NDR 대 EDR: 주요 차이점
네트워크 탐지 및 대응(NDR)은 사이버 보안 툴킷에서 점점 더 중요한 부분을 차지하고 있습니다. NDR은 네트워크 내부 활동에 대한 심층적인 가시성을 제공하고 장치 간에 흐르는 패킷 내용을 파악합니다. 반면, 엔드포인트 탐지 및 대응(EDR)은 조직의 각 엔드포인트 장치 내에서 발생하는 개별 프로세스를 파악하는 데 전적으로 중점을 둡니다.
두 솔루션은 유사한 위협 분석 및 프로파일링 메커니즘을 사용하지만, 구축 방식과 사용 사례는 매우 다릅니다. 이 글에서는 이러한 차이점을 살펴보고, EDR과 NDR이 어떻게 함께 구축되는지 자세히 설명합니다.
Gartner® Magic Quadrant™ NDR 솔루션
왜 우리 회사가 챌린저 쿼드런트에 유일하게 포함되었는지 확인해 보세요...
AI 기반 보안을 실제로 경험해 보세요!
Stellar Cyber의 최첨단 AI로 위협을 즉각적으로 감지해보세요...
NDR이란 무엇입니까?
NDR 조직 내부 네트워크의 기기 간 상호 작용을 모니터링하는 도구입니다. 조직 네트워크에 센서를 배치하고, 어떤 기기가 조직과 상호 작용하는지 모니터링하며, 해당 기기가 피어 및 외부 서버로 전송하는 데이터를 분석합니다.
이는 방화벽과 유사해 보일 수 있습니다. 방화벽은 네트워크로 들어오고 나가는 트래픽(북-남 트래픽)을 분석하지만, 내부 장치 간의 트래픽은 분석하지 않습니다. NDR은 네트워크 내부 트래픽(동-서 트래픽)을 모니터링할 수 있도록 하여, 복잡한 구성 없이도 네트워크 가시성을 한 단계 더 높일 수 있습니다.
NDR 시스템이 수집한 원시 데이터는 다음과 같습니다.
- 원시 네트워크 패킷 : SPAN 포트, TAP 또는 전용 센서를 통해 네트워크 트래픽에서 직접 캡처됩니다. 이러한 패킷은 프로토콜 헤더 및 페이로드 관련 메타데이터를 포함한 전체 트랜잭션 가시성을 제공합니다.
- 흐름 기록 : 소스 및 대상 IP 주소, 포트 번호, 프로토콜, 바이트 수를 포함한 통신 패턴을 요약하는 NetFlow 또는 IPFIX와 같은 메타데이터 형식입니다.
- 트래픽 메타데이터 : 패킷 분석에서 파생된 정보로, 세션 기간, 통신 빈도, 장치의 동작 패턴, 애플리케이션 계층 프로토콜의 데이터가 포함됩니다.
이 모든 데이터는 NDR 도구의 자체 분석 엔진으로 수집되어 악성 트래픽 징후를 분석합니다. 위협 탐지 성공률을 극대화하기 위해 NDR은 두 가지 분석 전략을 사용합니다.
서명 기반 네트워크 분석
각 네트워크 데이터 포인트가 시계열 그래프로 구성되므로, 개별 장치의 활동을 알려진 위협과 매핑할 수 있습니다. 시그니처 기반 탐지 기능은 특정 네트워크 수준의 공격 행위를 침해 지표(IoC)로 통합하여 NDR 자체 데이터베이스에 저장합니다.
시그니처는 알려진 사이버 공격과 관련된 식별 가능한 모든 속성을 의미합니다. 특정 맬웨어 변종의 코드 조각이나 피싱 이메일의 식별 가능한 제목 등이 여기에 해당할 수 있습니다. 시그니처 기반 탐지 도구는 네트워크 활동을 스캔하여 이러한 알려진 패턴을 확인하고, 일치하는 항목이 발견되면 알림을 보냅니다.
