[Security] EDR, EPP, SOAR 이란 무엇인가

"EDR, EPP, SOAR 이란 무엇인가"

 

 

1) EDR(Endpoint Detection and Response, 엔드 포인트 위협 탐지 및 대응)

• 정의: 업무 환경을 구성하고 있는 단말(Endpoint)에서 발생하는 의심스러운 점(행위)을 탐지(Detection)하고 대응(Response)함으로써 조직의 비즈니스 환경을 안전하게 하는 것이다. 위협을 정확하게 탐지하고 차단하기 위해서는 조직 내 모든 단말의 모든 곳을 항상 지켜보고 관련 정보를 수집할 수 있어야 한다. '클라이언트 자체에서의 보안'
• EDR 솔루션은 인증이나 암호화 부분은 아니고 주로 탐지와 그것에 대한 대응 영역을 담당한다.

• 발전: 탐지를 선행적으로 하되 미리 만들어진 패턴이나 시그니처, 정책, 룰 기준이 아닌 능동적인 대처를 요구하게 되었고 지금의 EDR 솔루션으로 발전되었다.

 

 

2) EPP (Endpoint Protection Platform, 엔드포인트 보안 플랫폼)

다양한 보안 기능의 유기적인 연동 및 통합 관리를 위한 플랫폼

 

 

3) SOAR(Security Orchestration, Automation and Response 보안 오케스트레이션, 자동화 및 대응)

• 보안 시스템과 정책을 자동화 관리하는 것
• 위협 대응 정책을 업그레이드 해 향후 동일하거나 유사한 위협이 유입되면 자동으로 대응할 수 있도록 대응 환경을 만들어 보안 인력을 효율적으로 운영하면서 표준화된 프로세스를 통해 분석의 정확도를 높이고 대응 시간을 단축시킨다.
• SOAR = SOA + SIRP + TIP
  • 보안 오케스트레이션 및 자동화(Security Orchestration and Automation, SOA): 한 조직이 보유한 여러 개의 Workflow를 관리하는 기법
  • 보안 사고 대응 플랫폼(Security Incident Response Platform, SIRP): SIEM에서 탐지된 위협 대응 지원 시스템(타깃 처리 시스템), 여기서 SIEM이란 위협을 지능적으로 탐지할 수 있는 솔루션(관제 시스템)
  • 위협 인텔리전스 플랫폼(Threat Intelligence Platform, TIP): 위협 인텔리전스 중 관련 데이터를 찾아 환경에 맞는 최적의 Action 제시

 

• SOAR 기술의 주요 장점
  • 운영 활동의 우선순위 지정
  • 심사 및 사고 대응 공식화
  • 워크플로 자동화: SOC 엔지니어가 위협 사냥과 같은 능동적인 작업에 집중할 수 있도록 시간이 많이 소모되는 일상적인 활동의 자동화

 

 

 

참고

http://www.haesoldata.co.kr/ahnlab20200108/ -> EDR

https://poem23.com/3235 -> EDR

https://www.infoblox.kr/wp-content/uploads/sites/6/infoblox-solution-note-powering-soar-solutions-from-the-foundation.pdf -> SOAR

http://www.datanet.co.kr/news/articleView.html?idxno=133398 -> SOAR