[컴퓨터월드] 기업이 방어해야 하는 엔드포인트는 수백만 개에 달하지만, 수많은 위협 중 단 하나라도 엔드포인트에 도달하면 조직은 위험에 빠지게 된다. 기존 AV(안티바이러스) 방어 기능은 어느 정도 효과가 있지만, 이들이 빠르게 진화하는 모든 위협을 추적하며 바로 차단할 수 있는 것은 아니다. 또한 공격자들은 대부분의 보안 팀이 수년 간 사용해 온 엔드포인트 보안시스템을 우회해 공격한다.

이런 경우에 기업 네트워크 내부 및 외부 엔드포인트에 파이어아이 엔드포인트 보안 솔루션 HX 시리즈가 유용하게 활용될 수 있다. 기업의 온-프레미스 환경에 해당 제품을 설치해 다음과 같은 기능을 사용할 수 있으며, 알려진 위협 혹은 알려지지 않은 위협의 특성 및 목적을 탐지·통제·파악할 수 있다.

▲ 위협 지표를 검사하고 분석하기 위한 트리아쥬 뷰어(Triage Viewer) 및 오딧 뷰어(Audit Viewer)
▲ 위협을 신속하게 검색해 발견하고 통제하는 엔터프라이즈 보안 검색
▲ 심층적인 엔드포인트 검사 및 분석을 위한 데이터 수집
▲ 엔드포인트 익스플로잇 프로세스를 탐지하고 경고하기 위한 익스플로잇 가드(Exploit Guard)

엔드포인트 제품은 보통 안티바이러스 또는 머신 러닝과 같은 한 가지 탐지 기능만을 제공한다. 하지만 파이어아이는 다수의 탐지 기술과 위협 인텔리전스 및 상세한 가시성을 엔드포인트 솔루션에 통합했다. 이를 통해 가능한 한 많은 수의 위협을 제어하고 신속하게 대응하기 위한 데이터를 제공할 수 있게 됐다. 이는 궁극적으로 보안 기능을 획기적으로 향상시키고 위협의 조직에 대한 영향을 최소화 시킨다.

파이어아이 엔드포인트 보안 제품은 전 세계에서 일어나고 있는 심각한 공격에 대해서 연간 200,000시간 이상의 조사 내용과 공격자·공격방법에 대한 최신 정보 기반 위협 인텔리전스를 포함하고 있다. 조직 자체의 실시간 위협 인텔리전스와 파이어아이의 혁신적 제품은 이러한 정보들을 바탕으로 가장 포괄적인 엔드포인트 보안을 지원할 수 있다.

▲ 파이어아이 ‘엔드포인트 보안 솔루션 HX시리즈’ 구조도

위협 인텔리전스를 모든 엔드포인트로 확장
위협 인텔리전스는 공격이 일어나는 순간에 존재해야 그 효력을 발휘할 수 있다. HX 엔드포인트 탐지 및 대응(Endpoint Detection&Response, EDR‎)은 다른 파이어아이 제품의 위협 인텔리전스 기능을 엔드포인트로 확장시킨다. 파이어아이 제품이 네트워크에서 공격을 탐지하면, 엔드포인트는 자동으로 업데이트되며 침해지표(Indicator Of Compromise, IOC) 검사를 할 수 있게 된다.

한층 향상된 엔드포인트 가시성 확보
가시성은 경보의 근원을 파악하고 위협을 심층적으로 분석하는데 있어 중요한 요인이다. 엔드포인트 보안의 룩백 캐시 기능을 사용하면 엔드포인트의 현재 및 과거의 경보를 검사하고 분석할 수 있다. 또한 트리아쥬 뷰어를 통해 포렌식 분석을 위한 이벤트 타임라인을 자동으로 구축할 수 있다.

완벽한 엔드포인트 커버리지 확보
기업 네트워크 외부에 있는 온사이트 및 원격 엔드포인트는 공격에 취약할 수 있다. 하지만 파이어아이 엔드포인트 보안은 인터넷 연결 유형에 상관없이 인텔리전스를 모든 엔드포인트까지 확장할 수 있다. 이 같은 커버리지를 통해 추가 VPN 연결 없이도 세계 전역에 위치한 엔드포인트를 조사하고 통제할 수 있다.

공격당한 엔드포인트 통제 및 내부 확산 방지
엔드포인트에서 시작된 공격은 네트워크를 통해 빠르게 확산될 수 있다. 엔드포인트 보안은 공격을 파악한 후, 단 한 번의 클릭만으로 공격당한 장치를 즉시 격리할 수 있으며, 추가 공격을 막아 내부 확산을 방지할 수 있다. 이를 통해 추가 감염의 위험 없이 침해 사고에 대한 포렌식 조사를 진행할 수 있다.

엔드포인트의 숨겨진 익스플로잇 프로세스 탐지
익스플로잇 탐지와 관련해, 기존의 엔드포인트 방어(Endpoint Protection Platform, EPP)는 시그니처와 데이터베이스를 비교하기 때문에 그 기능에 한계가 있다. 파이어아이 엔드포인트 보안은 익스플로잇 가드 기능을 통해 유연한 데이터 기반 익스플로잇 인텔리전스를 제공한다.

이 기능은 EDR 기능을 제공하여, 기존 엔드포인트 솔루션이 감지하지 못한 영역에 대해 상세한 정보를 수집한다. 또한 파이어아이의 독점 인텔리전스를 사용해 개별 활동들의 상호 연관성을 찾아내며 익스플로잇을 파악한다.

엔드포인트 보안의 작용 방식
엔드포인트 보안은 수만 개의 엔드포인트에서 알려진 위협과 알려지지 않은 위협을 몇 분 내에 검색하여 조사할 수 있다. 또한 동적 위협 인텔리전스를 사용해 파이어아이 엔드포인트 및 네트워크 보안 제품과 로그 관리에서 생성된 경보의 연관성을 찾아낸다. 이를 통해 위협을 검증한 후, 공격자가 엔드포인트에 침투하는 데 사용한 벡터와 특정 엔드포인트에 공격이 발생했는지와 지속되는지 여부를 파악할 수 있다.