네트워크 감지 및 응답(NDR) 설명

  • 주요 집 약 :
  • 네트워크 감지 및 대응(NDR)은 무슨 역할을 하나요?
    NDR은 네트워크 트래픽을 지속적으로 분석하고, 이상 징후를 감지하기 위한 행동 모델을 구축하며, AI를 통해 대응을 자동화합니다.
  • NDR은 NTA에서 어떻게 발전했나요?
    기본 교통 모니터링에서 행동 및 시그니처 분석을 활용한 고급 검사 및 자동 대응으로 전환했습니다.
  • Stellar Cyber의 NDR은 어떤 주요 기능을 제공합니까?
    심층 패킷 검사, 분산 센서, 중앙 집중식 데이터 레이크, AI 기반 위협 탐지, 자동화된 SOAR 통합.
  • Stellar Cyber는 어떻게 데이터 양을 줄이고 감지 기능을 향상시키나요?
    위협 정보를 풍부하게 제공하는 동시에 최대 500배까지 데이터를 줄여 실시간 AI 기반 상관관계와 대응이 가능합니다.
  • NDR은 보안 운영을 통합하는 데 어떻게 도움이 되나요?
    Stellar Cyber의 NDR은 다음과 통합되어 있습니다. Open XDR원활한 상관관계를 가능하게 합니다. SIEM, SOAR, 그리고 UEBA 하나의 플랫폼에서.

네트워크 탐지 및 대응(NDR)은 내부 네트워크 활동을 수동적으로 수집하고 분석하여 조직의 네트워크에 대한 새로운 가시성을 제공합니다. 새로운 LLM(네트워크 보안)과 심층 네트워크 방어에 대한 새로운 요구가 증가함에 따라 NDR 도구는 이미 이 핵심 기능을 넘어 진화하고 있습니다. 가트너의 NDR 보고서 오늘날 시장의 도구가 LLM 증강, 다중 모드 위협 탐지, IaaS 기반 배포를 통해 경계를 넓혀가는 방식에 대해 자세히 설명합니다.

최신 NDR의 다운스트림 효과는 매우 큽니다. 더욱 응집력 있는 사고 대응, 더욱 엄격한 분석, 그리고 더욱 빠른 포렌식 분석이 가능해졌습니다. 이 가이드는 NDR에 대한 포괄적이고 심층적인 분석을 제공합니다.

#이미지_제목

Gartner® Magic Quadrant™ NDR 솔루션

왜 우리 회사가 챌린저 쿼드런트에 유일하게 포함되었는지 확인해 보세요...

더 보기
#이미지_제목

AI 기반 보안을 실제로 경험해 보세요!

Stellar Cyber의 최첨단 AI로 위협을 즉각적으로 감지해보세요...

데모 일정

NDR은 어떻게 작동하나요?

NDR은 동서 트래픽 흐름(내부)과 남북 트래픽 흐름(내부 네트워크와 공용 인터넷)에서 발생하는 네트워크 패킷과 트래픽 메타데이터를 지속적으로 분석할 수 있다는 점에서 독보적입니다. 각 네트워크 동작은 NDR에 의해 수집되는 주요 데이터 포인트를 나타내며, 각 데이터는 내부 네트워크의 일상 동작 모델을 구축하는 데 사용됩니다.

이를 통해 모든 편차를 즉시 감지할 수 있습니다. 이러한 비정상적인 패턴은 경고 형태로 분석가에게 전송되어 추가 조사를 거치게 되며, 이를 통해 트래픽이 공격을 나타내는 것으로 판단되거나 무해한 것으로 판단됩니다. 자동 대응 기능을 갖춘 최신 NDR은 인식된 위협에 대응하여 IP 차단과 같은 시정 조치를 자동으로 실행합니다. 이를 통해 분석가가 위협의 적법성을 판단하는 동안 네트워크의 안전을 유지할 수 있습니다.

