[데이터넷] 진화하는 새로운 형태의 사이버 공격 증가로 인해 많은 기업들이 피해를 입고 있다. 특히 동적(Dynamic) DDoS 공격이 증가하는 등 고조되는 사이버 보안 위협에 대처하기 위한 기업의 새로운 보안 대응 전략 마련이 시급하다. 넷스카우트가 제안하는 반응형(Adaptive) DDoS 방어 전략에 이어 진화하는 사이버위협에 대한 강력한 대응 방안인 확장 탐지·대응(XDR)에 대해 살핀다. <편집자>
보안은 끝이 나지 않는 게임이다. 100% 예방할 수 있는 방안도 없다. 그렇기 때문에 보안의 궁극적인 목표는 지속적으로 수정되고 변경될 수밖에 없다.
최근 공격자 또는 해커들은 지속적으로 회피 기술, 공격의 다양화, 끈기 있는 기다림 등을 통해 수많은 사이버 위협 행위와 반복적인 공격을 수행하며 보안을 무력화하려고 시도한다.
특히 공격자들은 디지털 트랜스포메이션이 만들어내는 수많은 복잡성과 가시성의 격차를 잘 이용하고 있다. 복잡성에 숨어 다양한 형태의 복합 공격을 끊임없이 반복하고 수많은 공격 중 단 한 번의 성공으로 수많은 권한의 탈취와 동시에 고객의 서비스에 대한 치명적인 위험을 초래하고 있다.
악성 행위 지속 탐지·분석 필수
최근 가트너는 ‘위협 탐지·대응을 위한 네트워크 중심 접근 방식의 적용’ 보고서에서 가시성 중에서도 네트워크 기반의 빠른 보안 위협 가시성 확보가 가장 중요하다고 지적했다. 이러한 가시성은 분산돼 있는 환경에 영향을 미치지 않고, 에이전트 설치 없이 전체 보안 위협을 관리할 수 있도록 적용 방안을 수립해야 한다고 권고했다.
다양한 위협 탐지와 침해 위협에 대한 가시성 확보는 필수다. 또한 사이버 위협에 대한 정확한 상관관계 분석을 통해 보다 쉽고 빠르게 위협을 식별해 조직의 서비스를 보호하는 체계로 진화해 나가야 한다.
네트워크 탐지·대응(NDR)은 공격자가 네트워크에 연결될 때 탐지한다. 잠재적 위협에 대해 엔드투엔드 탐지와 동시에 트래픽 또는 패킷을 통해 증명하고 메타데이터, 위협 탐지 알람을 발송해 관련된 악성 행위의 지속적인 탐지와 분석을 제공한다.
결국 올바른 네트워크 가시성은 확장 탐지·대응(XDR)을 위한 출발점이다. NDR 없이는 XDR을 완성할 수 없다.
포괄적인 네트워크 가시성 확보해야
넷스카우트의 OCI(Omnis Cyber Intelligence)는 포괄적인 네트워크 가시성을 확보하면서 보안 위협 상태와 수준을 확인할 수 있기 때문에 보안 운영 상태 향상에 도움을 준다. 네트워크 기반의 가시성은 정상적인 트래픽 동작에 대한 기준선을 만들고, 이상 행위 또는 의심스러운 동작을 보다 잘 감시하기 위한 정책 설정을 제공하도록 구성돼 있다.
실시간 위협 탐지를 수행할 수 있다면 당연히 보안 분석 프로세스가 강화된다. 이를 통해 네트워크 팀과 보안 팀은 동시에 초기 분석과 대응을 수행하고, 프로세스 효율성을 향상시킬 수 있다. 또한 평균 탐지와 분석 시간이 한층 단축돼 잠재적인 보안 위반 위협에 대한 영향도를 크게 낮출 수 있다.
넷스카우트는 클라우드, 레거시 네트워크, 데이터센터 등 다양하고 복잡하게 분산돼 있는 서비스 환경의 네트워크 접점을 이해해 네트워크 기반 공격, 해커 등의 위협을 빠르게 그리고 오탐과 과탐을 극복할 수 있는 방안을 제공한다. 즉 네트워크와 사용자를 이해하고, 접점에 대한 가시성을 확보할 수 있도록 분산돼 있는 서비스와 인프라 환경의 보안 모니터링 방안을 효과적으로 수립할 수 있다.
이를 통해 트래픽 내에 상존하고 있는 침해 위협, 보안 위협을 빠르게 감지하고, 웹 GUI 기반의 워크플로우 분석 체계를 활용해 과거부터 현재 시점에 이르는 보안과 사용자 가시성, 동시에 탐지된 위협 전파 경로, 심각도 등 종합적인 위협 분석 체계를 지원한다.
뿐만 아니라 넷스카우트 솔루션을 통해 위협에 노출돼 있는 호스트, 서버 또는 사용자에 대한 위협 전파 경로는 물론 네트워크 트래픽의 실시간 포렌직을 통해 문제 재발 방지와 분석 프로세스를 단일 GUI로 제공한다. 더불어 운영 편의성은 물론 보안 분석의 체계화된 표준 프로세스를 수립할 수 있도록 지원한다.
다양한 서비스 환경 보안 관리 기반 확보
넷스카우트 OCI는 최초 유발자부터 내부의 공격 대상, 그리고 그 공격 대상이 다시 공격을 진행하는 전파 경로를 분석해 한 번에 그리고 종합적인 이해를 제공해 빠른 대응 방안과 조치를 위한 근거 자료도 제공한다.
이처럼 OCI는 명확한 그리고 포괄적인 네트워크 이해를 바탕으로 가시성 보장, 빠른 위협 탐지와 표준 워크플로우 기반의 손쉬운 분석 체계 제공을 통해 보안운영센터(SOC)의 업무 경감을 위한 대안이 될 수 있다.
넷스카우트 OCI는 실시간 네트워크 가시성의 기반으로 출발해 다양한 사이버 위협, 침해나 공격에 대한 탐지 방안을 제공하고, 필요한 경우 빠른 문제 해결에 집중할 수 있도록 도와준다. 또한 클라우드를 포함한 가상화 환경, 분산돼 있는 복잡한 서비스 네트워크의 접점에 대한 이해를 기반으로 보안 위협의 확실한 탐지 방안을 제공한다.
볼 수 없으면 알 수 없고, 알지 못하면 막을 수 없다. 추측이나 예측이 아닌 정확한 근거를 기반으로 SOC의 업무 효율성은 물론 다양한 서비스 환경의 보안 관리 기반 확보는 필수다.
