EDR(Endpoint Detection & Response) 솔루션이란?

EDR (Endpoint Detection & Response)

성장 배경

최근 랜섬웨어 피해 사례가 증가하고 있다.

단순히 파일 다운로드 후 실행으로 일어나는 사고보다 파일리스 방식 등 다양한 방식으로 공격을 해오고 있다.

알려지지 않은 zero day 공격을 막기 위해서는 단순 시그니쳐 기반의 백신으로는 한계가 있다.

그래서 알려지지 않은 행위를 탐지하고 격리 및 대응을 시키는 EDR 솔루션 시장이 커져왔다.

 

 

이러한 성장으로 현재 다양한 기업이 edr 사업에 뛰어들었는데 우리나라에서는 안랩이 많은 비율을 차지하고 있다.

기존 EPP와의 차이점

기존 EPP는 패턴과 시그니쳐 기반으로 탐지를 진행하며 사후를 처리하는 시스템이다.

그로인해 날로 날로 변종 악성코드의 공격이 증가하는 요즘 사전 방지가 중요하게 대두되고 있다.

그래서 EDR은 사고 전에 전조 증상을 파악하고 대응하며 사고가 일어나도 사고 전의 데이터로 복구할 수 있게끔 서비스를 제공해야 한다.

 

EDR 기능

EDR이란 엔드포인트 시스템 레벨의 동작을 기록 및 저장하고 의심스러운 시스템 동작을 탐지하고 상황에 맞는 정보를 제공하며 악성활동을 차단하고 영향을 받는 시스템 을 복원하기 위한 개선 제안을 제공하는 다양한 데이터 분석 기술을 사용하는 솔루션을 말한다.

 

이벤트를 실시간으로 기록하고 데이터 베이스에 저장하고 알려진 IOC(침해 지표)와 행위를 분석하여 지속적인 조사를 해야한다.

 

중점적으로 봐야할 부분들

파일리스 공격 탐지 기능과 행위기반분석을 통한 신종 위협 탐지 기능이 중요하다.

그리고 단말에서 디스크 hash 검색, 파일 검색, 레지스트리 검색 기능이 존재해야하고,

의심되는 파일은 격리 및 실행 차단을 진행해야한다.

또한 시스템과 프로세스 로그를 덤프하여 수집해야한다.