NDR의 진화

NDR은 초기 뿌리를 다음까지 추적할 수 있습니다. 네트워크 트래픽 분석 (NTA)이 오래된 도구는 보안 및 네트워크 관리자가 함께 사용했습니다. 이를 통해 어떤 자산이 네트워크 트래픽을 수신하는지, 각 앱이나 기기가 얼마나 빨리 응답하는지, 특정 소스와 주고받는 트래픽 양을 파악할 수 있었습니다.

그러나 2010년대 초 위협 환경이 변화하면서 보안 관리자들은 네트워크 볼륨 데이터만으로는 전체 상황을 파악할 수 없다는 사실을 깨달았습니다. NTA에만 의존하여 위협 탐지를 수행하는 것은 매우 숙련되고 예리한 안목을 가진 네트워크 관리자를 요구했으며, 많은 부분이 우연에 맡겨졌습니다. 네트워크 탐지 및 대응(NDR)은 추가적인 분석 계층과 더불어 범용 네트워크 데이터 수집을 강조합니다.

오늘날의 NDR 도구 파일 시그니처 비교 및 ​​규칙 구현을 통해 핵심 동작 분석을 강화합니다. 잠재적 위협이 발견되면 NDR은 자동으로 의심스러운 파일을 격리하고, 보안 관리자에게 중요 정보를 알리고, 더 광범위한 보안 사고 내에서 경고의 상관관계를 분석합니다.

사이버 보안에서 NDR의 역할은 무엇입니까

전통적으로 조직의 사이버 보안은 바이러스 백신 및 방화벽과 같은 정적 위협 탐지 도구에 의존했습니다. 이러한 도구는 서명 기반 탐지에 의존하여 네트워크에 유입되거나 네트워크에서 공유되는 파일을 각 도구의 데이터베이스 내의 손상 지표와 비교하여 평가합니다.

그러나 경계 기반 사이버 보안이라고 불리는 이 설정에는 몇 가지 근본적인 결함이 있었습니다. 예를 들어, 방화벽이 지속적으로 업데이트되지 않으면 공격자가 그 틈새를 파고들 수 있습니다. 단일 기기나 서비스가 침해되면, 공격자가 권한 상승을 시작하면서 내부 네트워크 기기 간의 내재된 신뢰 관계가 악용됩니다.

NDR은 이러한 공격 체인을 활용하고 거의 모든 공격이 최소 하나의 내부 네트워크에 영향을 미친다는 것을 인식합니다. 사이버 보안 팀은 NDR 솔루션 배포 남북 및 동서 트래픽 모두에 걸쳐 조직 내부로 유입되는 트래픽과 내부 장치 간에 공유되는 트래픽에 대한 가시성을 제공합니다. 이를 통해 공격자가 의존하는 가장 큰 발판 중 하나를 차단할 수 있습니다. NDR 구매자 가이드 이 트래픽 데이터가 어떻게 처리되고 악의적인 활동이 있는지 분석하는 방법에 대한 자세한 설명입니다.

보안 운영 센터에서 NDR의 역할은 무엇인가요?SOC)?

현대 SOC 모든 곳에 동시에 존재해야 한다는 것은 현대 네트워크의 무분별한 확장을 고려할 때 결코 쉬운 일이 아닙니다. 결과적으로 NDR(네트워크 장애 대응)은 오늘날 효율적인 네트워크 구축에 중요한 역할을 합니다. SOC중앙 집중식 탐지 플랫폼이기 때문에 다음과 같은 기능을 제공할 수 있습니다. SOC 적절한 NDR에 의해.

완벽한 네트워크 가시성

핵심 구성 요소 SOC NDR의 핵심 능력은 디바이스, 사용자, 서비스 전반에 걸쳐 발생하는 위협을 탐지하고 대응하는 능력입니다. 네트워크 데이터는 귀중한 정보 소스이지만, 방대한 양 때문에 분석 전문가와 위협 헌터들이 작업 속도를 따라가지 못하는 경우가 많습니다. NDR 아키텍처는 네트워크 인프라와 방화벽에서 패킷, 흐름, 로그 데이터를 자동으로 수집할 수 있도록 설계되었습니다. 또한, 암호화된 트래픽도 가로채지 않고 분석할 수 있습니다. 이를 통해 더 광범위한 소스를 통합하여 심층 분석을 수행할 수 있으므로, 위협 대응에 더욱 효과적인 접근 방식을 제공합니다. SOC 그들의 네트워크에 대한 보다 포괄적인 시각.