IOC 모니터링은 본질적으로 사후 대응적입니다. IOC가 탐지되면 일반적으로 침해가 이미 발생했음을 나타냅니다. 그러나 악의적인 활동이 여전히 진행 중이라면, IOC를 조기에 탐지하는 것이 공격을 차단하는 데 중요한 역할을 할 수 있으며, 이를 통해 더 빠른 봉쇄를 가능하게 하고 조직의 잠재적 피해를 줄일 수 있습니다.
행동 네트워크 분석
대부분의 NDR은 시그니처 기반 탐지와 함께 행동 분석 기능도 제공합니다. 이는 모든 데이터 포인트를 수집하지만, 외부 위험 데이터베이스와 정적으로 비교하는 대신, 이를 활용하여 행동 기준을 구축합니다.
이 기준선은 정상적인 활동을 나타내며, 기기와 사용자를 통신 빈도, 데이터 양, 프로토콜 사용 현황에 따라 분류합니다. 이러한 예상 동작 패턴이 정의되면 NDR 솔루션은 잠재적 위협을 나타낼 수 있는 이상 징후를 효과적으로 식별할 수 있습니다. 예상 프로토콜 동작과 실제 프로토콜 동작 간에 차이가 있을 수 있으며, 업무 시간 외 비정상적인 애플리케이션 활동이 발생할 수 있습니다. NDR은 다른 보안 도구와 통합되어 조직의 정상적인 네트워크 활동을 더욱 완벽하게 파악할 수도 있습니다.
동작 기반 위협 탐지와 서명 기반 위협 탐지를 모두 합치면 NDR은 동서 방향의 가시성뿐 아니라 네트워크 수준의 위협 탐지까지 제공할 수 있습니다.
EDR이란 무엇입니까?
- 프로세스 실행 데이터 : 부모-자식 관계, 명령줄 인수, 실행 타임스탬프를 포함한 모든 실행 프로세스의 세부 정보입니다.
- 파일 시스템 변경 : 파일 생성, 수정, 삭제 및 무결성 검사(파일 해시 및 다운로드 소스 포함).
- 레지스트리 수정 사항: 시스템 동작에 중요한 Windows 레지스트리 키와 구성 설정이 변경되었습니다.
- 사용자 계정 : 직접 및 원격으로 로그인한 모든 사용자 계정
- 시스템 구성 : 설치된 애플리케이션, 서비스 상태 및 보안 정책 준수 데이터입니다.
NDR 센서와 마찬가지로 EDR 에이전트는 원시 데이터를 중앙 플랫폼으로 지속적으로 스트리밍하고, 머신 러닝 모델은 이를 분석하여 승인되지 않은 프로세스 체인, 의심스러운 네트워크 통신, 알려진 공격 기술과 관련된 레지스트리 변경 등의 이상 징후를 파악합니다.
EDR 대 NDR: 다른 사용 사례
IoT 보안
NDR 센서는 종종 SPAN 포트를 기반으로 합니다. 이 포트는 네트워크를 통과하는 각 패킷의 복사본을 생성합니다. 이 복사본은 NDR의 모니터링 도구로 전달됩니다. 모든 원본 패킷을 분석 엔진으로 전달하는 대신, 패킷 정보를 복사하는 이 과정은 호스트 네트워크의 장애를 방지합니다.
민감한 네트워크를 보호하는 것 외에도, 이 설정은 사물 인터넷(IoT) 기기의 네트워크 활동을 추적하고 보호할 수 있도록 합니다. IoT 기기는 너무 가볍고 수가 많아 에이전트를 설치할 수 없는 경우가 많아, 이제는 보안 위협으로 악명 높습니다. 취약한 암호, 잘못된 기본 설정, 그리고 심각한 기기 관리 옵션 부족으로 인해 IoT 기기의 보안 유지가 매우 어려워졌습니다. 하지만 NDR 도구가 모든 네트워크 통신을 캡처하기 때문에 IoT의 동서(East-West) 동작을 모니터링할 수 있습니다. 또한, IoT 기기와 더 넓은 네트워크 간의 의심스러운 트래픽을 알려진 위협에 매핑할 수 있으므로 평균 대응 시간(MTTR)이 크게 단축됩니다.
