최고의 15가지 네트워크 감지 및 대응(NDR) 솔루션
Gartner® Magic Quadrant™ NDR 솔루션
왜 우리 회사가 챌린저 쿼드런트에 유일하게 포함되었는지 확인해 보세요...
AI 기반 보안을 실제로 경험해 보세요!
Stellar Cyber의 최첨단 AI로 위협을 즉각적으로 감지해보세요...
NDR 솔루션이 필요한 이유는 무엇입니까?
현대의 네트워크는 10년 전과는 크게 다릅니다. 애플리케이션 워크로드는 분산 아키텍처에 의존하고, 원격 근무자는 공공 및 재택 네트워크에 크게 의존하며, 빠르게 변화하는 글로벌 위협 환경은 모두 네트워크 엔지니어와 보안 관리자에게 점점 더 큰 부담을 주고 있습니다.
결과적으로, 한때 네트워크 보안의 보루였던 방화벽은 필요한 모든 가시성을 제공하지 못하고 있습니다. 방화벽은 남북 데이터 흐름, 즉 내부 네트워크 내의 장치와 공용 인터넷 간을 이동하는 트래픽에만 집중합니다. 바로 이 부분에서 NDR 솔루션이 그 빈틈을 메웁니다. NDR 솔루션은 내부 네트워크에 센서를 배치하고 내부 장치 간의 모든 상호작용을 모니터링합니다.
이 데이터는 정상적인 네트워크 동작 모델에 구축되어 다른 지능 요소와 비교 및 교차 참조됩니다. AI 모델은 이 데이터를 네트워크의 과거 모델과 비교하여 편차를 파악합니다. 자세히 알아보기 NDR이 여기 뭐야?.
올바른 NDR 도구를 선택하는 방법
곧 살펴보겠지만, 현재 시장에는 수십 개의 NDR(네트워크 장애 보고) 제공업체와 도구가 있습니다. 올바른 도구를 선택하려면 특정 네트워크 아키텍처, 위협 환경 및 규정 준수 요구 사항에 대한 심층적인 이해가 필요합니다. 이를 위해서는 몇몇 주요 이해관계자가 분석을 수행해야 합니다. CISO(최고 정보 보안 책임자), SOC 관리자 및/또는 네트워크 관리팀은 현재 보안 및 네트워크 관리의 사각지대에 대한 각자의 의견을 필요로 합니다.
NDR의 핵심 구성 요소는 기존 보안 및 IT 인프라와 통합할 수 있다는 것입니다. 먼저, 자사 네트워크를 시각화하여 처리량, 서버 기반 플랫폼, 온프레미스 또는 클라우드 기반 여부, 그리고 기존 보안 도구가 네트워크 내 동서 트래픽을 모니터링할 수 있는지 파악하십시오.
마지막으로, 조직이 도구에 투입할 수 있는 리소스를 평가하십시오. 빠른 설정, 자동 위협 탐지, 직관적인 대시보드를 갖춘 솔루션은 소규모 보안 팀에 생명줄이 될 수 있지만, 고도로 맞춤화된 옵션은 운영에 더 많은 인력이 필요하지만 매우 복잡한 네트워크에서 오탐(false positive)을 근절할 수 있습니다. 조직의 요구 사항을 파악하는 데 시간을 투자하는 것은 매우 중요합니다. 그렇지 않으면 세 글자 약어만으로 제품을 구매하게 될 위험이 있습니다.
NDR의 주요 특징은 무엇입니까?
사용 가능한 NDR 솔루션 중에서 올바르게 선택하는 것이 중요하지만 핵심 기능을 제공하는 필수 기능을 정확히 파악하는 것이 좋습니다.
- 심층 패킷 검사(DPI): DPI는 네트워크 패킷의 헤더뿐만 아니라 전체 내용을 분석하여 데이터 흐름에 대한 상세한 통찰력을 제공합니다. DPI는 필수적이지만 한계가 있습니다. 리소스를 많이 소모하고 고대역폭 환경이나 암호화된 트래픽에서는 가시성이 크게 저하됩니다.
