EDR 솔루션을 도입하신 기업 실무자분들 혹시 있으신가요??

해커저리가좀

2019.03.06 (약 5년 전) | 1 추천 | 5개의 답변

해외나 국내에서 EDR이 화제인 것 같습니다.

하지만 국내 도입은 예상보다 더디게 도입을 하고 있는 실정이란 기사를 보았습니다.

실무에서 보안을 담당하고 계시는 실무자분들께서 EDR을 어떻게 생각하고 계신지 궁금합니다.
실제로 쓰여지고는 있는지, 그렇다면 어떤 부분이 기존에 비해서 좋거나 나쁘다고 느껴지는지 알고 싶습니다.

경험있으신 실무진분들의 생생한 이야기를 듣고 싶어서 최근에 가입했습니다. 여러모로 많이 배울 수 있는 기회가 되었으면 좋겠습니다.

감사합니다. 모두들 좋은 하루 되세요!! :)

2019-03-06(수) 14:10:12에 작성 되었습니다. 2019-03-06(수) 16:10:44에 수정 되었습니다
본문 내용이 처음 작성된 내용과 다를 수 있습니다.

해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다. 작성된 다른 답변도 확인해 보시기 바랍니다..

5개의 답변이 있습니다.

참치먹자

0 추천 | 약 5년 전

아직 도입하지 않았습니다만, 개인적인 견해를 얘기하자면.....

EDR은 기존 백신이 갖고 있던 패턴기반의 사후조치(치료) 한계에서 벗어나
행위를 감지하고 분석해서 사후조치까지 할 수 있도록 짜여진 능동적 플랫폼이라는데에서
큰 차이를 갖습니다.

간단한 예로, a.exe라는 프로세스가 또다른 어떤 프로세스들을 동작시키고, 어느 레지스트리에 접근하여 어떤 변경행위를 일으키는지, 그리고 이것이 결론적으로 시스템에 어떤 영향을 주는지 분석해서 최종적으로 어떤 대책(치료, 삭제, 격리, 패치 등)을 세울 것인지, 운영자의 의사결정을 돕는데 큰 의의가 있다 할 수 있을 것 같습니다.

중요한 키는, 결국 Detection과 Analysis 일것인데, 얼만큼 고도화된 형태이냐가 문제일듯 합니다.
기업마다 환경이 다르고, 내부에서만 사용하도록 자체개발된 시스템의 경우 해당 프로세스가 악성인지 아닌지를 과연 얼만큼 잘 가려낼지도 의문이긴 합니다.

그렇기 때문에 EDR이 Detection부터 Response까지 알아서 해결해준다는 식으로 생각하면 위험하다고 생각하고, 결론적으로 이를 운영하고 관리할 수 있는 담당자의 판단력이 더욱더 중요해질 것이라고 생각합니다.

두루안

0 추천 | 약 5년 전 | 두루안 | 010-3932-4040

EDR은 "모든 프로세스를 타임라인으로 보는 솔루션" 입니다.
적용하는 경우에 따라 포렌직 솔루션이 될수 있고 DLP 같은 차단 솔루션이 될수 있습니다.

적용하는 룰적용 및 정책이 워낙 다양할수 있기 때문에 고객사 환경에 따라 다르게 적용될수 있어 솔루션 구축이 아닙니다.
업체로써 구축하기 어려운 솔루션입니다.
고객사 입장에서는 단순 솔루션으로 보고 도입하다가 성공적인 솔루션 도입을 하기위해서는 고생을 할수 있는 솔루션 입니다.

EDR 솔루션은 EPP로 시작해서 EDR로 간 솔루션과 EDR에서 EPP로 진화한 솔루션 2개로 나눌수 있습니다.
EPP에서 시작해서 EDR로 진화한 솔루션이 방향성이 좋다 생각합니다.

