 보안 운영팀은 엔드포인트 보안, 네트워크 보안, 이메일 보안, 클라우드 보안, 보안 오케스트레이션, 자동화, SOAR, SIEM 등 모든 보안 제품을 통해 위협이 가해지고 있는 상황을 조사하고, 근본 원인을 파악하여 공격에 대응할 수 있습니다.


Figure 3: Easily claw back malicious emails without leaving the user interface

참고로 FireEye XDR은 조사 워크플로우를 제공합니다. 조사 워크플로우 가이드를 따라가다 보면 보안 운영에 더 치명적인 것이 무엇인지 식별하고, 우선순위에 따라 분석하고 대응하는 것이 한결 간소화됩니다. 분석가의 귀중한 시간을 더 알차게 쓸 수 있게 된다고 이해하면 됩니다.

FireEye XDR의 이점

소개한 내용을 간단히 정리해 보겠습니다. FireEye XDR을 쓰는 이유, 다른 말로 이점은 다음과 같습니다

  • 여러 도구에서 발생하는 이벤트를 실행 가능한 조사 활동에 참조하여 분석가 및 보안 운영 센터의 효율성을 개선합니다
  • 위협 탐지 및 조사를 자동화하고 대응을 가속화하며 우선순위를 지정해 조직이 위험에 노출되는 것을 줄입니다.
  • 최고 수준의 탐지 및 분석 효율을 제공합니다. 급변하는 위협 트렌드를 매일같이 업데이트하여 반영하고 있는 침해 대응 베스트 프랙티스 플레이북을 제공합니다.

이상으로 FireEye XDR에 대해 알아보았습니다. 더 자세한 내용은 파이어아이 코리아로 문의 바랍니다.