- 메타데이터 분석: 메타데이터는 전체 패킷 페이로드를 분석하지 않고도 IP 주소, 포트, DNS 로그, 암호화 세부 정보와 같은 세션 속성을 포착하여 확장성이 뛰어난 통찰력을 제공합니다. DPI와 달리 암호화되고 분산된 네트워크에서도 효과적이므로 최신 환경에 이상적입니다.
- 행동 분석: 행동 분석은 알려진 위협 시그니처에만 의존하는 대신, 머신러닝을 활용하여 이상 징후를 탐지합니다. 지도 학습 모델은 일반적인 위협 행동을 탐지하는 반면, 비지도 학습 모델은 기준선을 설정하고 편차를 표시하여 새로운 공격을 발견하는 데 도움을 줍니다.
- 위협 인텔리전스 통합: NDR을 위협 인텔리전스 피드와 연결하면 알려진 IoC 및 공격 패턴 탐지가 향상됩니다. 이러한 맥락은 위협의 우선순위를 정하고 사고 대응을 개선하는 데 도움이 되며, 특히 MITRE ATT&CK와 같은 프레임워크와 연계될 때 더욱 효과적입니다.
- 보안 스택 통합: NDR을 EDR과 같은 도구와 결합하면 SIEM 보안 팀에 전방위적인 가시성을 제공합니다. 네트워크에서 훨씬 더 많은 공격이 탐지되지만, 플랫폼 간 통합을 통해 최초 침입 지점부터 자동화되거나 즉각적인 대응이 가능합니다.
추천하는 상위 15개 NDR 솔루션
#1. 스텔라 사이버
Stellar Cyber는 개방형 확장 탐지 및 대응 시스템입니다.Open XDRStellar는 다른 NDR(네트워크 장애 보고) 업체처럼 네트워크 원격 측정 데이터에만 국한되지 않고, 모든 관련 보안 데이터를 통합적으로 수집하고 분석하는 데 중점을 둡니다. 즉, 네트워크 및 엔드포인트 동작, ID 프로토콜, 생산성 앱 등을 분석합니다. 수집된 모든 데이터를 분석한 후에는 경고를 사전 분석하여 사건별로 그룹화하고 오탐을 제거합니다.
- 연결된 네트워크의 모든 자산을 발견하고 분석합니다.
- 여러 차례의 교차 분석을 통해 모든 데이터를 정규화하고 분석합니다.
- 암호화되지 않은 패킷에 대한 심층 패킷 검사를 수행하고 앱 및 네트워크 메타데이터 동작 분석을 수행합니다.
- 지도는 특정 ATT&CK 기술에 대한 위협을 감지했으며, 이를 통해 단순한 이상 경보가 아닌 공격 동작에 대한 명확한 이해를 제공합니다.
장점 : MITRE ATT&CK 정렬, 강력한 위협 탐지 기능, 높은 확장성 및 통합 옵션을 제공합니다. 모든 기능은 단일 라이선스로 제공됩니다.
단점 : 분석가 교육이 필요할 수 있으며, 기존 EDR 도구와 통합하면 가장 효과적입니다.
#2. 상포 사이버 커맨드
- 네트워크 로그 데이터를 중앙 관리 플랫폼으로 수집합니다.
- 일반적인 자산 행동에 대한 기준 모델을 구축합니다.
- 위협 인텔리전스 내의 침해 지표와 비교합니다.
#3. 팔로알토 네트웍스의 코텍스
- 네트워크 서버와 사전 배포된 보안 도구에서 데이터를 가져와 중앙 분석 및 알림 엔진으로 전송합니다.
- 경고를 발행하기 전에 엔드포인트와 네트워크 보안 데이터를 결합합니다.