연결된 알림

분류 전문가는 원시 데이터를 수집하고 수신되는 경보를 분석하여 보안 경보 처리에 중요한 역할을 합니다. 이들의 업무에는 경보 검증, 심각도 평가 또는 조정, 그리고 상황 정보로 경보를 보강하는 것이 포함됩니다. 최신 NDR은 다른 보안 도구와 통합되고 피싱 이메일부터 의심스러운 파일 다운로드까지 더 넓은 맥락에서 네트워크 이상 징후를 자동으로 표시하여 이러한 업무를 가속화합니다.

신속한 네트워크 인식

SOC 관리자들은 심층적인 네트워크 전문 지식이 필수적이라는 것을 잘 알고 있습니다. 이러한 수요로 인해 신규 채용 및 교육에 어려움이 발생할 수 있습니다. SOC 팀원들이 까다롭고 시간이 많이 걸립니다. NDR을 사용하면 SOC심지어 네트워크 전문 지식이 부족한 신입 팀원이라도 NDR 솔루션 배포 그리고 위협을 식별하기 시작합니다.

신속한 네트워크 대응

NDR의 분석 기능은 직관적인 대시보드를 통해 분석가에게 제공됩니다. 이 사용자 인터페이스를 통해 알림의 우선순위를 자동으로 지정하고, 수동 네트워크 대응 기능을 훨씬 더 빨리 시작할 수 있습니다.

NDR 대 엔드포인트 탐지 및 대응(EDR)

현대 사이버 보안은 단순한 네트워크 활동 이상의 가시성을 요구합니다. EDR은 엔드포인트 동작에 초점을 맞춘 솔루션입니다. 네트워크 및 엔드포인트 감지는 매우 간단합니다. NDR이 네트워크의 각 동작을 수집하여 더 넓은 추세 그래프에 표시하는 것처럼, EDR은 각 장치 수준의 동작을 수집하여 과거 또는 역할별 동작과 비교하여 분석합니다.

EDR 제품은 일반적으로 각 엔드포인트에 배포 가능한 엔드포인트 에이전트를 통해 제공됩니다. 로컬 환경을 통해 EDR은 프로세스 정보를 수집하여 시스템에서 실행 중인 프로세스를 모니터링하여 잠재적으로 악성 프로그램을 식별할 수 있습니다. 파일 정보는 파일의 무결성을 검증하기 위해 검사되며, 사용자 정보는 각 계정의 적법성을 확인합니다. 마지막으로, 시스템 정보는 엔드포인트 상태에 대한 포괄적인 뷰를 유지하기 위해 수집됩니다.

NDR과 EDR 중 어느 것을 선택할지 고민하기보다는, 대부분의 조직에서는 NDR과 EDR을 함께 배포합니다. 이를 통해 전체 공격 체인을 추적하고 모니터링할 수 있습니다. 최초 계정 침해부터 네트워크 수준의 권한 상승, 그리고 최종적인 멀웨어 배포에 이르기까지, 복잡한 공격 전체를 사전에 탐지할 수 있습니다. 이러한 잠재력을 인식한 일부 사이버 보안 업체들은 NDR과 EDR 사이에 분석 및 오케스트레이션 기능을 추가하는 확장 탐지 및 대응(EDR) 솔루션을 제공하기 시작했습니다.XDR).

NDR은 EDR과 어떻게 비교되나요? XDR?

NDR, EDR 및 XDR 이 기술들은 미묘하게 구별되는 특징을 가지고 있으며, 각각 위협 식별 및 대응 프로세스의 서로 다른 측면을 목표로 합니다. 또한, 그 범위도 네트워크 특정 영역부터 조직의 전체 공격 표면에 이르기까지 다양합니다.

