엔터프라이즈 보안의 앵커는 일반적으로 "심층 방어" 건축물. DID(Defence in Depth)는 군대에서 사용되는 고전적인 방어 개념으로 2000년대 초 Infosec 커뮤니티에서 수용되었습니다. DID의 Infosec 구현/버전은 시간이 지남에 따라 위협 환경이 진행됨에 따라 위협을 해결하도록 진화했습니다.
인터넷이 출현하기 전에는 주요 위협이 바이러스였기 때문에 컴퓨터에는 AV 보호 기능만 있었습니다. 바이러스가 미디어(플로피 디스크 등)를 통해 전송되었습니다. 인터넷으로 모든 컴퓨터가 연결되고 웜과 같은 위협이 네트워크를 통해 확산되므로 네트워크를 보호해야 했고 네트워크에 처음부터 계속해서 들어온 사람을 감시해야 했습니다.
현재 형태에서 DID 아키텍처는 많은 레이어를 수용할 수 있도록 성장했으며 여전히 발전하고 있습니다. 따라서 DID 아키텍처는 경계, 네트워크, 엔드포인트, 애플리케이션, 사용자, 데이터, 정책 등의 계층화된 보안으로 변환되었습니다. 각 계층에 대해 해당 계층에 대한 위협으로부터 보호하기 위해 별도의 고유한 제어가 개발되었습니다. 예를 들어, 기술 보안 제어에는 다음과 같은 솔루션이 포함됩니다. 방화벽, 보안 웹 게이트웨이, IDS/IPS, EDR, DLP, WAF및 맬웨어 방지 제품보기.
시간이 지남에 따라 진화하는 위협 환경에 계층화된 보안 솔루션을 배포하는 것 외에도 솔루션은 회사 내부의 여러 그룹에서 소유, 관리 및 운영했습니다. 예를 들어, 방화벽 솔루션 IT 산하 인프라 팀이 소유했습니다. 다른 그룹은 이메일 솔루션을 소유하고 다른 그룹은 엔드포인트 보안 솔루션을 소유했습니다. 이것은 다른 모든 솔루션과 독립적으로 존재하는 계층화된 솔루션을 생성했습니다. 따라서 모든 학습이 포함된 독립형 솔루션의 개념은 이를 담당하는 팀 내에서 사일로에 머물렀습니다.
또 다른 고유한 속성인 동급 최강의 솔루션도 계층형 솔루션의 특징입니다. 솔루션이 진화했기 때문에 혁신은 다양한 소스와 분야에서 시작되었으며 다양한 공급업체 집합이 각각의 새로운 솔루션 계층을 제공했습니다.
보안에 대한 DID 또는 계층화된 접근 방식은 단일 벡터 위협, 즉 위협이 동일한 벡터에서 들어오고 나갈 때 잘 작동했습니다. 이러한 초기 위협의 전형적인 예는 다음과 같이 탐지된 네트워크 기반 공격입니다. IDS / IPS, 이메일 게이트웨이에 의한 스팸과 같은 이메일 위협
그러나 위협이 더욱 복잡해지고 자동화된 맬웨어 생성 도구, Botnet 및 원격 프로그래밍의 출현으로 계층화된 보안 모델이 무너지고 있습니다. 이는 계층화된 보안에 내재된 가정(모든 보호 및 제어가 완벽하게 정렬되어 모든 위협을 탐지하고 사각지대가 없다는 가정)이 거짓으로 입증되고 있기 때문입니다. 어떤 컨트롤에도 가시성이 없는 사각지대가 있습니다. 그 결과 공격자들은 맹점을 이용하여 이러한 악의적인 활동을 탐지하기 어렵게 만듭니다.
다중 벡터 위협을 처리한 경험에 따르면 다중 벡터 위협과 관련된 모든 제어는 해당 사일로에만 가시성이 있고 그 이상은 없습니다. 이것은 의도적으로 설계된 것이며 현재 솔루션이 결합된 방식임을 기억하십시오.
또한 별도의 인프라, 데이터 사일로 및 응답 메커니즘의 모든 기본 설정은 제어를 직접 관리하는 것이 2차(n**2 – n) 문제라는 것을 의미합니다. 그러나 작동하는 모든 것 위에 레이어를 갖는 것은 해결해야 할 XNUMX차(XNUMXn) 문제입니다.
사각지대를 해결하기 위한 옵션은 다음과 같습니다.
- 관심이 없는 이웃을 위해 각자 통제할 수 있도록 하십시오.
- 더 많은 분석가를 고용하여 사일로 너머의 가시성을 수동으로 확장
- 사일로 전반에 걸쳐 제어 및 해당 데이터에 대한 가시성을 제공하고 자동화된 데이터 수집, 상관 관계, 탐지 및 대응을 사용하여 이러한 다중 벡터 위협을 탐지할 수 있는 도구를 얻으십시오.
옵션 #3을 선택했다면 정답입니다!
이름에 상관없이 #3의 솔루션은 사일로 전반의 위협을 탐지, 상관 관계, 조정 및 대응 조치를 제공하기 위해 모든 제어를 포괄하는 봉투입니다.
그리고 이것이 다중 제어, 계층화된 보안 시스템을 최적화하는 가장 효율적인 방법입니다.
그 이름은 Open XDR.
Open XDR 보안 팀이 보안 제어에 의해 생성된 방대한 양의 데이터를 이해할 수 있도록 설계된 보안 제어 간의 연결 조직입니다. "Open"이라고 불리는 이유는 사소하지 않습니다. 이는 솔루션의 정의적인 특성입니다. Open XDRs 포함하여 모든 보안 제어에서 데이터를 수집할 수 있습니다. EDR 조직이 배치되었습니다. 그런 다음 특수 제작된 탐지 기능을 사용하면 탐지되지 않을 경우 조직을 신문(또는 뉴스 웹사이트)의 첫 페이지에 게재할 수 있는 다중 벡터 위협을 근절할 수 있습니다.
사이버 방어에 만병통치약은 없지만, Open XDR 보안 팀을 보다 효과적으로 만드는 동시에 사각지대를 최소화하는 보안에 대한 유망한 새로운 접근 방식입니다.
