제품소개

엔드포인트를 향한 공격은 고도화와 다양화를 거듭하고 있습니다. 매일 수 많은 신종 악성코드가 나타나는 현재, 모든 위협을 사전 차단하는 것은 불가능에 가깝습니다. 이제, 위협을 상시 감시하고 신속한 침해 사고 인지를 통한 대응으로 위협을 최소화하는 보안 체계 수립이 필요합니다.

AhnLab EDR은 엔드포인트 위협을 정교하게 탐지해 원인과 배경을 분석하고 최적의 대응 방안을 제시합니다. 뿐만 아니라, 위협을 능동적으로 추적하여 기업이 사전 예방 및 재발 방지 체계를 구축할 수 있도록 합니다. 30년 이상 축적해온 안랩의 기술력이 응축된 AhnLab EDR은 MITRE ATT&CK Evaluation Round 4에서 우수한 성적을 기록하며, 뛰어난 위협 탐지 & 대응 역량을 인정 받았습니다.

AhnLab EDR은 행위 기반 분석 엔진을 바탕으로 탁월한 위협 행위 모니터링 및 분석 역량을 갖추고 있습니다. 이를 통해, 폭 넓은 엔드포인트 가시성을 제공하고, 운영 및 구축 편의성을 더해 진일보한 위협 탐지 & 대응을 구현합니다.

특징/장점

AhnLab EDR은 ▲운영 편의성 ▲정교한 위협 탐지 & 분류 ▲전문적인 분석 & 대응 ▲MDR 서비스 ▲MITRE ATT&CK 평가 검증 등 EDR 솔루션에 요구되는 사항들에 여러가지 강점을 갖고 있습니다.

1. 운영 편의성​​

위협을 탐지해 대응하는 것은 기본적으로 복잡한 작업입니다. 따라서, 기능에 못지 않게 중요한 것이 바로 ‘운영 편의성‘입니다. AhnLab EDR은 직관적인 운영과 안랩의 기술력 및 전문성을 갖춘 전용 콘솔 ‘EDR Analyzer’를 제공합니다. EDR Analyzer 대시보드는 단순 통계를 넘어 탐지ㆍ분석ㆍ대응 관점에서 사용자가 위협을 정확하게 인지하고 조건을 설정할 수 있도록 구성되어 있습니다. 또, AhnLab EDR은 의심스러운 행위와 관련된 유형별 정보를 상시로 수집해 EDR Analyzer 중앙 서버에 저장하며, 고객사 환경에 따라 행위 수집 레벨을 옵션화해 관리를 최적화하고 용량 부담을 감소시킵니다.  

2. 정교한 위협 탐지 & 분류​​​

AhnLab EDR은 국내 유일의 자체 행위 기반 엔진을 통해 자체적으로 국내외 공격 그룹을 분석하고 탐지 패턴과 규칙(Rule)을 제작해 위협 탐지에 정교함을 더합니다. 사용자 정의 행위 기반 규칙은 40여개 동적 & 정적 조건을 조합할 수 있으며, 이에 대한 자동 대응 설정도 가능합니다. 또한, 위협을 MITRE ATT&CK 프레임워크의 전술(Tactic)에 기반해 16가지 행위 카테고리로 분류하여, 사용자가 위협을 직관적으로 식별할 수 있도록 합니다. 이 밖에, 머신러닝 기술 적용을 통해 위협별 위험도와 악성 위험 확률에 관한 정보도 제공합니다.​

3. 전문적인 분석 & 대응​​​

AhnLab EDR은 탐지한 위협에 대해 MITRE ATT&CK 프레임워크 기반 위협 정보, 유입 경로, 주요 행위, 연관 관계, 위험도, 위협 정보 링크 등 대한 상세한 분석 내용을 제공합니다. 이처럼 다양한 분석 정보를 ▲다이어그램 ▲프로세스 트리▲타임라인을 통해 직관적으로 구현하여, 사용자가 공격 흐름 전반을 쉽게 파악할 수 있도록 합니다. 아울러, 주요 행위에 대한 온디맨드(On-Demand) 검사와 AhnLab TIP 및 AhnLab MDS 연동을 통한 추가 분석도 가능합니다. 

AhnLab EDR은 위와 같은 전문적인 분석 역량과 함께 ▲수동 대응 ▲자동 대응 ▲침해 대응 등 3가지 컨셉의 대응 기능을 갖추고 있습니다. AhnLab EDR에는 네트워크 차단 & 해제, 파일 삭제 & 복원, 프로세스 종료, 공유 폴더 해제 등 사용자가 직접 조치할 수 있는 다양한 수동 대응 기능이 탑재되어 있습니다. 또한, 사용자 PC 데이터를 피해 이전 상태로 안전하게 복원하는 ‘롤백‘ 기능을 통해 비즈니스 전반의 회복력을 더할 수 있습니다.  