NDR(네트워크 탐지 및 대응)

EDR(Endpoint Detection and Response) (엔드포인트 탐지 및 대응)

XDR (확장 탐지 및 대응)
범위 네트워크 트래픽. 엔드포인트(노트북, 서버, 장치). 모든 (엔드포인트, 네트워크, 클라우드).
기본 데이터 소스 네트워크 메타데이터, 트래픽 흐름. 엔드포인트 원격 측정, 파일 및 프로세스 동작. 여러 도메인에 걸친 집계된 원격 측정.
대응 능력 네트워크 수준의 작업에만 국한되며 점차 자동화된 응답을 제공합니다. 격리와 같은 종료 지점별 대응에 격리됨. 플랫폼 간 자동 응답의 완전한 자유를 제공합니다.
배포 복잡성 중간(네트워크 통합 필요). 중간(엔드포인트에 에이전트 설치 필요). 높음(모든 보안 플랫폼이나 기본 데이터 소스에 대한 통합이 필요함).
최고의 사용 사례 측면 이동과 은밀한 위협을 감지합니다. 손상된 엔드포인트 식별. 포괄적인 위협 감지 및 대응.

NDR 솔루션에 사용되는 기술

NDR은 엄청난 양의 데이터를 지속적으로 처리하고 분석하기 때문에 복잡한 위협에 대처하기 위해 사용하는 다양한 전략을 이해하는 것이 중요합니다.

암호화된 트래픽 분석

암호화된 트래픽 보안은 전통적으로 까다로운 주제였습니다. 오늘날 대부분의 트래픽이 암호화되어 있는 상황에서 암호화된 트래픽을 제대로 분석하지 못한다면 심각한 문제가 될 수 있습니다. 그러나 모든 네트워크 패킷을 전송 중에 복호화하면 데이터 및 토큰 노출 위험이 크게 높아질 수 있습니다.

이 문제를 해결하기 위해 시장을 선도하는 도구들은 종종 NDR 기술을 스택에 의존합니다. 토큰이나 복호화된 데이터 유출을 방지하기 위해 센서를 프록시 서버 뒤에 배치할 수 있습니다. 이는 암호화된 트래픽 감지를 활용하고 프록시를 통해 라우팅합니다. 트래픽은 정상적으로 복호화되고, 센서는 모든 정보를 중앙 NDR 엔진으로 전달합니다. 여기에서 NDR 기능에 대해 자세히 알아보세요.

프록시 서버가 특정 사용 사례에 적합하지 않은 경우, 패턴을 통해 트래픽의 적법성을 정확하게 감지할 수 있습니다. 완전히 암호화된 트래픽은 암호화를 해제하지 않고도 JA3 핑거프린팅을 통해 맬웨어 여부를 평가할 수 있습니다. 또한, 센서가 패킷 헤더와 TLS/SSL 핸드셰이킹에서 서버 인증서, IP 주소, 도메인 이름, 세션 기간, 바이트 수를 추출할 수 있으므로, 패턴과 메타데이터를 결합하여 암호화된 패킷의 의도를 감지할 수 있습니다.

마지막으로, 트래픽 복호화가 반드시 필요한 경우, 최신 NDR을 패킷 복호화 서비스와 통합할 수 있습니다. 그 결과 생성된 네트워크 데이터는 평소처럼 중앙 분석 엔진으로 전송됩니다.

자동 자산 검색

어떤 장치가 네트워크에서 데이터를 주고받는지 파악하는 것은 매우 중요합니다. NDR은 각 자산의 MAC 주소, IP 주소 및 호스트 이름에 따라 자산을 자동으로 추적하고 자산 관리 대시보드에 추가합니다. 이를 통해 영향을 받는 자산에 따라 네트워크 수준의 위험을 표시할 수 있습니다.

