위협 탐지 및 대응(TDR)이란?

예방은 당연히 사이버 보안의 첫 번째 기둥이며, 조직을 표적으로 하는 위협의 98% 이상을 예방할 수 있습니다. 그러나 차단되지 않은 위협은 어떻습니까?

먼저 행동 분석 및 기타 AI 기반 탐지 기술과 같은 최첨단 분석 기술을 활용하여 가장 은밀한 공격도 발견해야 합니다. 그런 다음 운영자는 각 위협을 조사하고 자세히 알아볼 수 있으며 추가 위협을 헌팅할 수도 있습니다. 다음 단계는 대응하여 위협을 수정 및 제거하고 다음에 예방할 수 있도록 하는 것입니다.

데모 보기 IDC: SOC 수준 향상

TDR 솔루션의 필수 구성 요소

조직이 예방할 수 없는 위협의 경우 이를 신속하게 탐지하고 대응하는 능력은 조직의 피해와 비용을 최소화하는 데 매우 중요합니다. 효과적인 위협 탐지를 위해서는 다음과 같은 기능을 갖춘 사이버 보안 솔루션이 필요합니다.

전체 공격 벡터 가시성: 온프레미스 컴퓨터, 모바일 디바이스, 클라우드 인프라, 사물인터넷(IoT) (다양한 감염 경로를 통해 공격받을 수 있는 IoT 디바이스) 등 조직의 IT 인프라는 다양해지고 있습니다. 효과적인 위협 탐지를 위해서는 네트워크, 이메일, 클라우드 기반 애플리케이션, 모바일 앱 등을 포함한 모든 공격 벡터에 대한 완전한 가시성이 필요합니다.
전체 스펙트럼 멀웨어 탐지: 멀웨어가 더욱 정교해지고 교묘해짐에 따라 멀웨어를 탐지하는 것이 점점 더 어려워지고 있습니다. 최신 멀웨어 공격 캠페인은 다형성을 사용하여 시그니처 기반 탐지 시스템을 회피하고 각 대상 조직에 고유한 멀웨어 샘플을 사용합니다. 효과적인 TDR 솔루션에는 이러한 회피 전술에 속지 않는 인공 지능 및 샌드박스 기반 콘텐츠 분석 기술을 사용하여 멀웨어 공격을 식별할 수 있는 기능이 필요합니다.
높은 탐지 정확도: 보안 운영 센터 (SOC)는 일반적으로 처리할 수 있는 것보다 더 많은 경고를 수신하므로 실제 위협은 간과되는 동안 오탐을 조사하는 데 시간이 낭비됩니다. 위협 탐지 도구는 보안 팀이 기업에 대한 실제 위협에 집중할 수 있도록 가양성 비율이 낮은 고품질 경고를 생성해야 합니다.
최첨단 데이터 분석: 엔터프라이즈 네트워크는 점점 더 복잡해지고 있으며 다양한 엔드포인트를 포함합니다. 즉, 보안 팀은 효과적으로 처리하거나 사용할 수 있는 것보다 더 많은 보안 데이터에 액세스할 수 있습니다. 최첨단 데이터 분석은 이러한 대량의 데이터를 실제 위협과 오탐을 구별하기 위한 사용 가능한 인사이트로 정제하는 데 중요한 구성 요소입니다.
위협 인텔리전스 통합: 위협 인텔리전스 피드는 현재 사이버 캠페인 및 사이버 보안 위험의 다른 측면에 대한 귀중한 정보 소스가 될 수 있습니다. TDR 솔루션은 위협 인텔리전스 피드를 직접 통합하고 잠재적인 위협을 식별하고 분류할 때 데이터 소스로 사용할 수 있도록 해야 합니다.

잠재적인 위협이 식별된 후 보안 분석가는 인시던트 조사 및 수정을 지원하는 도구가 필요합니다. 이러한 도구의 효율성을 극대화하려면 다음과 같은 특정 기능이 필수적입니다.

MITRE ATT&CK 분석: MITRE ATT&CK 프레임워크는 공격자가 사이버 공격의 다양한 단계를 수행할 수 있는 방법에 대한 풍부한 정보를 제공합니다. 위협 탐지 및 대응 솔루션은 보안 팀이 프레임워크에서 제공하는 관련 탐지 및 완화 권장 사항을 활용할 수 있도록 MITRE ATT&CK 기술에 대한 매핑을 제공해야 합니다.
자동화된 위협 치료: 사이버 범죄자들은 자동화를 사용하여 공격의 속도와 규모를 늘리고 있으며, 수동 대응은 공격의 영향을 최소화하기에는 너무 느립니다. 효과적인 TDR 솔루션은 조직의 전체 IT 인프라에서 신속하고 조정된 위협 대응을 가능하게 하는 플레이북 기반의 자동화된 대응을 제공해야 합니다.
조사 및 위협 헌팅 지원: 보안 팀은 잠재적인 인시던트를 수동으로 조사하고 탐지되지 않은 침입에 대한 위협 헌팅을 수행할 수 있는 기능이 필요합니다. TDR 솔루션은 사용자 친화적인 콘솔에서 중요한 데이터 및 유용한 위협 인텔리전스에 대한 액세스를 제공하여 위협 헌팅 을 지원해야 합니다.

체크 포인트로 위협 탐지 및 대응 목표 달성

효과적인 위협 탐지 및 대응은 모든 조직의 보안 전략의 핵심입니다. 선도적인 TDR 솔루션을 배포하면 조직은 다음을 수행할 수 있습니다.

공격자 체류 시간 단축: 공격자가 조직의 시스템에 오래 액세스할수록 더 많은 피해를 입힐 수 있습니다. 신속한 위협 탐지는 체류 시간과 인시던트 수정의 복잡성을 줄여줍니다.
인시던트 대응 비용 절감: 조직의 시스템에 대한 확장된 액세스 권한을 가진 공격자는 제거하기가 훨씬 더 어렵고 더 많은 피해를 입힐 수 있습니다. 위협이 빨리 탐지될수록 수정 비용이 낮아집니다.
SOC 운영 최적화: 많은 SOC가 낮은 품질의 데이터로 인해 과부하되어 경고 피로가 발생하고 위협 탐지가 누락됩니다. 효과적인 TDR 솔루션을 통해 SOC는 오탐에 시간을 낭비하는 대신 실제 위협에 노력을 집중할 수 있습니다.
사전 예방적 사이버 보안으로 전환: 위협 헌팅을 통해 조직은 IT 인프라의 침입 징후를 사전에 검색할 수 있습니다. 사이버 보안에 대한 이러한 사전 예방적 접근 방식을 통해 이전에 알려지지 않은 위협을 탐지하고 해결할 수 있습니다.

Check Point Infinity SOC enables organizations to detect threats with unmatched accuracy and optimize remediation with playbook-based, automated response. To see Check Point’s capabilities for yourself, you’re welcome to request a personalized live demonstration.