이제 많은 조직에 필수적인 하이브리드 및 유연한 작업 모델은 사이버 보안 패러다임을 전환했으며 그 결과 엔드포인트 보안이 그 어느 때보다 강조되었습니다. 장치에는 그 어느 때보다 더 민감한 문서가 저장되고 문서를 통과하며 직원들은 집이나 커피숍 또는 공용 Wi-Fi를 사용하는 호텔 등 어디에서나 방화벽으로 보호된 사무실과 다시 연결되지 않는 범위에서 작업할 수 있습니다. 데이터 센터.
이러한 장치는 더 이상 VPN(가상 사설망)을 통해 사무실과 온프레미스 데이터 센터로 트래픽을 백홀하지 않습니다. 기본값은 종종 장치에서 인터넷으로 직접 연결하는 것인데, 여기서 현재 클라우드 파일 서버 및 SaaS(Software-as-a-Service) 응용 프로그램에 연결하고 있으며 하루 종일 활성화되어 있습니다.
이러한 변화에는 보안 팀이 적응해야 합니다. 이는 엔드포인트의 프로필과 특성을 근본적으로 변화시킵니다. 이러한 장치는 그 어느 때보다 많은 일을 하고 있으며, 끊임없이 새로운 장소에 연결하고, 생산성을 위한 새로운 경로를 찾고 있습니다. 이러한 엔드포인트 장치의 민감한 데이터가 더 많아짐에 따라 이러한 데이터가 예전과 다르다는 것을 인식하고 레거시 방어가 장치를 안전하게 유지하기에 충분하지 않다는 점을 인식하는 것이 중요합니다.
대부분의 조직은 표준 바이러스 백신 도구 위에 추가 솔루션을 구축하여 이러한 변화에 대응했습니다. 여기에는 맬웨어 방지, 명령 및 제어(C2) 비커닝 보호, 엔드포인트의 랜섬웨어 방지(파일 암호화 모니터링 및 발생 시 백업 수행), URL 필터링이 포함될 수 있습니다. 더 성숙한 조직은 엔드포인트 감지 및 대응(EDR) 또는 확장된 감지 및 대응(XDR) 플랫폼으로 엔드포인트 보안을 강화했습니다. 알려진 악성 웹사이트를 식별하기 위해 위협 인텔리전스 피드를 구독합니다. SOAR(보안 오케스트레이션, 자동화 및 대응) 플랫폼에 데이터를 공급하는 방법을 찾았습니다. 또는 이들의 일부 조합.
이러한 향상된 기능은 알려진 위협을 포착하는 조직의 능력을 상당히 향상시킵니다. 다양한 강점과 사용 사례가 있지만 한 가지 공통점이 있습니다. 정교함의 수준에 관계없이 탐지 메커니즘의 기본 철학은 동일합니다. 다음 위협을 차단하기 위해 공격을 찾습니다( 또는 공격의 패턴 및 특징)전에 본 것. 이전에 발생한 위협과 일치하거나 매우 유사한 것을 발견한 경우에만 차단을 시작합니다.
그러나 범죄자들은 기업가처럼 생각합니다. 그들은 목표를 달성하기 위해 창의적인 솔루션을 찾습니다. 사이버 보안에서 이는 이러한 레거시 방어를 피하기 위해 새로운 전술, 기술 및 절차를 채택해야 함을 의미합니다.
결과적으로 과거 공격을 조사하는 보안 도구는 지속적으로 업데이트되고 미세 조정되어야 하며, 수동적이고 인간 집약적인 워크플로를 생성하고 보안 팀이 보다 사전 예방적이고 전략적인 작업에 집중하는 것을 방지해야 합니다. 한편, 이전에는 볼 수 없었던 "알려지지 않은" 또는 "알려지지 않은 알 수 없는" 공격이 이러한 도구를 쉽게 통과합니다. 궁극적으로 최신 공격의 복잡성과 공격자 혁신의 속도로 인해 이 접근 방식을 사용할 수 없습니다.