#4. 크라우드스트라이크 팔콘
Falcon은 Cortex와 유사하게 조직의 엔드포인트, 네트워크, 사용자 및 보안 도구 전체에서 데이터를 수집하는 공동 EDR 및 NDR 툴입니다.
- 정책 기반 위협 탐지와 행동 위협 탐지가 모두 가능합니다.
- 관련 보안 관리자에게 우선순위가 지정된 알림을 전달합니다.
- Crowdstrike는 고객 간에 IoC를 공유하여 새로운 공격을 방지합니다.
장점 : 가시성과 로깅이 뛰어나고, 배포가 비교적 간단하며, 대시보드에 쉽게 접근할 수 있습니다.
단점 : 제한된 구성 옵션, 알림 및 워크플로우 사용자 정의 기능은 데이터 분석 기능만큼 심층적이지 않습니다.
#5. 다크트레이스
Darktrace는 네트워크 보안에 행동 분석을 적용하는 데 중점을 둔 영국 기반 NDR 솔루션입니다. 이메일 보안과 같은 다른 플러그인도 제공하며, 이를 통해 통신 플랫폼에 동일한 분석을 적용할 수 있습니다. 전담 보안팀이 없는 조직에서 인기가 높습니다.
- 로컬 머신에 배포된 자체 학습 행동 분석 모델입니다.
- 알림을 쉬운 영어로 설명하는 AI 챗봇이 포함되어 있습니다.
장점 : 무료 체험판, 전담 설치 및 초기 구성 지원.
단점 : 비용이 많이 들고, 타사 보안 도구 통합이 부족합니다. 행동 분석에만 의존하면 많은 수의 거짓 양성 반응이 발생할 위험이 있습니다.
#6. 엑스트라홉 리빌X
RevealX는 네트워크 성능 관리 기능에도 사용할 수 있는 이중 용도의 NDR 플랫폼입니다.
- 분석을 위해 패킷 캡처를 수행하고 SSL 및 TLS 암호 해독을 제공합니다.
- 온프레미스와 클라우드 기반 배포 옵션이 모두 제공됩니다.
장점 : 좋은 문서화, 암호 해독을 통해 암호화된 맬웨어 패킷을 발견할 수 있습니다.
단점 : 비용이 많이 들고, 종종 여러 대의 기기를 배포해야 하며, 패킷 복호화 자체가 보안 문제를 야기할 수 있습니다.
#7. 벡트라.ai
Vectra.AI는 조직의 SaaS, 퍼블릭 클라우드, 데이터 센터 네트워크에 배포되는 널리 사용되는 NDR 도구입니다.
- 중앙 AI를 통해 네트워크 및 ID 활동을 분석하고, 문제를 정리하여 알림으로 제공합니다.
- 대시보드를 통해 알림의 우선순위를 지정하고 그 이유를 보여줍니다.
장점 : Vectra의 관리형 탐지 및 대응(MDR) 기능은 사람의 평가를 통해 AI를 지원할 수 있습니다. 강력한 독립형 도구입니다.
단점 : 다른 보안 도구와의 통합이 제한적이고, 신규 사용자를 위한 교육이 부족하며, 사용자 정의가 어렵고 지식 요구 사항이 높으며, 대시보드가 매우 기술적입니다.
#8. 무닌
Logpoint가 소유한 Muninn은 사내 네트워크 보안을 처음 접하는 중소 규모 기업에 인기 있는 NDR입니다.
- 스위치 및 방화벽 구성 요구 사항이 적어 간단한 배포에 중점을 둡니다.
- 일반 네트워크 동작 모델의 기준선입니다.
- 온프레미스 및 에어갭 네트워크에 배포할 수 있습니다.
장점 : 네트워크 트래픽에 대한 확실한 개요를 제공하고, 가격도 합리적이며, 포렌식 조사를 위해 원시 데이터를 장기간 보관할 수 있습니다.