해커저리가좀 | 약 5년 전

피드백 감사드립니다. 정책에 따라 구축이 어렵다는 말은 들었는데 실제로 들으니 더 와닿는 것 같습니다. EPP라는 거대한 요새같은 보안 플랫폼에 EDR이나 여타 기능들을 추가하면서 점점 견고하게 만드는 방식도 좋다고 생각합니다. 단지 시대의 흐름에 맞추기위해 실제론 EDR기능을 수행하지 못하지만 이름만 달고 출시되어 구분하기 어려워질 수도 있다는 생각을 잠시 해보았습니다:)

wansoo

0 추천 | 약 5년 전

기존 백신이 이미 알려진 바이러스에 대한 패턴을 가지고 바이러스를 찾아내고 치료하는 형태로 새로운 바이러스 및 바이러스가 아닌 랜섬웨어나 APT 공격등에는 취약한 단점이 있겠는데, EDR은 바이러스 뿐만 아니라 End point ( 즉 PC 등의 사용자용 단말기 )에서 일어날 수 있는 모든 위협을 감지하고 차단하겠다는 개념으로 출발한 것이라 생각되네요.
당연히 백신보다는 더큰 부하를 요구하게 될 것이라 생각되고요.
네트워크에서 L3, L4 단에서 정책을 넣어 차단 시키던 방식의 한계를 벗어 나기 위해서 네트워크 상에 있을 수 있는 모든 위협들에 대비하는 기능들을 넣어 UTM 장비가 나온 것과 유사하다는 생각이 들고요.
한가지 기능에 충실한 제품을 사용하냐, 아니면 모든 기능을 두루 두루 갖춘 제품을 사용하냐는 정도의 차이가 아닐까 싶네요..

해커저리가좀 | 약 5년 전

피드백 감사드립니다 :) 저도 공부해가면서 뚜렷한 경계나 차이점이 명확하지 않은 부분이 좀 있는것 같다고 생각했습니다. 혹시 하나더 여쭈어볼 수 있다면, EDR또한 개인적으론 기존 SIEM이나 UEBA와 뚜렷한 차이점을 느끼지 못했습니다. 혹시 이에 대해 생각하시는 바가 있으신지 궁금합니다 :)

wansoo | 약 5년 전

제 개인적인 생각이라 정답과는 거리가 멀 수도 있을 것 같은데요. EDR은 위협에 대한 보호 관점에서 출발한 거라 생각되고, SIEM이나 UEBA는 정보 수집/분석/대비 관점에서 출발한 거라 생각되네요. 그리고, EDR은 End Point 관점이 중심이라 생각되고, SIEM이나 UEBA는 네트워크 관점이 중심이 아닐까 하는 생각이고요. DLP와 DRM이 출발점은 달랐지만 유사한 기능 때문에 서로 경쟁하면서 점차적으로 구분이 모호해 지는 것처럼 EDR, SIEM, UEBA 등도 기능을 추가하고, 서로 경쟁하면서 구분이 모호해 지는게 아닐까 하는 생각이 들고요.

해커저리가좀 | 약 5년 전

추가 답변 감사드립니다. DLP와 DRM의 예시처럼 서로 부족한 기능을 채워가다보면 굳이 구분이 필요하지 않을까 하는 생각이 들기도 합니다. 어쨋든 해커로 인한 피해를 줄이고 보안을 유지하는 것이 궁극적인 목표이니까요 ㅎㅎ 감사합니다!

thyoon

0 추천 | 약 5년 전 | 유투넷 | 010-7745-1874

제가 실무자는 아닌데 해당 분야 영업하고 있습니다.
EDR은 결국 기존 보안제품(네트웍단의 경계선 보안제품 기타 엔드포인트단의 백신)이 공격을 제대로 못 막아내니까 나온 것인데 백신과는 컨셉이 다릅니다.

EDR = Endpoint Detection and Response인데 백신은 들어올 때 막아내는 Prevention 컨셉인데 반해서 EDR은 들어오고 나서 특정한 행위를 할 때 그 행위를 보고 공격을 탐지해서 막아내자는 컨셉입니다.(통상 행위기반)
Endpoint 관제 솔루션이라고도 볼 수 있고요.

다른 제품들은 모르겠으나 제가 하고 있는 외산 C 제품의 경우에는 그렇습니다.

행위기반, 머신런닝, 인공지능, 상관분석 등이 관련 핵심기술이라고 볼 수 있고요.
어떻게 보면 보안 위에 또 보안, 옥상옥의 제품이라고 볼 수도 있는데 개략적인 컨셉은 그렇습니다.

해커저리가좀 | 약 5년 전

영업 하고 계신 선배님 반갑습니다 ㅎ 혹시 쪽지를 통해 여쭈어보고 싶은 것 조금 더 여쭈어 봐도 괜찮을까요??:)

10milesback

0 추천 | 약 5년 전

기존의 엔드포인트 백신과 차별성이 잘 와닿지 않습니다

해커저리가좀 | 약 5년 전

피드백 감사합니다 :):)