프로토콜 디코딩

네트워크 프로토콜은 네트워크 장치 간에 데이터의 형식 지정, 전송, 수신 및 해석 방식을 정의하는 일련의 규칙입니다. 이는 상황적 퍼즐의 핵심 요소입니다. 따라서 NDR은 기본적으로 적절한 프로토콜을 결정하기 위해 필요한 원시 데이터를 재구성합니다. 그런 다음 실제 네트워크 데이터를 예상 프로토콜과 비교하여 트래픽 편차를 신속하게 감지합니다.

행동 분석

각 트래픽 흐름의 프로토콜과 함께 NDR은 각 네트워크의 일상적인 운영 방식에 대한 모델을 구축할 수 있습니다. 예를 들어, 몇 달 동안 직원이 오전 10시에 SFTP를 통해 특정 사이트에 파일을 업로드하는 것을 목격할 수 있습니다. 그런데 갑자기 이 직원이 새벽 5시에 다른 2개의 내부 장치에 파일을 업로드하면, NDR은 이 의심스러운 동작을 감지하고 추가 분석을 위해 플래그를 지정합니다.

네트워크 감지 및 대응을 배포하는 방법

NDR 배포는 클라우드 기반, 온프레미스 또는 이 두 가지를 혼합한 형태 등 조직이 사용하는 모든 네트워크를 포괄해야 합니다. 다음 배포 방법을 통해 조직 내에서 NDR이 기술적으로 어떻게 배포되는지 자세히 살펴볼 수 있습니다.

센서 배치

NDR은 모니터링되는 모든 네트워크에 센서를 배포해야 합니다. 하지만 사용 사례에 따라 특정 센서가 존재하며, 성공적인 배포를 위해서는 해당 작업에 적합한 센서가 필요합니다. 예를 들어, Linux 배포 환경에는 Linux 서버 센서가 필요합니다. 이러한 센서는 명령 실행 및 로그를 수집하는 동시에 서버 품질을 보호하기 위해 한 번에 사용할 수 있는 CPU 리소스의 양이 미리 설정된 상태로 배포되는 경우가 많습니다. Windows 서버도 자체 유형의 센서를 필요로 하며, 이러한 센서는 Windows의 전체 범위를 수집합니다. 이벤트 유형.

모듈형 센서는 또 다른 유형입니다. 이러한 센서는 맞춤형 기능을 센서와 함께 패키지로 제공할 수 있습니다. 예를 들어, 로그 전달 기능을 포함할 수 있습니다. 이는 특정 상황에서 특정 데이터와 함께 배포해야 할 경우 유용합니다. SIEM 또는 NDR에서 요구하는 기타 보안 도구 및 네트워크 트래픽 수집 기능을 사용할 수 있습니다. 더욱 강력한 보안 요구 사항의 경우, 모듈형 센서를 샌드박스 및 침입 탐지 시스템과 함께 배포할 수도 있습니다.

각 배포에 적합한 센서를 식별했다면, 그에 맞게 설정하는 것이 중요합니다. 다양한 배포 방법이 있습니다. SPAN 포트는 가장 일반적인 방법 중 하나로, 네트워크 스위치의 네트워크 트래픽을 NDR 센서가 있는 포트로 미러링하는 방식으로 작동합니다. 이를 통해 NDR 도구는 해당 포트로 전송되는 모든 트래픽을 수동으로 패킷 캡처할 수 있습니다.

가상 환경은 호스트 내부 VM 간에 흐르는 데이터의 복사본을 캡처하는 가상 탭(Virtual TAP) 배포에 의존합니다. 물리적 TAP은 이 트래픽이 물리적 네트워크 케이블을 통과하지 않기 때문에 이를 감지하지 못합니다. 원격 엔드포인트의 네트워크 활동은 장치에 직접 설치되는 경량 수집기인 에이전트 기반 수집기를 통해 모니터링할 수 있습니다.

