XDR과 임원이 꼭 알아야 할 정보
XDR은 (실제로) 무엇을 의미하나요?
2018년 Palo Alto Networks의 Nir Zuk 씨가 처음으로 언급한 확장형 탐지 및 대응 또는 XDR이라는 단어는 보안을 위한 데이터 분석의 사일로화된 접근 방식 문제에 대처하기 위해 생겨났습니다. 이전 접근 방식은 엔드포인트, 네트워크, 사용자 행동과 같은 한 가지 유형의 디바이스 또는 영역에만 집중하여 리스크를 식별할 수 있는 다른 집중 영역의 컨텍스트 및 지표가 누락되었습니다. XDR은 모든 집중 영역을 분석하여 이벤트와 관련된 모든 데이터를 이해할 수 있는 종합적인 플랫폼을 구성하고 SOC가 악의적이거나 위험한 이벤트에 응답할 때 전체 환경에 걸쳐 추적 및 복구 업데이트 단계를 제공합니다.
XDR은 어떻게 시작되었나요?
Palo Alto Networks는 기업이 자사 환경에서 발생한 중요한 보안 이벤트를 확인하고 이해하는 데 지속적으로 제기되는 문제를 살펴보면서, 공급업체가 출시한 사일로형 집중 제품과 기업이 필요로 하는 광범위하게 통합된 플랫폼 간에 차이가 있음을 알게 되었습니다. XDR은 엔터프라이즈 IT 인프라의 모든 측면에서 정보를 연결하여 이 차이를 해소하도록 고안되었습니다.
이후, 애널리스트가 실행 불가능하거나 관련 없는 경고에 노출되지 않고 중요한 이벤트에만 집중할 수 있도록 하기 위해 원시 데이터의 이러한 대규모 증가의 상관관계를 보여줄 수 있는 머신 러닝 엔진을 포함하는 것이 매우 중요해졌습니다. XDR의 “X”는 탐지 및 대응을 모든 IT 운영으로 확장하려는 이러한 철학의 핵심이며, Palo Alto Networks는 이를 증명하기 위해 XDR이 어떻게 발생했고 향후 어떻게 성장할 것인지에 대한 비전 맵 을 만들었습니다.
XDR이 사이버보안에서 중요한 이유는 무엇인가요?
엔드포인트, 네트워크, 위협의 분리된 데이터세트에서 이 모든 것을 단일 플랫폼으로 통합하는 뷰로 전환하면 기업이 전체 보안 운영 및 IT 설치 공간을 이해할 수 있는 방식에 근본적인 변화가 생깁니다. 모든 것을 단일 뷰로 확인하면 컨텍스트, 기술 장벽, 수동 집계 및 보고의 부족으로 인한 주요 이벤트 누락, 오탐, 거짓 음성 사례가 감소합니다. 머신 러닝 시스템으로 분석한 이러한 모든 결합 데이터세트는 기업이 개별 “핵티비스트”에서 자체적인 기업, 국가 수준의 운영자로 성장하고 있는 사이버 범죄의 변화와 이러한 진화로 예측할 수 있는 더욱 복잡한 모든 공격에 대처할 방법에 이미 변화를 보여왔습니다.
XDR를 둘러싼 소문에는 어떤 것이 있나요?
시장이 XDR이라는 아이디어에 어떻게 반응하는지 보면, 많은 공급업체가 EDR 또는 NDR/NTA 제품을 XDR로 취급하려고 하면서 이 용어를 마지못해 사용하고 있는 것을 볼 수 있습니다. 여러 공급업체가 모든 소스의 데이터를 적절하게 수집하기 위해 실제로 기본 애플리케이션을 변경하지 않고 단순히 한 뷰에 사일로화된 데이터 스트림을 표시하여 모든 정보를 “통합된 단일 소스”로 제시할 수 있도록 UI/UX를 재설계하였습니다. 또한 심층적인 가시성을 확보하는 데 집중하지만 IT 인프라를 구성하는 모든 다양한 유형의 장비를 포괄하지 못한 새로운 업체들이 등장하여 이들이 제시할 수 있는 항목에도 구멍이 생기고 있습니다. 마지막으로 가장 심각한 것은, 머신 러닝을 통한 자동화 부족으로 기업은 적절한 주의를 기울일 수 없는 경고의 홍수나 애널리스트가 이벤트의 전체 사슬을 이해하지 못해 사고로 이어지는 불완전한 데이터를 떠안게 된다는 점입니다.
Palo Alto Networks의 조언: XDR을 채택할 때 경영진이 고려해야 할 사항은 무엇인가요?
XDR의 개념은 기본적으로 밀접하게 관련되어야 하는 두 가지 주요 주제에 집중합니다. 1) 모든 데이터 스트림을 합쳐 이벤트에 대한 단일 이해로 상호 연관 지어야 합니다. 2) 이벤트의 심각성과 애널리스트의 추가 조사가 필요한 사고에 해당하는지 여부를 자동으로 결정하는 일종의 시스템이 있어야 합니다. 둘 중 어떤 것도 부족해서는 안 되며 비즈니스에서 오늘날의 사이버 보안 방어 프로그램을 성공시키려면 이 두 가지가 동시에 이루어져야 합니다.