EDR은 Endpoint Detection & Response의 약자로
엔드포인트 탐지 및 대응을 하는 소프트웨어입니다.
기존 백신 소프트웨어(EPP)로 막기 어려운 고도화된 사이버 위협에 효과적으로
대응하고 침해 사고 발생 시 신속하게 원인을 파악하고 복구하기 위해서 필요합니다.
과거에는 백신 소프트웨어(EPP)만 있어도 대부분의 위협을 방어할수 있었지만,
최근의 공격은 훨씬 더 지능화되고 복잡해져서 EDR이 더 필요해지고 있습니다.
기존 백신 소프트웨어 EPP는
주로 시그니처(패턴) 기반으로 동작해서 아직 알려지지 않은 신종 악성코드나
변종 악성코드를 탐지하는데 한계가 있습니다.
하지만 EDR은 행위 기반 분석, 머신러닝 등을 통해 제로데이 공격(컴퓨터 소프트웨어의 취약점을 공격하는 기술적 위협으로,
해당 취약점에 대한 패치가 나오지 않은 시점에서 이루어지는 공격)도 탐지할수 있습니다.
기존 백신 소프트웨어 EPP는
악성 코드가 파일 형태로 존재하지 않고 메모리나 레지스트리 등을 통해
직접 실행되는 파일리스 공격을 탐지하기 매우 어렵습니다.
하지만 EDR은 비정상적인 행위를 탐지할수 있습니다.
APT(지능형 지속 공격) 공격은 여러 단계를 거쳐
은밀하게 시스템이 침투하고 장기간 머무르면서 정보를 탈취하거나 시스템을 파괴합니다.
기존 백신 소프트웨어 EPP 만으로는
이러한 복잡한 공격의 전 과정을 파악하고 대응하기 어렵습니다.
EDR은
엔드포인트에 발생하는 프로세스 실행, 파일 생성/변경, 네트워크 통신,
레지스트리 변경 등 모든 행위를 실시간으로 기록하고 분석하며,
공격자가 어떻게 침투했고, 어떤 행동을 했으며, 어디까지 확산되었는지 등
공격의 전체적인 상황을 명확하게 파악할수 있습니다.
그리고 위협이 탐지되었을때 해당 기기를 네트워크에서 격리하거나,
악성 프로세스를 강제 종료하고, 파일을 삭제하는 등
즉각적이고 자동화된 대응 조치를 취할수 있습니다.
또한 보안 관리자가 직접 개입해서 수동으로 대응할 수도 있습니다.
개인정보보호법 등 다양한 보안 관련 규제는
침해 사고 발생 시 신속한 탐지, 분석, 대응 및 보고를 요구하고 있습니다.
EDR은 이러한 규제 준수를 위한 핵심 소프트웨어입니다.
EDR은 기존 백신 소프트웨어 EPP를 대신하는것이 아니라
EPP의 사전 예방에 사후 탐지 및 대응 역량을 더해주는 역할을 하고 있어서,
EPP와 EDR을 통합하거나 함께 사용하는것이 보안 강화에 도움이 됩니다.
당사에서는 EPP(엔드포인트 보안)와 EDR(엔드포인트 탐지 및 대응)
두가지 모두 공급하고 있습니다.
귀사의 안전한 디지털 환경 구축을 위해 최선을 다하겠습니다.