단점 : 비교적 가벼운 도구이지만 심층적인 사고 분석은 여전히 수동으로 수행해야 합니다.
#9. Rapid7 InsightIDR
기술적으로는 클라우드 기반 보안 정보 및 이벤트 관리 시스템이지만 (SIEM이 솔루션은 강력한 기능을 제공합니다. XDR 엔드포인트 및 네트워크와의 통합을 통해 기능을 확장합니다.
- 엄격한 규정을 준수하는 데 도움이 되는 온프레미스 수집기에서 데이터 집계를 제공합니다.
- MITRE ATT&CK 프레임워크를 인텔리전스 소스로 활용합니다.
장점:접근성 조사 도구와 대시보드, 기존 보안 도구와의 빠른 통합.
단점 : 대시보드 사용자 정의가 제한적이고, 클라우드에서만 사용 가능하며, 로그는 12개월 동안만 저장됩니다.
#10. 아리스타
Arista는 네트워킹 분야의 거물이며, 대규모 데이터 센터, 캠퍼스 및 라우팅 환경 프로비저닝에 주력하고 있습니다. Arista의 NDR은 스위치에서 보안 도구로의 전환을 의미합니다. 따라서 대용량 네트워크 데이터를 처리하도록 잘 구성되어 있으며 네트워크 관리자들에게 인기가 높습니다.
- 제로 트러스트에 초점을 맞춥니다.
- 심층 패킷 검사를 수행합니다.
- 몇 시간 내에 빠르게 배포되도록 제작되었습니다.
장점 : 시간 경과에 따라 개별 엔터티의 네트워크 사용을 추적하는 기능 등 상당히 세부적인 보고 기능을 제공합니다.
단점 : 이메일이나 SMS를 통해 알림을 구성하거나 오래된 데이터를 보관할 수 있는 기능이 없고, 문서도 매우 제한적입니다.
#11. 포티넷 NDR
또 다른 유명 보안 업체인 FortiNDR은 Fortinet의 최신 제품 중 하나이며, 가장 고가의 제품 중 하나입니다. 이 도구는 개별 네트워크의 지속적인 활동을 모니터링하며, 기존 FortiGate 및 FortiSandbox 도구의 기능을 기본적으로 결합합니다.
- 동서 네트워크 패킷을 분석하여 악성 동작과 내용을 파악합니다.
- 에어갭 네트워크에 배치할 수 있습니다.
- 분석가의 대응을 가속화하기 위한 가이드 플레이북을 제공합니다.
장점 : 강력한 제로데이 탐지 기능; 대시보드를 통해 기본적인 자동 치료 옵션을 사용할 수 있으며, Fortinet 도구와 매우 쉽게 통합됩니다.
단점 : 자세한 분석을 제공하지 않고, UI가 매우 기본적이며, 다른 보안 공급업체의 툴과의 통합이 부족합니다.
#12. 시스코 보안 네트워크 분석(StealthWatch)
Cisco StealthWatch는 엄밀히 말하면 NDR은 아니지만 네트워크 가시성을 위한 옵션으로 간주됩니다. Cisco의 엔터프라이즈 라이선스에 포함되는 경우가 있으므로 기존 Cisco 기업들은 이를 NDR처럼 사용하고 싶어할 수 있습니다. 그러나 StealthWatch의 동작 분석은 네트워크 패킷의 내용을 다루지 않으며, 메타데이터만 분석합니다.
- 남북 교통에 대한 실시간 가시성과 보고 기능을 제공합니다.
- 데이터 보존 기간을 연장하여 법의학에 도움이 됩니다.
장점 : 강력한 네트워크 트래픽 분석 도구, 완벽한 제어 및 사용자 정의 기능, 훌륭한 고객 지원, 네트워크 문제 해결을 위한 이중 목적
단점 : 대량의 수동 구성이 필요하고, 이스트-웨스트 또는 서버 로그 분석을 제공하지 않으며, 기능이 추가되지 않았고 펌웨어 업데이트에 시간이 많이 걸립니다.
