2022-08-12 05:25 (금)
[K-CTI 2022] 트렌드마이크로, XDR을 통한 멀티 벡터 위협 탐지 및 대응과 인텔리전스 활용(영상)
상태바
[K-CTI 2022] 트렌드마이크로, XDR을 통한 멀티 벡터 위협 탐지 및 대응과 인텔리전스 활용(영상)
  • 길민권 기자
  • 승인 2022.02.25 16:02
이 기사를 공유합니다

K-CTI 2022에서 트렌드마이크로 윤명익 이사 강연현장
K-CTI 2022에서 트렌드마이크로 윤명익 이사 강연현장

대한민국 사이버위협·침해사고대응 인텔리전스 컨퍼런스 K-CTI 2022가 2월 22일 300여 명의 공공, 금융, 기업 정보보안 실무자들이 참석한 가운데 코로나19 방역수칙을 준수하며 성황리에 개최됐다.

이 자리에서 트렌드마이크로 윤명익 이사는 ‘XDR을 통한 멀티 벡터 위협 탐지 및 대응과 인텔리전스의 활용’을 주제로 강연을 진행했다.

IT인프라가 현대화된 조직일수록 서버 워크로드, 이메일, IPS, 모바일 등의 다양한 벡터가 존재하고 있으며, 이들에 대한 상관관계 파악과 탐지 및 대응은 필수불가결하게 되었다.

이러한 관점에서 탄생한 것이 XDR(eXtended Detection and Response)이며, 다른 의미로는 XDR을 다양한 레이어에 대한 탐지 및 대응을 구현하는 Cross-Layered Detection and Response라고 표현하기도 한다. 특정 포인트 솔루션, 단일 벡터 접근 방식을 넘어 탐지 및 대응의 진화를 제공하는 것이 XDR이 제시하고 추구하는 방향이다.

컨텍스트 없이 불완전하고 난해한 경고가 SIEM에서 수집되고, 엔드포인트, 네트워크, 이메일 등 각각의 계층별로 이기종 솔루션 간의 사일로(Silo)를 극복하고, 경고들 간의 상관관계를 파악하여 순도 높은 경고들 만을 추려내어 신속한 차단 조치로 이어질 수 있어야 함은 조직 내 SOC팀의 최우선 과제이기도 하다.

그리고 위협 인텔리전스 고통의 피라미드(Pyramid of Pain)에서 최상단에 위치하는 TTPs(Tactics, Teqhniques, Procedures)를 얼마나 충실히 반영하였는가에 따라 공격자의 공격 의지를 꺾을 수 있는 지의 여부가 달라지게 되므로, 이러한 TTPs를 적용하여 탐지하고 나아가 차단까지 이르게 할 수 있는 솔루션이 XDR이라 할 수 있다.

윤명익 이사는 “트렌드마이크로의 XDR 플랫폼인 Trend Micro Vision OneTM은 엔드포인트, 서버, 이메일, 클라우드 워크로드와 네트워크 계층에서 텔레메트리(Telemetry)를 통해 데이터를 수집하고, 상관분석하여 고급 XDR 기능을 제공한다”며 “모든 계층에서 위협 활동을 XDR 기능과 연계해 표적형 우회공격과 난독화된 공격을 신속하게 탐지할 수 있다. 이를 통하여 보안팀과 SOC 팀이 공격 진행과정을 정확하게 파악하고 신속하게 대응할 수 있도록 도와준다”고 설명했다.

이어 “근본 원인 분석(Root Cause Analysis)을 통해 공격의 범위와 확산을 파악하고 선제적인 대응방법을 제공한다. 각각의 계층에서 동작 중인 트렌드마이크로의 보안 솔루션으로부터 활동 데이터(Activity Data)를 수집해 Data Lake에서 수집된 활동데이터를 기반으로 침해 인시던트를 표현하고, 위협 인텔리전스를 통한 Sweeping을 수행하며, 이에 대한 경고(Alarm)을 제공하며 적절한 대응(Response)이 가능하도록 가이드라인을 제시하거나 자동화된 대응이 수행되도록 할 수 있다”고 덧붙였다.

‘Trend Micro Vision OneTM’은 자체 위협 인텔리전스 뿐만 아니라 Corporate Security teams, Govenment agencies - Eurpoe, Govenment agencies - North America, Information sharing organizations, Security researchers 등의 다양한 외부 위협 인텔리전스를 활용해 실시간으로 IOC를 취합하고 이어서 조직 내 모든 벡터에서의 Sweeping을 자동으로 수행해 존재할 수 있는 최신의 위협을 탐지해낸다.

다음은 트렌드마이크로 윤명익 이사의 K-CTI 2022 강연영상이다. 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.


◇데일리시큐 웨비나 개최(3월 8일 / 보안교육1시간 이수)

-주제: 클라우드 환경에서 HSM(하드웨어 보안 모듈) 적용 방안 및 사례

-일시: 2022년 3월 8일(화) 오후 2시~3시

-발표자: 엔트러스트 DPS 부문 Sales Engineer 마건일 차장

-교육이수: 1시간 보안교육 이수증 발급

-무료참가신청: 클릭

★정보보안 대표 미디어 데일리시큐!★