[4주차] SOC 지능형 엔드포인트 보호
학습목표: Cortex XDR이 멀웨어 및 공격으로부터 엔드포인트를 보호하는 방법을 설명한다.
[4-1] 지능형 엔드포인트 보호
엔드포인트 보호(Cortex XDR)
공격자 전략은 단순한 멀웨어 배포에서 전통적인 엔드포인트 보호를 우회할 수 있는, 광범위한 자동화되고 표적화되며 정교한 공격으로 발전했다. 이러한 진화로 인해 조직은 이러한 위협에 대해 보호, 탐지 및 대응하기 위해 서로 다른 공급업체의 여러 제품을 배포해야 했다. Cortex XDR은 단일 에이전트에서 엔드포인트 탐지 및 응답(EDR)과 함께 강력한 엔드포인트 보호 기능을 제공한다. 공격의 모든 요소를 이해하고 차단함으로써, 모든 기존 바이러스 백신 에이전트를 가장 진보된 공격자로부터 엔드포인트를 보호하는 하나의 경량 에이전트로 대체할 수 있다.
공격이 더 정교해지고 복잡해졌지만 여전히 기본 빌딩 블록을 사용하여 엔드포인트를 손상시킨다. 기본 공격 방법은 알려진 애플리케이션 및 알려지지 않은 애플리케이션 취약점을 계속해서 이용할 뿐만 아니라, 랜섬웨어를 포함한 악성 파일을 배포한다. 이러한 공격 방법은 개별적으로 또는 다양한 조합으로 사용할 수 있지만 본질적으로 다르다.
① 공격은 운영 체제 또는 애플리케이션의 코드의 취약성을 통해 액세스하도록 설계된 시스템에 대해 사용된 기술의 결과다.
② 멀웨어는 공격자가 원하는 거의 모든 행동을 감염, 탐색, 도용 또는 수행하는 파일 또는 코드다.
③ 랜섬웨어는 몸값을 위해 가치 있는 파일, 데이터 또는 정보를 보유하는 멀웨어의 한 형태로, 종종 데이터를 암호화하여 공격자가 암호 해독 키를 보유한다.
악성코드와 익스플로잇 사이의 근본적인 차이 때문에 효과적인 예방책은 이 두 가지 모두로부터 보호되어야 한다. Cortex XDR 에이전트는 운영 체제, 엔드포인트의 온라인 또는 오프라인 상태, 엔드포인트가 조직의 네트워크 또는 로밍에 연결되어 있는지 여부에 관계없이, 공격 라이프사이클 내의 중요한 단계에서 여러 가지 예방책을 결합하여 악성 프로그램의 실행을 중지하고, 합법적인 애플리케이션의 악용을 중지한다.
멀웨어 및 랜섬웨어 방지
Cortex XDR 에이전트는 전통적인 공격과 현대적인 공격 모두를 방지하기 위해 맞춤화된 접근 방식으로 악성 파일의 실행을 방지한다. 또한, 관리자는 주기적인 검색을 사용하여 휴면 위협을 식별하고 규제 요구 사항을 준수하며, 엔드포인트 컨텍스트로 사고 대응을 가속화할 수 있다. Cortex XDR 에이전트는 또한 매크로, 실행 파일 및 DLL이 있는 악성 Office 파일의 휴면 악성 프로그램에 대해 예정된 또는 주문형 검색을 수행하여 악성 파일이 열리지 않고 이를 해결한다. 랜섬웨어를 포함하여 알려진 멀웨어와 알려지지 않은 멀웨어는 여러 가지 예방 기술의 적용을 받는다.
이러한 Cortex XDR은 여러 기술과 기술을 활용하여 알려진 멀웨어 및 알려지지 않은 멀웨어로부터 엔드포인트를 보호한다.
WildFire 위협 인텔리전스
Cortex XDR은 타사 피드 외에도 팔로알토 네트웍스 WildFire 멀웨어 방지 서비스의 수만 명의 가입자로부터 얻은 인텔리전스를 사용하여 위협 데이터를 지속적으로 집계하고, 엔드포인트, 네트워크 및 클라우드 애플리케이션 전반에 걸쳐 모든 사용자의 집단 면역을 유지한다.
① 파일이 실행되기 전에 Cortex XDR 에이전트는 WildFire가 글로벌 위협 커뮤니티 내에서 존재하는지 평가하기 위해 Windows, macOS 또는 Linux 실행 파일의 해시와 DLL(Dynamic Link Library) 또는 Office 매크로를 쿼리한다. WildFire는 파일이 악성인지 양성인지에 대한 거의 순간적인 평결을 반환한다.
