안녕하세요 댓글로 답변을 달기에 내용이 많을듯 합니다. hyunchul.kim@netwitness.com 으로 이메일 문의 주시면 답변을 드리겠습니다.
honey pot 개념의 기만 기법을 사용하는 솔루션들이 있지만 이 솔루션들을 XDR이라고 칭하지는 않습니다. XDR은 가용할 모든 보안정보 자산을 하나의 데이터베이스로 모아서 첨예화된 관제 대응을 할 수 있는 기반 솔루션입니다.
모든 업종 및 도메인에서 선호도가 높습니다. 특히 민감한 정보를 다루는 공공/민간에서는 반드시 저희와 솔루션 협의를 하고 있습니다.
안녕하세요 댓글로 답변을 달기에 내용이 많을듯 합니다. 질문의 취지를 대응하기 위해 본 세션을 통해 설명해 드리고 있습니다.
Hole 즉 누락된 데이터 소스(망, 서버, PC, 보안솔루션 등) 가 없는 확인하는 과정이 중요할 듯 합니다.
XDR에서 EDR의 요구기능은 보안데이터 수집 및 필요시 격리, 추가 조치 입니다. XDR은 단말환경의 자원증가, 성능부담 증가를 요인하지 않습니다. XDR이 느리기 국내에서 확장되는 사유는 여러가지 가 있겠으나, 비용적인 측면, 솔루션 업체별 서로다른 시각에서의 XDR 정의, 이에 따른 최종 사용자의 설계 및 업무반영에 일부 혼선이 있다고 볼수 있습니다.
eXtended Detection and Response은 모든 보안제품을 보유한다는 개념이 아니라, 모든 보안제품이 발생하는 보안 로그를 포함하여 PC, 서버에서 발생하는 보안로그 정보, 네트워크 풀패킷 정보를 통합 이용하여 보안 관제를 한다는 개념입니다.
네 맞습니다. 전문화된 분야의 솔루션은 이를 활용하실수 있는 내부 인적자원을 필요로 합니다. 이를 보완하기 위해 위탁 혹은 MDR 등의 서비스를 통해 간접 운영 또한 고려할 수 있습니다.
질문의 취지에 대한 답변을 하고 있는지는 모르겠지만, 현재 송출되고 있는 XDR 세션은 보안데이터를 통합하고 보완관제에서 탐지, 분석, 대응 할 수 있는 체계를 만드는 내용을 다루고 있습니다. 현재 Netwitness XDR 솔루션이 본 보안데이터 통합 기능을 제공하고 있기 때문에 세션 내용을 통해 확인하실수 있습니다.
모든 솔루션이 비슷한 경험을 가지고 있습니다. 솔루션의 기능/기술과 보안조직의 업무 프로세스를 연동하는 것이 하나의 어려움입니다.
실시간 발생되는 보안정보를 처리할 수 있는 실시간 기술과, 이를 저장/ 조회/ 대응 할 수 있는 기능이 중요하다고 할 수 있으며, 더불어 각 보안데이터 소스로부터 발생되는 실시간 정보에 대한 위협 및 분석 인자 도출 기능, 그리고 이러한 시스템이 기업/기관내 기밀정보, 비밀정보등을 수집하기 때문에 기술적/ 보안적으로 안정성을 갖추고 있는지에 대한 CC인증 획득 여부 등이 가장 중요한 요소라 할 수 있습니다.
XDR은 가용할 모든 정보로부터 탐지/분석 정보를 모아서 대응하자는 취지의 솔루션 분야이고, 현재는 AI기반 자동화와 이를 분석/판단할 수 있는 인적 대응이 상호보완적으로 운영하는 것이 최신 트렌드 입니다. XDR은 빈틈없이 모든 정보를 visibility 관점에서 받아서 AI 혹은 전문가의 업무를 뒷받침 해주는 것이므로 현재 및 미래의 관제에서는 꼭 필요한 분야입니다. AI도 완벽하지 않고, 사람에 의한 휴먼에러도 실제 존재하므로, 사전정찰, 침투과정, 침해범위, 근본 원인조사 등 관제 기본이 되는 배경 데이터는 완벽하게 갖추는 것이 향후의 대응에 꼭 필요하다라고 볼수 있습니다.