가가가각 2019.07.05 (5년 이하 전) | 0 추천 | 5개의 답변 기존 백신의 랜섬웨어 차단기능이 EDR 과 차이점이 있나요? 기능이나 차단하는 방식이 다른가요 ? EDR을 굳이 도입해야하는 이유가 있을까요?
5개의 답변이 있습니다.
기존 백신으로 사고가 있지 않았다면 굳이 EDR을 추가 할 필요까지는 없을것 같습니다
백신 교체 이슈가 있다면 EDR 기능이 포함된 백신을 우선 검토할수는 있겠구요
랜섬웨어 대응이 목적이라면 endpoint 백업쪽을 더 신경쓰는것이 우선이라 생각합니다
커뮤니티님이 좋은 답변을 해주셨네요.
직관적으로 이해하기 쉽게 차이점을 바라보면 백신은 이미알려진 감염에 대해 사후 치료관점이고.
EDR은 실시간 감시와 모니터링으로 적극적인 사전대비 관점으로 이해하면 될 것 같습니다.
■EDR(Endpoint Detection and Response)은 엔드포인트 영역에서 지속적인 모니터링과 대응
1) 보안 침해 탐지
2) 보안 침해 조사
3) 엔드포인트 영역에서의 보안 통제
4) 감염 전 상태로의 치료
도입 이유 : - 악성코드는 엔드포인트에서 은닉, 우회 등의 기법을 통해 확산
- 앤드포인트에서 발생하는 위협과 관련된 행위 정보(파일, 레지스트리, 프로세스, 네트워크 등)를
지속적으로 수집하고 분석하여 엔드포인트 위협에 대한 가시성을 확보하여 대응
■백신
1)백신은 엔드포인트 상에서 악성코드를 탐지하여 차단 또는 격리하는 가장 기본적이며 근본적인 보안 솔루션
2) 엔드포이트 로그 수집 등에 제한이 있으먀, 추가적인 대응력 확보에 제약
백신 종류에 따라 차이는 있을 것 같지만...
일반적으로 백신은 이미 알려진 악성 코드 패턴을 기반으로 악성 코드를 찾아내고 치료 하는 형태이죠.
특정 폴더에 미끼 파일을 두고서 랜섬웨어가 그 미끼는 무는 순간에 악성코드로 감지해서 차단 시키는 형태도 많은 것 같고요.
백신과 EDR의 차이를 비교해 본다면...
백신은 이미 밝혀진 패턴 기반으로 작동한다는 걸로 일반화 시켜 볼 수 있을 것 같고...
EDR ( EndPoint Detection & Response ) 은 행동 기반으로 악성 코드를 찾아 내고 대응한다고 일반화 시켜 볼 수 있지 않을까 싶네요.
백인은 이미 밝혀진 악성 코드를 찾고 제거하는 방식,
EDR은 신종 악성 코드라도 나쁜 행위를 하는 악성 코드를 찾아내고 대응하는 방식??
정답이라고 단정하기는 어렵고...
솔루션들에 따라 차이는 있겠지만~
굳이 차이점을 비교해달라면 이 정도로 비교할 수 있지 않을까 하는 생각이 드네요.