② 파일을 알 수 없는 경우, Cortex XDR 에이전트는 차단해야 할 위협인지 여부를 판단하기 위해 추가 방지 기술을 진행한다.
③ 파일이 악의적인 것으로 간주되면, Cortex XDR 에이전트는 자동으로 프로세스를 종료하고, (선택적으로) 파일을 검역한다.
로컬 분석 및 머신 러닝
최초 해시 검색 후에도 파일을 알 수 없는 경우 Cortex XDR 에이전트는 엔드포인트에서 머신 러닝을 통한 로컬 분석을 사용하여, WildFire를 포함한 글로벌 소스의 풍부한 위협 인텔리전스에 의해 학습된 파일이 실행될 수 있는지 여부를 결정한다. 로컬 분석은 실시간으로 수천 개의 파일 특성을 검사하여, 서명, 스캔 또는 행동 분석에 의존하지 않고 파일이 악의적인지 양성인지 여부를 결정할 수 있다. 이 모델은 고유한 민첩한 프레임워크를 기반으로 구축되어 있으며, 지속적인 업데이트를 통해 최신 로컬 예방 기능을 항상 사용할 수 있도록 보장한다.
행동 위협 보호
악의적인 작업을 위해 여러 개의 합법적인 애플리케이션과 프로세스를 사용하는 정교한 공격은 점점 더 보편화되고 탐지하기 어려우며, 악의적인 행동을 연관시키기 위해 더 깊은 가시성을 요구한다. 합법적인 프로세스 내에서 발생하는 악의적인 활동을 식별하는 것을 포함하여, 행동 기반 보호가 효과적이기 위해서는 엔드포인트에서 발생하는 모든 것을 이해하는 것이 중요하다. Cortex XDR 에이전트는 몇 가지 다른 방법으로 행동 기반 보호를 제정한다.
엔드포인트 공격은 종종 시스템에서 발생하는 여러 이벤트로 구성된다. 공격자가 목표를 달성하기 위해 합법적인 애플리케이션과 운영 체제 기능을 사용하기 때문에 그 자체로 각 이벤트는 양호한 것으로 나타난다. 그러나 함께 연결하면 악의적인 이벤트 흐름을 나타낼 수 있다. 행동 위협 보호 기능을 사용하여 Cortex XDR 에이전트는 네트워크, 프로세스, 파일 및 레지스트리 활동과 같은 엔드포인트의 여러 작업을 대상으로 하는 악의적인 이벤트 체인을 탐지하고, 이에 대해 조치를 취할 수 있다. Cortex XDR 에이전트가 일치하는 항목을 탐지하면, "차단" 또는 "경보"와 같은 정책 기반 작업을 실행한다. 또한, 콘솔까지 전체 이벤트 체인의 행동을 보고하고 활동 체인을 일으킨 행위자를 식별한다. Cortex XDR 에이전트는 악의적인 흐름에 관련된 파일도 검역할 수 있다. 행동 위협 보호는 스크립트 기반 및 파일 없는 공격으로부터 보호하는 데 이상적이라 할 수 있는 것이다.
세분화된 하위 프로세스 보호 모듈은 전통적인 보안 접근 방식을 우회하는 데 일반적으로 사용되는 알려진 표적 프로세스가 하위 프로세스를 시작하는 것을 차단하여, 멀웨어를 전달하는 데 사용되는 스크립트 기반 공격을 방지한다. Cortex XDR 에이전트는 스크립트 엔진 및 명령 셸과 같은 합법적인 애플리케이션 시작에 대한 세부적인 제어로 스크립트 기반 및 파일 없는 공격을 기본적으로 방지하며, 정기적인 콘텐츠 업데이트를 통해 이러한 제어를 계속 확장한다. 관리자는 명령줄 비교와 함께 하위 프로세스를 화이트리스트 또는 블랙리스트로 지정하여, 프로세스 성능에 부정적인 영향을 미치거나 프로세스를 종료하지 않고 탐지를 늘릴 수 있는 추가적인 유연성과 제어 기능을 갖추고 있다.