엔드포인트 보안은 엔드포인트를 이해하는 것에서 시작됩니다
"알 수 없는 미지"로부터 보호하는 방법에 대한 질문은 복잡합니다. 찾고 있는 것이 무엇인지 모를 때 어떻게 중지합니까? 대답은 의외로 간단할 수 있습니다. 과거 공격을 백미러로 보는 것에서 조직을 살펴보고 일반적으로 어떻게 행동하는지 배우는 것으로 전환해야 합니다.
이러한 접근 방식의 변화는 인공 지능(AI)을 사용하여 각각의 모든 엔드포인트 장치의 고유한 동작과 특성을 학습하는 것을 수반합니다. 이를 통해 사이버 위협을 나타내는 정상에서 미묘한 편차를 감지할 수 있을 뿐만 아니라 장치의 정상적인 동작을 적용하여 악의적인 활동을 중지하는 표적 대응도 가능합니다.
이는 조치가 "차단" 또는 "허용"으로 제한되어 있는 대부분의 엔드포인트 도구에 대한 바이너리 의사 결정에서 상당한 진전을 의미하며, 이는 장치를 격리하고 합법적인 비즈니스를 방해하는 지나치게 공격적인 조치로 이어질 수 있습니다.
대신 이 접근 방식은 특히 악의적인 활동을 대상으로 하고 위협을 외과적으로 제거할 수 있습니다. 이를 통해 이 기술은 VPN 서비스와 함께 작동할 수 있습니다. 장치를 격리하고 위협 행위자와의 통신을 중지하는 동시에 VPN 액세스를 유지하고 보안 담당자가 감염된 장치를 원격으로 제어할 수 있습니다.
전사적 컨텍스트를 엔드포인트로 가져오기
엔드포인트 활동이 클라우드 애플리케이션 및 이메일 시스템의 활동과 보다 밀접하게 얽혀 있기 때문에 단일 AI 엔진을 사용하여 기업의 여러 부분에 대한 가시성을 확보하면 개별 부분의 합보다 더 큰 결과를 얻을 수 있습니다.
예를 들어 하나의 표적 피싱 이메일로 시작하는 랜섬웨어 공격을 생각해 보십시오. 원격 작업자가 악성 링크를 클릭하면 브라우저 다운로드를 시작하는 웹 사이트로 이동합니다. 그런 다음 그들의 장치는 맬웨어에 감염되고 클라우드 서버에 대량의 데이터를 업로드하기 전에 공격자의 인프라와 C2 통신을 시작합니다.
이메일, 엔드포인트, 클라우드 및 네트워크 데이터에 대한 통합된 적용 범위를 통해서만 이 침입의 각 단계에서 비정상적인 일이 진행되고 있는지 판단할 수 있으며, 인적 보안 팀을 위한 사건의 우선 순위를 지정하거나 각 단계에서 자동으로 대응하여 공격자를 제 위치에 기절시킬 수 있습니다. .
엔드포인트가 변경되었으므로 보안도 변경되어야 합니다.
우리는 데이터가 기기, 클라우드 시스템, 인터넷 사이에서 보다 자유롭게 흐르는 시대에 살고 있습니다. 더 민감한 데이터는 장치에 직접 존재합니다. 이러한 장치는 하루 중 더 많은 시간 동안 활성 상태입니다. 한편 공격자는 이러한 장치의 데이터에 액세스하기 위한 새로운 도구와 기술로 계속 혁신하고 있습니다.
강력한 엔드포인트 보안이란 이러한 장치에 대한 가시성을 유지하는 것을 의미하지만, 특성에 관계없이 새로운 위협을 조명할 수 있는 능력도 수반합니다. 엔드포인트 활동에 전사적 컨텍스트를 가져옵니다. 생산성을 유지하면서 오늘날의 역동적인 노동력을 안전하게 유지하면서 시기적절하고 표적화된 방식으로 대응합니다.
