다양한 유형의 엔드포인트 보안 솔루션

엔드포인트 보안의 기본

엔드포인트는 모든 네트워크에 연결되는 모든 디바이스입니다. 일부 엔드포인트는 사무실 PC와 같은 하나의 내부 네트워크에만 연결됩니다. 이를 보호하는 것은 무엇보다도 네트워크 보안의 문제입니다.

(디바이스가 멀웨어에 액세스할 수 있는 유일한 경로는 디바이스가 연결된 회사 네트워크이기 때문입니다.)

이제 일반 회사의 모바일 디바이스나 노트북을 생각해 보세요. 지역 카페부터 고객의 사무실까지 다양한 네트워크에 연결할 수 있습니다. 즉, 사이버 보안팀은 네트워크에만 의존하여 보안을 유지할 수 없으며 엔드포인트 자체에 어느 정도의 보호가 필요합니다.

이것이 엔드포인트 보안 솔루션의 기본 사명입니다: 엔드포인트 디바이스 자체에서 로컬로 실행되어 모든 기본 프로세스에서 의심스러운 파일과 동작을 모니터링할 수 있습니다.

엔드포인트 보안 솔루션의 작동 방식

엔드포인트 보안 솔루션은 엔드포인트를 모니터링하는 동안 발견한 모든 정보를 기업의 사이버 보안 팀에 다시 전달합니다. 이것이 개인 통화, 메시지 또는 온라인 검색에 기업용 기기를 사용하지 않는 여러 가지 이유 중 하나입니다.

백엔드에서 사이버 보안 분석가는 이러한 엔드포인트 동작을 거의 실시간으로 모니터링할 수 있습니다.

예를 들어, 노트북의 수가 증가함에 따라 엔드포인트 보안 솔루션은 이 모든 데이터를 쉽게 집계하고 모든 노트북이 최신 패치를 실행하고 있는지 확인하고 악성 다운로드를 차단할 수 있으므로 확장성이 매우 뛰어난 접근 방식입니다.

자동화된 알림을 통해 애널리스트는 모든 감독 사항에 신속하게 대응할 수 있습니다.

다양한 엔드포인트 디바이스의 과제

엔드포인트 디바이스의 종류가 매우 다양하다는 점이 이를 더욱 복잡하게 만듭니다. 사물인터넷( IoT)은 다른 인프라를 모니터링하는 소형 디바이스로, 중요한 구성 요소에 연결되어 있는 경우가 많기 때문에 공격자의 자연스러운 표적이 될 수 있습니다.

하지만 워낙 가볍기 때문에 기존 엔드포인트 솔루션으로는 배포하기 어려울 수 있습니다. 그렇기 때문에 엔드포인트 보안은 여러 솔루션과 지속적인 알림이 뒤섞인 엉망진창이 되기 쉽습니다.

엔드포인트 보안 솔루션의 종류와 특징

엔드포인트 보안의 유형은 방지하고자 하는 위협의 유형에 따라 크게 달라질 수 있습니다. 인기 있는 엔드포인트 보안 솔루션을 핵심 유형별로 분류하고 주요 기능을 소개합니다.

바이러스 백신 소프트웨어

바이러스 백신 소프트웨어는 가장 오래되고 가장 잘 정립된 엔드포인트 보안 형태 중 하나입니다. 3단계 프로세스를 통해 작동합니다:

1. 엔드포인트를 스캔하고 각 파일의 위치, 크기, 유형 분석하기
2. 파일의 코드를 알려진 바이러스 데이터베이스와 비교하여 잠재적 위협을 탐지하고 의심스러운 파일에 플래그를 지정하여 추가 검사를 진행합니다.
3. 악성 파일 제거 - 악성 파일이 설치되기 전에 자동으로 삭제하는 경우가 많습니다.

안티바이러스의 핵심 기능은 이러한 서명 기반 보호기능입니다.

멀웨어 시그니처 데이터베이스는 바이러스 백신 제공업체에서 관리하므로, 검증된 바이러스 백신 제공업체를 선택하는 것이 가장 좋습니다. 보다 고급 버전인 차세대 안티바이러스(NGAV)는 서명만 사용하는 것이 아니라 파일 동작을 기반으로 위협을 식별하는 동작 탐지 기능을 사용합니다.