행동 기반 랜섬웨어 보호 모듈은 데이터 손실이 발생하기 전에 랜섬웨어 활동을 분석하고 중지함으로써, 랜섬웨어와 관련된 암호화 기반 행동으로부터 보호한다. 이러한 공격을 방지하기 위해 Cortex XDR은 데코이 파일을 사용하여 랜섬웨어를 유인한다. 랜섬웨어가 decoy 파일에 쓰기, 이름 변경, 이동, 삭제 또는 암호화를 시도하면, Cortex XDR 에이전트는 행동을 분석하여 랜섬웨어가 파일을 암호화하고 인질로 잡지 못하도록 한다. 방지 모드로 작동하도록 구성되면, Cortex XDR 에이전트는 데코이 파일을 조작하려는 프로세스를 차단한다. 이 모듈을 알림 모드로 구성하면, 에이전트는 보안 이벤트를 기록한다.
WildFire 점검 및 분석
로컬 분석 외에도 Cortex XDR은 알려지지 않은 파일을 WildFire로 보내 검색 및 심층 분석을 통해 잠재적으로 알려지지 않은 멀웨어를 신속하게 탐지할 수 있다. WildFire는 기존 접근 방식을 뛰어넘는 고성능 및 회피 방지 검색을 위한 독립적인 탐지 기술의 이점을 결합했다. 이러한 기술 중에는 다음이 있다.
① 정적 분석은 클라우드를 기반으로 실행 전 샘플의 특성을 분석하여 알려진 위협을 탐지하는 강력한 분석 형태다.
② 동적 분석(샌드박스)은 맞춤형으로 제작된 회피 방지 가상 환경에서 이전에 알려지지 않은 제출물을 폭발시켜 실제 효과와 행동을 결정한다.
③ 베어메탈 분석은 고도의 회피 특성을 보이며 가상 분석을 탐지할 수 있는 고급 위협을 위해 특별히 설계된 하드웨어 기반 분석 환경을 사용한다.
WildFire가 파일을 위협으로 판단할 경우, Cortex XDR 에이전트 및 다른 팔로알토 네트웍스 제품과 몇 분 만에 새로운 방지 컨트롤을 생성하고 공유하여, 위협이 즉시 악성으로 분류되고 다시 발생할 경우 차단되도록 한다.
공격 및 파일 없는 위협 차단
Cortex XDR 에이전트는 공격 기반 공격을 식별하기 위해 서명이나 행동 기반 탐지에 의존하는 대신, 제한된 기술이나 도구를 대상으로 하는 고유한 접근 방식을 취하며, 소프트웨어 취약성을 조작하기 위해 모든 공격 기반 공격을 사용해야 한다. Cortex XDR 에이전트는 이러한 기술의 사용을 방지함으로써 각 개별 공격을 식별하는 대신, 여러 가지 방법을 사용하여 패치되지 않은 시스템, 쉐도우 IT(또는 IT가 인식하지 못하는 애플리케이션) 및 지원되지 않는 레거시 시스템을 보호한다.
사전 익스플로잇 방지
Cortex XDR 에이전트는 공격을 시작하기 전에 키트가 사용하는 취약점 프로파일링 기술을 이용하는 것을 방지한다. 이러한 기술을 차단함으로써, 에이전트는 공격자가 취약한 엔드포인트와 애플리케이션을 대상으로 하는 것을 방지하여 공격이 시작되기 전에 효과적으로 중단시킨다.
기술 기반의 익스플로잇 방지
Cortex XDR 에이전트는 공격자가 애플리케이션을 조작하는 데 사용하는 착취 기술을 차단하여 알려진, 제로데이 및 패치되지 않은 취약성을 방지한다. 수천 개의 익스플로잇이 있지만 일반적으로 드물게 변경되는 작은 익스플로잇 기술 세트에 의존한다. 이러한 익스플로잇을 차단함으로써 Cortex XDR은 엔드포인트가 손상되기 전에 악용 시도를 방지한다.
커널 익스플로잇 방지
Cortex XDR 에이전트는 운영 체제 커널의 취약성을 사용하여 시스템 수준의 권한이 확장된 프로세스를 생성하는 익스플로잇을 방지한다. 또한, 2017 워너크라이 및 낫페트야 공격에서 볼 수 있는 것과 같은 악성 페이로드를 실행하는 데 사용되는 새로운 익스플로잇 기술로부터 보호한다. 프로세스가 커널에서 주입된 악성 코드에 액세스하는 것을 차단함으로써, Cortex XDR 에이전트는 합법적인 프로세스에 영향을 미치지 않고, 공격 라이프사이클 초기에 공격을 중단할 수 있다. 이 기능을 통해 에이전트는 운영 체제 자체를 대상으로 하거나, 운영 체제 자체에서 발생하는 고급 공격을 차단할 수 있다.