원격 직원 보호
EDR은 엔드포인트에서 직접 지속적인 모니터링, 위협 탐지 및 자동 대응 기능을 제공합니다. 원격 엔드포인트가 특정 네트워크 및 주변 장치에만 국한될 수 없기 때문에 이는 특히 중요합니다. 이러한 보호 기능이 없으면 하이브리드 직원이 원격 장치를 조직 네트워크에 다시 연결할 때 감염 매개체가 될 위험이 있습니다.
또한, 원격 장치에서 보안 이벤트가 발견되면 EDR은 주변 요인에 따라 대응 플레이북을 실행할 수 있습니다. 예를 들어, 랜섬웨어를 나타내는 IoC가 발견되면 EDR은 확산되기 전에 영향을 받는 장치를 격리할 수 있습니다.
측면 움직임 감지
NDR 대 EDR: 차이점 한눈에 보기
|
특징/역량 |
NDR |
EDR |
| 초점 영역 |
네트워크 트래픽과 통신을 모니터링합니다. |
개별 엔드포인트 장치(예: 노트북, 서버)를 모니터링합니다. |
| 데이터 소스 | 네트워크 패킷, 흐름 레코드(NetFlow/IPFIX), 메타데이터. | 시스템 로그, 파일 활동, 프로세스 동작, 레지스트리 변경 사항. |
| 가시성 범위 | 네트워크 전체에 대한 광범위한 가시성. | 심층적인 장치 수준의 가시성. |
| 위협 탐지 방법 | 이상 감지, 행동 분석, 암호화된 트래픽 검사. | 파일 분석, 동작 모니터링, 서명 기반 탐지. |
| 고객 사례 | 측면 이동, 지휘 및 통제 교통, 데이터 유출. | 악성코드 감염, 내부 위협, 악용 시도. |
| 대응 능력 | 알림 및 통합 기능 SIEM/SOAR; 제한적인 직접적 개선. | 자동화된 위협 억제(예: 프로세스 종료, 장치 격리). |
| 배포 시나리오 | 많은 수의 연결된 장치가 있는 기업 네트워크. | 원격 근무, BYOD 환경, 고위험 엔드포인트. |
| 배포 요구 사항 | 일반적으로 에이전트가 없으며 TAP 및 SPAN 포트와 같은 네트워크 센서를 사용합니다. | 모니터링되는 각 엔드포인트 장치에 에이전트를 설치해야 합니다. |
Stellar Cyber를 통해 EDR과 NDR을 통합하세요
두 도구는 매우 효과적으로 연동되므로 함께 배포되는 경우가 많습니다. 각 도구에서 얻은 정보는 MTTR(평균 수리 시간)을 크게 단축할 수 있으므로 각 도구의 통합 기능의 중요성이 더욱 커집니다. Stellar Cyber는 이러한 통합 기능을 엽니다XDR 제품 – 모든 EDR과 통합되어 맬웨어 샌드박싱과 함께 심층 패킷 검사(DPI)를 수행하여 항상 활성화된 제로데이 맬웨어를 탐지하고 방지합니다.
엽니다XDR Stellar는 네트워크 수준 경고와 조직 자체 보안 도구 스택에서 생성된 경고를 연관시켜 접근 가능한 인시던트로 변환합니다. 분석가의 워크플로를 끝없는 경고로 채우는 대신, Stellar는 경고를 사전에 분류하고 필터링하여 즉각적인 조치가 필요한 항목으로 구분합니다. Open이 어떻게 작동하는지 살펴보세요.XDR 보안팀에 선제적 대응 기능을 다시 제공할 수 있습니다. 오늘 데모로.
