A. 엔드포인트 보안 솔루션
1.엔드포인트 보호 플랫폼(EPP)
이는 서버와 데스크톱에 패치를 적용하고 적절한 바이러스 백신 소프트웨어를 설치해야 하는 관리자의 요구에 따라 개발되었습니다. 최신 EPP 플랫폼은 소프트웨어 및 펌웨어 버전을 확인하고, 로컬 시스템에서 바이러스 및 맬웨어를 검사하고, 데이터 손실 방지 및 기타 회사 정의 보안 정책을 시행할 수 있습니다.
EPP는 일반적으로 악의적인 공격에 대한 방어 수단으로 간주되며 관리자가 기업 전체에서 일관된 소프트웨어 업데이트를 유지하는 데 도움이 됩니다. 또한 EPP는 시스템에 대한 기본 모니터링 및 가시성을 허용하여 관리자가 오래된 장치를 식별하고 장치에 소프트웨어를 원격으로 패치 및 설치할 수 있도록 지원합니다.
2. 엔드포인트 탐지 및 대응(EDR)
또 다른 엔드포인트 솔루션은 엔드포인트 탐지 및 대응(EDR)입니다. 이는 장치를 지속적으로 검사하여 손상 지표(IOC)를 감지하는 보다 적극적인 보안 솔루션입니다. EDR 클라이언트가 의심스러운 연결, 프로그램 또는 동작을 감지하면 해당 작업을 차단하고 경고를 보낼 수 있습니다. 이를 통해 기존 맬웨어 방지 시스템에서 감지할 수 있는 확립된 서명이 없을 수 있는 랜섬웨어 및 제로 데이 공격과 같은 위협을 식별하고 중지하는 데 도움이 될 수 있습니다.
EDR은 일반적으로 인공 지능과 알려진 공격에 대한 대규모의 포괄적인 데이터베이스를 활용하여 의심스러운 파일과 프로그램을 예측하고 인식합니다. 탐지 및 즉각적인 대응 외에도 EDR은 연결된 다른 엔드포인트에 경고를 트리거하고 다른 엔드포인트가 의심스러운 프로그램이나 파일을 열거나 실행하기 전에 즉시 차단할 수 있도록 하여 제로데이 및 이전에 식별되지 않은 기타 항목에 대해 즉각적인 대응을 제공합니다. 공격. EDR 시스템에는 보안 조사관이 새로운 위협에 대한 데이터와 손상이 의심되는 격리 시스템에 대한 데이터를 수집하는 데 도움이 되는 도구도 있을 수 있습니다.
EPP와 EDR 솔루션은 일반적으로 보안 관리자가 엔드포인트 상태에 대한 하향식 가시성을 확보하고 잠재적인 공격이나 중단이 발생할 경우 신속하게 대응할 수 있도록 모니터링 리소스를 제공합니다.이는 일반적으로 보안 운영 센터(SOC) 모니터링의 핵심 구성 요소입니다. 또한 많은 EDR 솔루션은 장치를 잠그거나 네트워크의 다른 부분에서 감지된 위협에 대응하여 작업을 실행하는 프로세스를 자동화하여 즉각적인 대응을 허용합니다. 예를 들어, 보안 분석가는 일반적인 CVE(취약성 및 노출) 경고를 기반으로 업데이트된 악성 코드 탐지 규칙을 게시하여 장치 제조업체에서 패치를 제공하기 전에 잠재적인 보안 위험을 차단할 수 있습니다.
B. 알려지지 않은 장치
새로운 장치를 보호할 때 가장 큰 과제 중 하나는 이를 기존 네트워크에 안전하게 연결하는 방법입니다. 이제 많은 회사에서 직원이 BYOD 컴퓨터와 전화기를 사용할 수 있도록 허용합니다. 이러한 장치는 일반적으로 잘 알려지지 않았고 회사에서 관리하지 않기 때문에 회사 네트워크에 직접 연결하는 것은 큰 위험입니다.
알려지지 않은 장치를 식별하고 격리하기 위한 모니터링 소프트웨어와 감지 기능을 갖추는 것은 이러한 장치를 적절하게 온보딩하고 보호하는 데 중요한 단계입니다. 가능하다면 모든 새 장치와 알 수 없는 장치를 보호하고 등록할 수 있을 때까지 격리된 네트워크에 강제로 연결하십시오. 이를 위해 물리적으로 분리된 네트워크, VLAN 또는 전용 Wi-Fi 액세스 포인트를 사용할 수 있습니다. 장치가 일반적으로 호스트 이름, 일련 번호, MAC 주소 또는 고정 IP 주소로 등록되면 적절한 모니터링 소프트웨어를 설치할 수 있으며 장치는 알려진 엔드포인트로 프로덕션 환경으로 이동됩니다.
보안이 어려운 장치와 알 수 없는 엔드포인트의 경우 최소 권한 원칙을 적용해야 합니다. 이러한 장치가 특정 인터넷이나 내부 서버에만 액세스해야 하는 경우 해당 장치를 고유한 네트워크에 격리하고 방화벽과 라우터를 통해 해당 특정 연결만 허용하십시오. 이렇게 하면 장치가 적절한 엔드포인트 보안 솔루션을 실행하지 않아 네트워크 규정 준수를 충족하지 못하는 경우 다른 리소스에 대한 액세스가 최대한 제한됩니다.
알려진 장치가 모두 등록되면 무선 액세스 포인트, 스위치, 라우터, 방화벽 및 기타 연결 포인트와 같은 많은 네트워크 보안 장치를 잠그고 승인되지 않은 장치가 네트워크를 통해 연결하는 것을 허용하지 않도록 구성할 수 있습니다. 모니터링되지 않는 장치를 비활성화하면 알 수 없는 장치가 있는 사용자가 등록해야 하며 공격자가 자신의 장치를 원격으로 네트워크에 삽입하거나 로컬에서 장치를 물리적으로 연결하려고 시도하는 것을 방지합니다.