Cortex XDR 에이전트는 익스플로잇 기반 공격에 일반적인 기술을 차단함으로써 고객이 다음을 수행할 수 있도록 한다.
① 패치가 적용되지 않는 애플리케이션을 보호하고 IT 애플리케이션을 쉐도잉한다. Cortex XDR 에이전트를 사용하면, 사내에서 개발하거나 더 이상 업데이트나 보안 지원을 받지 않거나, IT 인식 없이 환경에서 실행하는 애플리케이션을 포함한 모든 애플리케이션을 공격 기반 공격의 위협에 네트워크를 열지 않고도 실행할 수 있다.
② 제로데이 익스플로잇을 성공적으로 방지한다. Cortex XDR 에이전트는 제로데이 익스플로잇이 일반적으로 사용하는 제한된 일련의 익스플로잇 기법을 차단하기 때문에 제로데이 익스플로잇을 이용하는 공격으로부터 조직을 보호한다.
③ 애플리케이션을 긴급하게 패치할 필요가 없다. Cortex XDR 에이전트를 사용하는 조직은 비즈니스에 가장 적합할 때와 충분한 테스트를 거친 후에 보안 패치를 적용할 수 있다. 조직이 애플리케이션 공급업체에서 발행한 보안 패치를 적용하는 시기에 관계없이 애플리케이션 취약점이 익스플로잇되는 것을 방지한다.
자격 증명 도난 방지
공격자는 자격 증명을 도용하여 유효한 사용자를 사칭하고, 대상 조직의 네트워크를 통해 중단 없이 이동하며 귀중한 데이터를 찾아 유출한다. Cortex XDR 에이전트는 미미카츠와 같은 자격 증명 도용 도구가 시스템 암호에 액세스하는 것을 방지하여, 공격자와 악의적인 내부자가 자격 증명을 남용하거나 권한을 증가시키지 않도록 한다. 추가적인 자격 증명 도용 보호를 위해 Cortex XDR은 엔드포인트 이벤트를 수집하고, 행동을 프로파일링하고, 자격 증명 기반 공격을 탐지하여 찾기 어려운 공격을 제거할 수 있다.
공격에 대한 조사 및 대응
보다 신속한 조사와 대응을 용이하게 하기 위해 Cortex XDR은 관리자와 사고 대응 팀에 조사를 더 진행하고 필요한 정보를 수집하며, 해당 엔드포인트에 필요한 변경을 수행할 수 있는 다양한 수단을 제공한다.
경고 또는 조사 후 엔드포인트에 업데이트를 적용해야 하는 경우, 관리자는 다음 작업을 수행할 수 있다.
① 손상된 엔드포인트에서 Cortex XDR 관리 콘솔에 대한 트래픽을 제외한 모든 네트워크 액세스를 비활성화하여, 엔드포인트가 다른 엔드포인트와 통신하거나 감염될 수 없도록 하여 엔드포인트를 격리한다.
② 프로세스를 종료하여 실행 중인 멀웨어가 엔드포인트에서 악의적인 작업을 계속하는 것을 방지한다.
③ 지정된 파일을 정책에 블랙리스트로 만들어서 추가 실행을 차단한다.
④ Cortex XDR 에이전트가 아직 파일을 검역하지 않은 경우, 악의적인 파일을 검역하여 작업 디렉토리에서 제거한다.
⑤ 추가 분석을 위해 조사 중인 엔드포인트에서 특정 파일을 검색한다.
⑥ Live Terminal을 사용하여 엔드포인트에 직접 액세스하여 파이썬, 파워쉘 또는 시스템 명령 또는 스크립트를 실행하는 가장 유연한 응답 작업을 수행하고, 활성 프로세스를 검토 및 관리하며, 파일을 보거나 삭제하거나 이동하거나 다운로드할 수 있다.
⑦ 타사 도구가 시행 정책을 적용하고 모든 위치에서 에이전트 정보를 수집할 수 있는 개방형 API를 사용하여 응답을 조정한다.
윈도우 환경을 넘어 예방 기능 확장
주요 운영 체제 공급업체들 사이에서 네이티브 보안이 강화되었지만, 이러한 보안은 여전히 자체 OS에 집중되어 파편화된 보호, 정책, 시행 및 가시성을 만들어낸다. 조직은 기본부터 고급까지 다양한 위협으로부터 보호할 뿐만 아니라, 혼합된 환경에서 한 화면에서 보안 규칙을 적용할 수 있어야 한다.
