XDR(확장 감지 대응)이란 무엇인가요?

XDR은 위협 인텔리전스, 자동화 및 머신러닝을 결합하여 기업이 SOC 성능을 최적화하고 최악의 위협 행위자를 찾아내고 처리하는 능력을 강화하는 데 도움을 줍니다. XDR 도입의 증가는 조직에서 두 가지 중요한 보안 문제점을 해결하는 데 도움이 되는 XDR의 능력에 기인합니다.

1. 지속적으로 전술을 바꾸고 기존의 제어를 우회하기 위해 새로운 방법을 혁신하는 위협 행위자를 감지하고 대응합니다. 기존 SIEM 시스템으로는 갈수록 정교해지고 은밀하게 새로 등장하는 위협을 감지하기가 점점 더 어려워지면서 XDR과 같은 다중 기술 감지 제어의 필요성이 대두되고 있습니다.

2. 사이버 보안 기술 부족이 만연해 있는 가운데, 특히 위협 추적 및 조사 업무 분야에서 경험과 지식이 풍부한 보안 전문가를 채용합니다.

XDR 시스템이 모두 동일한 것은 아닙니다. 일부 단일 스택 XDR 시스템은 기존 보안 솔루션을 벤더 자체 제품군으로 대체하도록 설계되어 있지만, 하이브리드 또는 개방형 XDR 시스템은 벤더 제약이 없으며 기존 기술을 보완하기도 합니다. 하이브리드 XDR 솔루션을 SIEM 및 SOAR 솔루션과 결합하면 기업에 보다 강력한 위협 추적, 감지 및 대응 메커니즘과 성능을 대규모로 제공하므로 보안 투자 효과를 극대화할 수 있습니다.

예를 들어, SIEM 시스템과 SOAR 플랫폼은 긴 배포, 보안 엔지니어의 추가 코딩 및 프로그래밍, 지속적인 직접 유지관리가 필요하지만, XDR은 일반적으로 SaaS 기반이므로 배포와 지속적인 관리가 간소화됩니다. 또한 XDR은 실시간 위협 인텔리전스와 보안 데이터를 자동으로 연결하여 엔지니어가 프로그래밍을 직접 할 필요가 없도록 합니다. XDR은 서드 파티 보안 툴과 통합되어 모든 알림에 자동으로 대응하므로 이벤트를 빠짐없이 감지하고, 보안팀이 악성 이슈에 대해 실행 가능한 조치를 취할 수 있도록 지원합니다.

XDR 솔루션은 업계 최고의 기술을 지원하고, 대규모로 실행되며, 강력한 사이버 방어 태세를 갖추도록 지원하기 위해 여러 가지 기능을 제공합니다.

• 컨트롤 불문: 여러 기술과 통합되며 특정 벤더에 종속되지 않습니다.
• 시스템 기반 상관관계 및 감지 기능: 대규모 데이터 세트를 보다 신속하게 분석하고 거짓양성 수를 줄입니다.
• 사전 빌드된 데이터 모델: 소프트웨어 엔지니어가 프로그래밍을 수행하거나 규칙을 작성할 필요 없이 위협 인텔리전스를 통합하고 감지 및 대응을 자동화합니다.
• SIEM, SOAR 및 케이스 관리 도구와의 연동: XDR은 이러한 제품을 교체하기 보다는 기업에서 투자 가치를 극대화할 수 있도록 지원합니다.
• 보안 검증과의 통합: XDR과 보안 검증을 함께 사용할 경우, 기업 보안팀은 자사 보안 스택의 효과, 약점이 있는 부분, 성능 격차를 해소하기 위해 취해야 할 조치 등을 지속적으로 파악할 수 있습니다.

Mandiant Advantage는 XDR을 통해 조직이 필요로 하는 많은 조사 및 분류 기능을 제공하지만, 보안 제어나 SIEM/데이터 저장소를 제공하지는 않습니다. 성과를 달성하고 고객이 XDR 엔진의 장점을 최대한 활용할 수 있도록 기존에 보유한 솔루션으로 작업합니다.