엔드포인트 탐지 및 대응(EDR)

EDR은 차세대 안티바이러스(NGAV)의 보호를 한 단계 더 발전시킨 것으로, 엔드포인트 보호에 대한 가장 확립된 접근 방식 중 하나입니다. 차세대 안티바이러스(NGAV)가 모든 엔드포인트의 개별 파일을 모니터링하는 반면, EDR은 보안 정보 및 이벤트 관리(SIEM)와의 통합을 통해 모든 데이터를 활용합니다:

• 사용자 활동
• 애플리케이션 동작
• 데이터 로깅

이는 엔드포인트에 직접 설치되는 EDR 에이전트를 통해 가능합니다. EDR 기능은 이 두 가지에 중점을 두고 있습니다:

1. 엔드포인트 데이터에 대한 심층적인 세분화
2. 해당 데이터의 자동화된 분석 및 시각화

엔드포인트 보안을 멀웨어 식별으로 압축하지 않고 엔드포인트 행동 인식 기능을 사용하여 계정 탈취 및 피싱과 같은 더 많은 악의적인 공격 캠페인을 탐지할 수 있는 경우가 많습니다.

모바일 디바이스 관리(MDM)

기업 모바일에 명시적으로 초점을 맞춘 MDM은 모바일 보안 및 통합 엔드포인트 관리에서 볼 수 있는 사용자 중심 전략과 달리 디바이스 중심 접근 방식을 취합니다. MDM 프로그램에서 직원들은 노트북이나 스마트폰과 같은 전용 업무용 디바이스를 발급받거나 개인 디바이스를 원격으로 등록할 수 있습니다.

그런 다음 디바이스에는 엔터프라이즈 데이터 및 이메일에 대한 역할 기반 액세스 권한과 함께 다음과 같은 기능이 탑재됩니다:

• 보안 VPN
• GPS 추적
• 비밀번호로 보호되는 애플리케이션

통합 엔드포인트 관리(UEM)

EDR은 그 자체로 솔루션으로 입증되었지만, 통합 플랫폼의 성장으로 린 팀은 가시성을 극대화하고 소스에서 바로 잠재적인 문제를 상호 참조할 수 있게 되었습니다. UEM 시스템은 모든 보안 도구의 정보를 하나의 플랫폼으로 가져와서 보안 도구가 분산되어 관리가 어려워지는 문제를 해결합니다.

엔드포인트 보안을 위한 4가지 모범 사례

엔드포인트 보안 솔루션은 매우 다양한 형태를 취할 수 있으므로 엔드포인트 보안이 작동할 수 있는 보편적인 모범 사례를 강조하는 것이 중요합니다.

#1: 엔드포인트 디바이스 인벤토리 관리

엔드포인트 솔루션이 자동으로 이 작업을 수행하든 그렇지 않든, 엔드포인트 인벤토리는 최소한의 보호 수단입니다. 이 작업을 수행해야만 방어 표면의 허점을 식별할 수 있습니다.

#2: 강력한 인증 적용

모든 엔드포인트 보호 체계의 가장 기본적인 구성 요소 중 하나는 ID 및 액세스 관리(IAM)입니다.

하이재킹된 계정을 식별하고 격리할 수 있는 엔드포인트 보호 소프트웨어가 있지만, 애초에 공격자가 계정에 접근하지 못하도록 하는 것이 시간, 위험, 비용 면에서 훨씬 더 효율적입니다. 다음과 같은 강력한 인증 방법을 적용하여 이를 달성할 수 있습니다:

• 비밀번호 교체
• 생체 인식 인증
• 다중 인증

이상적으로는 각 계정의 액세스 수준에 따라 IAM 제어를 확장해야 합니다.

#3: 위임 및 자동화

연중무휴 24시간 모든 것을 모니터링하는 엔드포인트 보안 솔루션만으로는 충분하지 않으며, 책임자가 있어야 합니다. 사내 또는 원격으로 팀을 구성하는 것이 이상적이지만, 각 구성 요소의 정확한 책임은 각 분석가의 고유한 기술에 따라 위임해야 합니다.

소규모 사이버 보안 팀과 함께 작업하는 경우 자동화를 통해 정기적인 패치 적용과 같이 반복적이고 시간이 많이 걸리는 작업을 처리하는 데 도움이 될 수 있습니다.

#4: 직원 교육

기술적인 대응도 공격을 예방하는 데 매우 중요하지만, 패치할 수 없는 부분인 사람을 고려할 필요가 있습니다. 직원들은 자신의 특정 엔드포인트와 역할에 직면한 소셜 엔지니어링 공격에 대한 최신 정보를 제공받아야 합니다:

• 법무 담당자는 애초에 기술 송장을 열지 않을 가능성이 높습니다.
• 영업팀은 인보이스 관련 피싱 이메일을 식별하는 방법에 대해 면밀한 상담이 필요할 수 있습니다.