조직은 Cortex XDR 콘솔을 통해 윈도우, 맥, 리눅스 및 안드로이드 엔드포인트에서 기본 및 사용자 지정 보안 정책을 제어할 수 있으며, 여러 가지 보호 방법을 통해 시스템을 공격으로부터 안전하게 보호할 수 있다.
macOS용 Cortex XDR
Cortex XDR은 단순히 "체크박스" 보안 이상의 기능으로 멀웨어와 공격으로부터 macOS 시스템을 보호한다. Cortex XDR 에이전트는 멀웨어를 차단하기 위해 로컬 분석, WildFire 검사 및 분석, 게이트키퍼 기능 향상, 신뢰할 수 있는 게시자 식별 및 관리자 우선 정책과 같은 여러 가지 방법을 사용한다. 익스플로잇을 방지하기 위해 에이전트는 JIT 및 ROP뿐만 아니라 dylib 하이재킹을 포함한 커널 권한 상승 및 익스플로잇 기술을 차단한다.
Cortex XDR 에이전트는 공격자가 macOS 디지털 서명 확인 메커니즘인 게이트키퍼를 우회하는 것을 방지한다. 이 메커니즘은 애플 시스템, 맥 앱 스토어 및 디벨로퍼의 세 가지 서명 수준으로 순위가 매겨진 디지털 서명을 기반으로 애플리케이션의 실행을 허용하거나 차단한다. 게이트키퍼 기능을 확장하여 고객이 모든 하위 프로세스를 차단할지 또는 상위 프로세스와 일치하거나 초과하는 서명 수준을 가진 프로세스만 허용할지 지정할 수 있다.
안드로이드용 Cortex XDR
Cortex XDR 에이전트는 알려진 멀웨어 및 알려지지 않은 Android Package Kit(APK) 파일이 안드로이드 엔드포인트에서 실행되는 것을 방지한다. Cortex XDR 콘솔에 정의된 대로 조직의 보안 정책을 적용하는 것이다. 보안 정책은 알려진 멀웨어 및 알려지지 않은 파일을 차단할지, 심층 검사 및 분석을 위해 알려지지 않은 파일을 업로드할지, 멀웨어를 그레이웨어로 취급할지, 로컬 분석을 수행하여 알려지지 않은 파일이 멀웨어일 가능성을 결정할지 여부를 결정한다. 또한 신뢰할 수 있는 서명자를 화이트리스트에 지정하여 Cortex XDR 에이전트가 앱에 대한 공식 평결을 받기 전에 알려지지 않은 서명된 앱을 실행할 수 있다.
리눅스용 Cortex XDR
Cortex XDR 에이전트는 공격자가 악의적인 ELF 파일을 실행하거나 알려진 또는 알려지지 않은 리눅스 취약점을 이용하여 엔드포인트를 손상시키는 것을 방지하여 리눅스 서버를 보호한다. 에이전트는 또한 리눅스 컨테이너에서 실행되는 프로세스로 보호를 확장한다. Cortex XDR 에이전트는 Cortex XDR 콘솔에 정의된 대로 조직의 보안 정책을 적용한다. 리눅스 서버에서 보안 이벤트가 발생하면, 포렌식 정보를 수집하여 사건을 추가로 분석할 수 있다. 리눅스의 Cortex XDR 에이전트는 백그라운드에서 시스템 프로세스로 투명하게 작동한다. 리눅스 서버에 설치하면, 컨테이너가 배포 및 관리되는 방식에 관계없이 컨테이너화된 새 프로세스 또는 기존 프로세스를 자동으로 보호한다.
안전한 USB 액세스를 위한 장치 제어
USB 장치는 다양한 이점을 제공하지만 위험도 수반한다. 사용자가 무의식적으로 멀웨어가 탑재된 플래시 드라이브를 컴퓨터에 연결하거나 기밀 데이터를 백업 디스크 드라이브에 복사하면, 조직이 공격 및 데이터 손실에 노출된다. 고급 공격자는 키보드와 웹캠과 같은 해롭지 않아 보이는 USB 장치도 멀웨어에 감염시킬 수 있다. 그리고 Cortex XDR에 포함된 강력한 장치 제어 모듈을 사용하면, 모든 호스트에 다른 엔드포인트 에이전트를 설치할 필요 없이 USB 액세스를 모니터링하고 보안을 유지할 수 있다. Active Directory 그룹 및 조직 단위에 따라 정책을 할당하고 장치 유형별로 사용을 제한하며, 공급업체, 제품 및 일련 번호별로 읽기 전용 또는 읽기 및 쓰기 정책 예외를 할당할 수 있다. 또한, 장치 제어 모듈을 사용하면 USB 액세스를 쉽게 관리할 수 있으며, USB 기반 위협을 완화했다는 안심을 얻을 수 있을 것이다.