#13. ManageEngine Netflow Analyzer
StealthWatch와 마찬가지로 ManageEngine의 NetFlow Analyzer는 보다 전통적인 네트워크 트래픽 분석 도구입니다. 이 도구는 개별 하위 네트워크에서 네트워크 트래픽을 수집하고 분석하며, 애플리케이션, 인터페이스, 장치에 따라 사용량을 세분화하고 분석합니다.
- 남북 교통에 행동 분석을 적용하여 관리자가 예상치 못한 교통 흐름과 요청을 찾을 수 있도록 합니다.
- 애플리케이션 프로토콜을 모니터링하고 매핑합니다.
장점 : 매우 비용 효율적이며, 숙련된 네트워크 관리자가 내부 네트워크와의 트래픽을 추적할 수 있습니다.
단점 : 엄밀히 말하면 NDR은 아닙니다. 동서 네트워크 트래픽을 분석할 수 없기 때문입니다.
#14. 아이언디펜스
보안 분야에서 비교적 최근에 출시된 IronNet의 NDR 솔루션인 IronDefense는 완벽하게 프로비저닝된 NDR 제품입니다.
- 실시간으로 동서 방향의 가시성을 제공합니다.
- 완전 또는 부분 자동화된 대응을 수행하기 위한 사용자 정의 플레이북을 제공합니다.
장점 : IronNet 팀은 새로운 기능과 개선 사항에 집중하여 배포 및 통합을 간편하고 효율적으로 진행하고 있습니다.
단점 : 빠르게 확장되는 네트워크에 배포하면 빠른 속도로 실행하는 데 어려움을 겪을 수 있으며, 인터페이스도 그다지 예쁘지 않고, 주니어 분석가는 학습 곡선을 따라가며 지원을 받아야 합니다.
#15. 코어라이트
이미 다룬 독점 소프트웨어의 양을 고려했을 때, Corelight는 오픈 소스 소프트웨어인 Zeek를 기반으로 구축되어 이러한 추세를 깼습니다. Zeek는 잘 정립된 네트워크 트래픽 모니터링 시스템이지만, 수동적인 로그 수집에만 국한되어 있습니다. 오픈 소스 환경에서는 관리자가 일반적으로 Suricata와 함께 배포합니다. Corelight는 이러한 기능을 기반으로 구축됩니다.
- 자동화된 이벤트 분석.
- AI 지원 티켓 관리를 통해 워크플로를 더욱 빠르게 진행할 수 있습니다.
- Fleet Manager라는 센서 관리자를 사용하면 센서를 전체적으로 관리할 수 있습니다.
장점 : 유연한 통합에 중점을 두고 있으며, 고객 서비스가 매우 좋은 것으로 알려져 있습니다.
단점 : TLS 복호화가 없고, Fleet Manager는 지속적으로 시스템 로그를 다운로드하거나 이전 정책을 새로운 센서에 적용할 수 없어 다루기 어려울 수 있습니다.
Stellar Cyber로 네트워크 탐지 및 대응 자동화
Stellar Cyber는 네트워크 보안을 그 어느 때보다 간소화합니다. 2계층부터 7계층까지 광범위한 원시 데이터를 수집하여 각 데이터 포인트를 분석하기 전에 연결된 휴리스틱이나 알려진 공격 시그니처를 파악합니다. 분석가의 이메일에 알림을 쌓아두는 대신, Stellar는 개별 알림을 더 광범위한 보안 사고로 통합하여 분석가가 신속하게 대응할 수 있도록 지원합니다. 마지막으로, 자동으로 대응 조치를 설정하거나 클릭 한 번으로 시정 조치를 취할 수 있습니다. Stellar Cyber의 더 많은 기능을 여기에서 살펴보세요.네트워크 보안을 정확하고 포괄적으로 구축하세요.