데이터 수집

모든 데이터는 센서에 의해 지속적으로 모니터링되므로, NDR의 중앙 분석 엔진에 의해 수집 및 분석되어야 합니다. 이 작업은 수신기와 커넥터라는 두 가지 프로세스에 의해 수행됩니다. 수신기는 센서 입력을 받아 접속된 IP 주소 또는 포트 번호로 전송하는 실행 중인 작업이며, 커넥터는 연결된 원시 네트워크 패킷 데이터를 분석합니다.

다운로드 및 설정

NDR 관리 콘솔을 다운로드하고 구성하는 방법은 선택한 공급업체에 따라 다르지만, 모든 공급업체는 관리자 역할, 경고 임계값 및 알림 프로토콜을 초기 설정해야 합니다. 새 도구를 처음 배포할 때는 일반적으로 최소 1~2주간의 교육이 필요합니다. 이를 통해 분석가의 워크플로와 도구를 통합하는 방법을 익힐 수 있습니다.

자동 응답 활성화 및 조정

자동화된 응답은 최신 NDR 도구의 핵심 기능입니다. 잠재적 공격에 대비하여 상당한 시간을 절약할 수 있습니다. NDR에 따라 TCP 세션 종료, 동적 네트워크 분할, 트래픽 제한과 같은 자동화된 응답 동작과 각 동작을 트리거하는 동작 프로필을 구성해야 합니다. 여기에서 NDR을 배포하는 방법에 대해 자세히 알아보세요.

NDR을 다른 보안 도구와 통합

NDR은 정상적인 네트워크 동작에 대한 휴리스틱 모델을 구축하고 이를 통해 그 이상 징후를 감지할 수 있어 다른 보안 기술이 제공하는 정보를 크게 보완합니다. 이러한 기술을 통합할 수 있다면 각 경보에 네트워크 수준의 보안 인식 기능을 추가할 수 있습니다. 다음은 NDR 통합이 일반적이고 성공적으로 수행되는 보안 도구입니다.

EDR

EDR과 NDR을 통합하면 공격 체인을 완벽하게 파악할 수 있을 뿐만 아니라 EDR 장치를 통해 위협에 자동으로 대응할 수 있습니다. 예를 들어, 악성코드가 장치에 다시 연결될 경우, EDR/NDR 통합 솔루션은 해당 장치를 네트워크에서 자동으로 격리할 수 있습니다. 이러한 격리를 통해 위협 확산을 방지하는 동시에 보안 팀은 사고를 조사하고 필요한 조치를 취할 수 있습니다.

SIEM

SIEM는 보안 팀에서 널리 사용됩니다. 로그 분석 및 탐지를 가능하게 하며, 현대적인 위협 관리의 전신입니다. 그러나, SIEMs는 매우 많은 로그를 처리해야 하는데, 로그만으로는 가장 심층적인 위협 가시성을 확보할 수 없습니다. SIEM이러한 시스템은 오탐이 발생하기 쉽습니다. 그 결과 하루에 수천 건의 경고가 발생하며, 이를 수동으로 검토하는 것은 사실상 불가능합니다.

NDR(배달원 확인서)은 언제든지 인증 계층을 설정할 수 있도록 합니다. SIEM 잠재적인 사고가 감지되면 해당 네트워크 데이터를 분석할 수 있습니다. 두 데이터 소스 모두 공격을 가리키는 경우 NDR의 중앙 대시보드를 통해 경고를 발행할 수 있습니다. 이는 잘못된 경고를 걸러내는 데 도움이 될 뿐만 아니라 검토 분석가에게 더 나은 분석 기반을 제공합니다.

방화벽

NDR은 비정상적이거나 악의적인 네트워크 동작을 감지하여 방화벽 위협 인텔리전스를 강화합니다. 특정 IP 주소에서 동작을 추적하므로, 이 실시간 정보는 각 네트워크 또는 하위 네트워크에 구축된 방화벽으로 전송될 수 있습니다. 그러면 방화벽은 자동으로 관련 정책을 구축하고 시행하여 의심스러운 트래픽을 차단합니다.

너무 좋은 소리야
사실일까?
직접 보세요!

데모 신청
위쪽으로 스크롤
뉴스 레터 신청