간단한 엔드포인트 보안 관리
직관적인 웹 기반 사용자 인터페이스를 갖춘 Cortex XDR은 관리자가 복잡한 환경의 제어 및 사용자 지정 요구를 희생하지 않고, 즉시 사용 가능한 기능을 통해 조직을 신속하게 조정하고 보호할 수 있도록 지원한다.
클라우드 기반 관리
클라우드 기반의 멀티 영역 Cortex XDR 서비스를 사용하면 글로벌 보안 인프라 구축에 투자하지 않고 팔로알토 네트웍스 제품군과 연계하여 추가적인 통합 및 가치를 창출할 수 있다. 이 서비스는 배포가 간단하고 시작할 서버 라이센스, 데이터베이스 또는 기타 인프라가 필요하지 않으므로, 조직은 추가 운영 비용 없이 수억 또는 수백만 개의 엔드포인트를 보호할 수 있다.
직관적인 인터페이스
Cortex XDR은 정책 및 이벤트를 쉽게 관리할 수 있을 뿐만 아니라, 사고 대응을 가속화하는 인터페이스를 통해 보안 팀의 증가하는 책임을 해결하도록 설계되었다. Cortex XDR은 엔드포인트 정책 관리, 탐지, 조사 및 대응을 하나의 웹 기반 관리 콘솔에 결합하여 원활한 플랫폼 경험을 제공한다. 그리고 사용자 정의 가능한 대시보드를 통해 보안 상태를 빠르게 평가하고 주문형으로 예약하거나 생성할 수 있는 그래픽 보고서로 사고 및 보안 추세를 요약할 수 있다. 또한, 중앙 위치에서 Cortex XDR 에이전트를 쉽게 배포하고 업그레이드할 수 있다.
그 요소는 다음을 포함한다.
① 정적 그룹 또는 동적 그룹을 포함한 여러 그룹화 방법이 있다. 동적 그룹화는 부분 호스트 이름 또는 별칭, 전체 또는 부분 도메인 또는 작업 그룹 이름, IP 주소, 범위 또는 서브넷, 설치 유형(ex. VDI), 에이전트 버전, 엔드포인트 유형 또는 운영 체제 버전 등과 같은 엔드포인트 특성을 기반으로 할 수 있다.
② 보안 프로파일 및 단순화된 규칙 기반 정책을 통해 엔드포인트를 즉시 보호하는 동시에, 민감한 부서나 개인에 대한 세분화된 사용자 정의를 지원하고, 다양한 엔드포인트 그룹에서 설정을 쉽게 재사용할 수 있다.
③ 사건 관리를 통해 우선 순위가 높은 이벤트를 식별하고 팀이 상태, 진행 상황 및 기타 유용한 정보에 대해 의사 소통할 수 있다. 통합 WildFire 분석은 해시 값, 대상 사용자, 애플리케이션, 프로세스 및 인시던트 대응을 위한 배달 또는 전화 집 활동에 관련된 URL과 같은 정보를 표시한다.
연결된 플랫폼의 이점
Cortex XDR 에이전트는 팔로알토 네트웍스 제품군과 긴밀하게 통합되어 위협 정보 및 데이터를 WildFire와 지속적으로 교환하고, 클라우드 기반 데이터 수집, 저장 및 분석 서비스인 Cortex Data Lake와 엔드포인트 사고 및 이벤트 로그를 교환하여, 엔드포인트, 네트워크 및 클라우드를 포함한 전체 보안 에코시스템에서 시행을 조정하고 자동화할 수 있도록 지원한다.
신속한 조사 및 대응을 위한 네이티브 통합
Cortex XDR 에이전트로부터 수집된 데이터는 Cortex Data Lake에 저장되며, 이는 분석, 탐지 및 응답에 필요한 대용량 데이터를 처리할 수 있도록 확장되는 효율적인 로그 스토리지를 제공한다. Cortex XDR 및 Cortex Data Lake를 빠르게 배포하여 새로운 장비를 설치하는 데 시간이 걸리는 과정을 피할 수 있을 것이다.