AhnLab EDR은 네트워크 차단, 프로세스 차단, 파일 삭제 등의 대응을 사용자 정의 규칙에 따라 자동으로 설정할 수 있습니다. 알려진 침해지표(IoC)를 자동 차단할 수 있고, IP/URL/Port, 규칙 정보 등을 자동으로 예외 처리할 수 있어 운영 상의 유연성 확보도 가능합니다. 이 밖에 안랩의 엔드포인트 보안 플랫폼 ‘AhnLab EPP’ 플러그인 제품을 사용할 경우, 여러 보안 제품의 대응 기능을 연계해 사용할 수 있습니다. 파일 전수 검사 및 수집, 안리포트(AhnReport), 아티팩트(Artifacts) 및 윈도우 이벤트 로그 수집 등 침해 대응을 위한 기능도 갖추고 있습니다.​

4. 견고함을 더하는 기본 서비스​​​

고객사에 설치된 AhnLab EDR에서 탐지된 이벤트 중, 명백하게 알려진 위협에 대해 1/2차 보고서를 제공하고 매월 통계 기반 보고서까지 함께 제공하여 고객이 EDR을 보다 효과적으로 활용할 수 있도록 합니다. 더불어, 고객과의 사전 협의 하에 위협 대응도 수행합니다.
*위 내용은 AhnLab EDR 도입 시 기본적으로 제공되지만, EDR 탐지 로그를 외부로 전송하지 못하는 경우에는 제공되지 않습니다.​

5. 위협 대응을 한 차원 높이는 EDR Premium​​​

EDR Premium은 AhnLab EDR과 함께 전문적인 위협 탐지 & 대응 역량을 제공하는 ‘MDR(Managed Detection & Response)’ 서비스가 결합된 상품입니다. EDR Premium을 사용할 경우, 안랩 전문가가 알려진 위협이나 의심 행위를 모니터링, 분석 및 판단하여 능동적으로 대응합니다.

EDR Premium의 배경에는 오랜 기간 축적해온 안랩의 독보적인 위협 대응 역량이 자리하고 있습니다. EDR Premium은 고객 엔드포인트 환경에서 발생하는 위협에 대한 티켓(Ticket)을 발생시키고, 평판 정보, 악성코드 행위 정보 등을 활용해 안랩 위협 대응 프로세스에 기반하여 체계적으로 처리합니다.  

이 밖에도, 안랩은 침해사고 분석 서비스, 악성코드 전문가 분석 서비스, 의심 시스템 진단 서비스 등 다양한 프로페셔널 서비스를 EDR Premium과 연계해 보안 위협 분석 및 대응 능력 제고를 위한 다양한 옵션을 제공합니다.
*EDR Premium은 유상 서비스이며, 서비스 비용 및 구체적인 내용은 별도 문의 바랍니다.​​

6. MITRE ATT&CK 평가 검증 ​​​

AhnLab EDR은 가장 최근 진행된 MITRE ATT&CK Evaluation Round 4에서, 공격 그룹 ‘위자드 스파이더(Wizard Spider)’와 ‘샌드웜(Sandworm)’이 사용하는 최신 기법을 모의 수행한 90개 공격 스텝(Step)에서 83개를 탐지해 92%의 탐지율을 기록했습니다. 이를 통해, 고도화된 실제 위협을 대상으로 탁월한 탐지 역량을 입증했습니다.​

도입효과

AhnLab EDR 도입 전과 후에는 위협 대응 프로세스가 본질적으로 달라집니다. 그 차이를 비교해 보겠습니다.​

AhnLab EDR 도입 전​​​

AhnLab EDR 도입 전에는 위협 대응이 일회성에 그치고, 재발방지 수립에도 한계가 있습니다. 악성코드 감염 이력이 확인되면 시스템 포맷 혹은 초기화를 진행하고 백업된 데이터가 있다면 복원해 업무를 재개하는 형태였습니다. 백신 관리 서버에 사용자 PC 악성코드 감염 이력이 존재하지만, 악성코드가 어디로부터 감염되어 어디로 전파되었는지 등은 확인할 수 없었습니다.

​ 

AhnLab EDR 도입 후​​​

AhnLab EDR 도입 후에는 종합적인 분석을 통해 원인 파악, 적합한 대응, 재발 방지 프로세스 수립이 가능합니다. 침해가 발생하면, 관리자가 경고 알림 수신 후 사전 정의 규칙을 기반으로 위협분석 및 전사적인 검사를 수행합니다. 이를 통해, 악성 의심파일 수집, 프로세스 종료, 네트워크 차단 등 적합한 대응 조치를 내릴 수 있습니다. 또한, 취약점 확인 등을 통한 선제적인 사전 대응과 감염 이력 확인을 통한 사후 대응도 가능합니다.