Cortex XDR은 사내 로그 스토리지와 추가적인 센서 및 적용 지점을 제거함으로써 총 소유 비용을 평균 44% 절감할 수 있다. Cortex XDR은 또한 공격을 자동으로 감지하고 조사를 가속화함으로써 보안 운영 팀의 생산성을 향상시킨다.
Cortex XDR은 복잡한 공격을 막기 위해 엔드포인트, 클라우드 및 네트워크 앱을 기본적으로 통합하여 사일로를 파괴하는 세계 최초의 탐지 및 대응 앱이다. Cortex는 팔로알토 네트웍스의 차세대 방화벽, 프리즈마 액세스 및 Cortex XDR 에이전트의 데이터와 타사 경고 및 로그를 지원한다. 그리고 근본 원인을 포함한 공격에 대한 완전한 그림을 제공하고 조사를 단순화하기 위해 이벤트 시퀀스를 함께 꿰매어 경고 분류 및 사고 대응 속도를 높인다. 또한, 지능형 경고 그룹화 및 중복 제거는 검토할 개별 경고 수를 98% 줄여 경고 피로를 완화한다.
Cortex XDR은 분류에서 위협 사냥에 이르기까지 보안 작업의 모든 단계에서 필요한 시간과 경험을 줄여준다. Cortex XDR 에이전트와 같은 시행 지점과의 긴밀한 통합을 통해 위협을 신속하게 탐지하고 포함하며, 얻은 지식을 적용하여 보안을 지속적으로 향상시킬 수 있다.
조정 집행
팔로알토 네트웍스 제품의 통합 제품군은 격리된 구성 요소보다 더 높은 보안 가치를 제공한다. 차세대 방화벽에서 새로운 멀웨어가 발견되거나 엔드포인트에서 새로운 위협이 발견될 때마다 몇 분 만에 Cortex XDR 에이전트를 실행하는 다른 모든 차세대 방화벽 및 엔드포인트에서 보호 기능을 사용할 수 있으므로, 오전 1시나 오후 3시에 발생하든 관리 작업이 필요하지 않다. 그리고 네트워크, 엔드포인트 및 클라우드 간의 긴밀한 통합을 통해 지속적으로 향상된 보안 상태를 유지하고 제로 데이 공격으로부터 사용자를 보호할 수 있는 조정된 적용 기능을 제공한다.
플랫폼 전반에 걸친 중앙 집중식 로깅
조직은 회피 위협을 표면화하고 공격을 방지하기 위해 사용 가능한 모든 데이터에 대한 탐지 및 대응뿐만 아니라, 고급 분석을 수행할 수 있어야 한다. 이러한 분석을 수행하는 보안 애플리케이션은 확장 가능한 스토리지 용량 및 처리 능력에 액세스해야 한다.
Cortex Data Lake는 차세대 방화벽, 프리즈마 액세스 및 Cortex XDR 에이전트를 포함하여 팔로알토 네트웍스 보안 제품이 생성하는 컨텍스트가 풍부하고 향상된 네트워크 및 엔드포인트 로그를 위한 클라우드 기반 스토리지 제품이다. Cortex Data Lake의 클라우드 기반 특성을 통해 로컬 컴퓨팅 및 스토리지를 계획할 필요 없이 계속 확장되는 볼륨의 데이터를 수집할 수 있다.
Cortex XDR은 Cortex Data Lake를 사용하여 캡처한 모든 이벤트 및 사고 데이터를 저장하여 AutoFocus 컨텍스트 위협 인텔리전스와 같은 다른 팔로알토 네트웍스 제품 및 서비스를 제공하여, 엔드포인트 컨텍스트를 통한 추가 조사 및 사고 대응을 보장한다.
Cortex XDR 기술 아키텍처
Cortex XDR의 아키텍처는 수백만 개의 엔드포인트를 관리할 수 있는 최대 가용성, 유연성 및 확장성에 최적화되어 있다. 이는 다음과 같은 구성 요소로 구성된다.
① Cortex XDR 엔드포인트 에이전트
엔드포인트 에이전트는 다양한 드라이버와 서비스로 구성되어 있지만, 중단 없는 사용자 환경을 보장하기 위해 최소한의 메모리와 CPU 사용량(512MB의 RAM 및 200MB의 디스크 공간)만 사용하면 된다. 엔드포인트에 배포된 후 관리자는 Cortex XDR 콘솔을 통해 사용자 환경의 모든 Cortex XDR 에이전트를 완벽하게 제어할 수 있다.
② Cortex XDR 관리 콘솔
Cortex XDR은 엔드포인트 보호와 관련된 운영 문제를 최소화하도록 설계된 클라우드 기반 애플리케이션이다. 웹 기반 Cortex XDR 콘솔에서 엔드포인트 보안 정책을 관리하고, 보안 이벤트가 발생할 때 이를 검토하며, 위협 정보를 식별하고 관련 로그를 추가로 분석할 수 있다.
③ WildFire 멀웨어 방지 서비스
Cortex XDR은 알려지지 않은 멀웨어를 WildFire로 보낼 수 있다. WildFire는 샘플이 WildFire 샌드박스에서 분석 및 실행하는 동안 표시하는 속성, 행동 및 활동을 기반으로 샘플에 대한 판결을 결정한다. 그러면 WildFire는 시그니처를 생성하고 5분마다 이를 전 세계적으로 사용할 수 있도록 하여, 다른 팔로알토 네트웍스 제품이 새로 발견된 멀웨어를 인식할 수 있도록 한다.
④ 코텍스 데이터 레이크
Cortex Data Lake는 차세대 방화벽, 프리즈마 액세스 및 Cortex XDR 에이전트를 포함한 팔로알토 네트웍스 보안 제품에서 생성된 컨텍스트가 풍부한 로그를 저장하는 확장 가능한 클라우드 기반 로그 저장소다. Cortex Data Lake의 클라우드 기반 특성을 통해 로컬 컴퓨팅 및 스토리지를 계획할 필요 없이, 계속 확장되는 볼륨의 데이터를 수집할 수 있다.
⑤ 제한된 네트워크를 위한 온프레미스 브로커
온프레미스 브로커 서비스는 코텍스 XDR 에이전트를 인터넷에 직접 연결할 수 없는 기기로 확장환다. 이제 에이전트는 인터넷에 직접 접속할 필요 없이 코텍스 XDR 관리 서비스의 통신 프록시로 브로커 서비스를 사용하고, 최신 보안 콘솔을 받아 Cortex Data Lake와 WildFire로 콘텐츠를 보낼 수 있다.
[4-2] 디스커버리: OS 하드닝
특정 시스템 강화
모든 컴퓨팅 시스템에 채택해야 하는 중요한 보안 태세는 시스템을 '강화'하는 것이다. 이 작업은 먼저 시스템이 수행해야 하는 필수 애플리케이션과 서비스 아키텍처를 분석한 다음, 가능한 한 많은 다른 애플리케이션과 서비스를 제거함으로써 수행된다. 기업 환경에서 OS 이미지는 종종 제한된 애플리케이션 설치 또는 특별히 라이센스가 부여된 버전의 소프트웨어로 정의되고, 다른 모든 서비스와 리소스는 제거된다.
디바이스가 하드닝되면 이제는 디바이스를 '베스천 호스트'라고 부른다. 디바이스가 베스천 호스트 상태에 도달했을 때 이미지화하거나 백업해야 한다. 해당 백업 이미지는 기본 복원 지점이 될 것이며, 복제하기에도 적합한 후보가 될 것이다. 제거되거나 하드닝된 운영 환경은 성능 데이터의 기준을 설정하고 캡처하는 데에도 좋은 출발점이 될 것이다.
그런데 여기서 어려운 작업이 있다. 각 서비스 아키텍처와 각 디바이스 유형(OS, 하드웨어 플랫폼 등)에 따라 다른 하드닝 기술이 필요하다는 점이다. 하드닝 과정을 정확하게 정의하려면 특정 시스템에 대한 긴밀한 지식이 있어야 할 것이다.
'교육' 카테고리의 다른 글
| [팔로 알토 네트웍스] 보안 운영 기초 #6 (0) | 2024.05.27 |
|---|---|
| [팔로 알토 네트웍스] 보안 운영 기초 #5 (0) | 2024.05.24 |
| [팔로 알토 네트웍스] 보안 운영 기초 #3 (0) | 2024.05.17 |
| [팔로 알토 네트웍스] 보안 운영 기초 #1, 2 (0) | 2024.05.16 |
| [팔로 알토 네트웍스] 네트워크 보안 기초 #6 (0) | 2024.05.14 |