네트워크 보안 분야에서 기업이 직면하는 다양한 위협을 단일 솔루션으로 모두 방어할 수는 없습니다. 보다 포괄적으로 보호하기 위해 하드웨어와 소프트웨어를 결합하면 다양한 위협으로부터 네트워크를 보호하는 다층적 보안 기능을 얻게 됩니다. 이러한 도구를 신중하게 선택, 구현 및 유지 관리하는 데 필요한 시간과 비용과 인력은 어떤 기업에든 엄청난 투자가 됩니다. 하지만 네트워크 환경 내부에 있는 사람이 항상 경계선 안에 있는 것은 아니며 네트워크 보호 기능이 항상 적용되는 것도 아닙니다. 올바른 보안 솔루션 제품으로 엔드포인트를 보호하지 않으면 이러한 개인이 경계 보안을 우회하여 환경에 외부 위협을 가할 수 있습니다. 잘못된 엔드포인트 보안 제품은 네트워크를 보호하기 위해 수행한 모든 작업을 실행 취소해 버릴 수도 있습니다.
다음은 네트워크 보안 상태에 부정적인 영향이 미치지 않도록 엔드포인트에서 수행해야 할 5가지 사항입니다.
1. 위협 인텔리전스의 네이티브 통합.
2016년 Ponemon 조사에 따르면, 기업이 위협 인텔리전스를 공유하면 모든 공격을 차단할 수 있다는 데 응답자의 39%가 동의했다고 합니다. 글로벌 위협 인텔리전스를 사용하면 보호 기능이 하나의 솔루션에 대한 지식을 넘어 글로벌 커뮤니티의 공유 인텔리전스로 확대됩니다. 커뮤니티의 다른 구성원이 새로운 공격을 받으면 해당 정보가 공유되기 때문에 모든 구성원이 알려진 위협을 자동으로 탐지하고 알려지지 않은 위협을 빠르게 식별할 수 있습니다.
네트워크와 엔드포인트 모두 위협 인텔리전스 공유에 참여하여, 지속적으로 증가하는 위협 인텔리전스를 해당 환경의 모든 장치에 계속해서 적용해야 합니다. 또한, 인텔리전스를 서로 교환하여, 엔드포인트에서 식별하고 방지한 위협을 네트워크에서도 식별하고 방지할 수 있어야 합니다.
하지만 위협 인텔리전스만으로는 충분하지 않습니다. 인텔리전스 피드를 구독하는 대부분의 기업은 데이터의 양에 압도당하고 그러한 데이터는 실행 가능한 인텔리전스로 상호 연결되거나 변환될 수 없습니다. 위협 인텔리전스를 새로운 보호 장치로 자동 변환하는 기능이 없으면 기업은 더 많은 데이터를 구입하는 것밖에 되지 않습니다. 위협 인텔리전스를 생성하고 공유하는 환경의 구성요소 사이에서 기본적인 통합이 이루어지지 않으면 문제가 점점 더 심각해집니다. 인텔리전스가 기본적으로 통합되지 않고 새로운 보호 장치로 자동 변환될 수 없으면 기업이 더 많은 인력을 추가하지 않는 한 별로 소용이 없습니다. 결론적으로 더 많은 인력 집약적인 데이터 분석 프로세스가 될 뿐입니다.
2. 알려진/알려지지 않은 위협 차단.
대부분의 기존 보안 제품은 알려진 위협이 기업에 침입하기 전에 그 위협을 탐지하도록 설계되어 있습니다. 하지만 많은 경우에, 알려지지 않은 위협은 이미 중요한 자산을 손상시킨 후에 탐지되므로 탐지 시점이 너무 늦습니다. 또한, 공격자는 기존 멀웨어와 익스플로잇 기법을 재사용하는 경우도 많지만, 기존 공격을 수정하거나 완전히 새로운 공격을 생성하여 탐지 기능을 회피하기도 합니다. 따라서 대부분의 보안 제품이 탐지할 수 없는 위협들이 생기는 것입니다.
네트워크나 엔드포인트에서 탐지하고 수정하는 작업은 항상 시간이 많이 걸리고 인력 집약적이며 비효율적입니다. 네트워크와 엔드포인트가 알려지거나 알려지지 않은 위협을 모두 예방할 수 있으면 이 문제를 방지할 수 있습니다. 이상적으로, 엔드포인트 보안 솔루션의 예방 기능은 공격이나 취약점에 대한 사전 지식 또는 서명에 의존해서는 안 되며, 효과를 최대화하기 위해 다양한 분석과 예방 방법을 통합해야 합니다.
3. 자동화.
공격자는 자동화, 확장성 및 특수 도구를 자유롭게 사용합니다. Ponemon의 2016년 Economics of a Breach(침해의 경제학) 설문조사에서, 응답자의 68%는 공격자가 자동 해킹 도구를 사용하여 공격에 더 쉽게 성공한다고 답했습니다. 이러한 도구를 낮은 가격으로 확산시키는 경제와 시장이 엄연히 존재합니다.
점점 정교해지는 공격을 방어하기 위해 기업은 흔히 복잡하고 인력 집약적이면서도 불충분해 보이는 포인트 솔루션을 사용합니다. 공격자를 앞지르려면 기업은 공격을 성공하기 더 어렵게 하고 성공해도 수익성이 떨어지게 만들어야 합니다. 앞서 언급한 설문조사에서 응답자의 60%는 공격을 하는 데 추가로 40시간이 더 필요하게 되면 공격을 억제할 수 있다고 말했습니다. 확장 가능하고 지속 가능하게 이를 달성하는 유일한 방법은 자동화된 선제 방어입니다.
보안 분석가를 파견하여 경고를 조사하더라도 네트워크 또는 엔드포인트에서 탐지하는 기능은 확장할 수 없습니다. 자동화는 공격 성공을 지연시켜 성공의 대가도 지연시킴으로써 침입자가 잠재적인 다음 피해자를 찾아가게 하는 방식으로 기업에 대한 공격을 더 어렵게 만듭니다.
4. 지속적인 보호 기능 제공.
사용자는 점점 더 모바일화되고 있으며, 기업 네트워크 경계 외부에 있는 전 세계 각 지점에서 내부 리소스에 연결하고 있습니다. 연결 방식(온라인 또는 오프라인이든, 온-프레미스 또는 오프-프레미스이든)에 관계없이 모든 엔드포인트에서 동일한 수준의 보호가 이루어져야 합니다. 이러한 보호 기능에 지속성이 없으면 엔드포인트가 손상되고, 기존에 어떤 네트워크 보호 기능이 있든 간에 네트워크도 손상될 수 있습니다. 엔드포인트 보안은 많은 사이버 공격이 최종 사용자와 엔드포인트를 표적으로 삼는 기존의 네트워크 경계를 넘어 네트워크에서 완전한 가시성이 없는 곳까지 확장되어야 합니다.
5. 네트워크, 엔드포인트 및 클라우드 활동에 대한 완전한 가시성 제공.
오늘날의 최신 공격들은 목표를 달성하기 위해 여러 단계를 거칩니다. 공격을 성공적으로 방어하기 위해 기업은 네트워크, 엔드포인트 및 클라우드의 모든 사용자, 장치, 데이터에 대한 완전한 가시성을 가져야 합니다. 이러한 가시성은 공격 상황을 이해하고, 네트워크와 엔드포인트에서 보안 정책을 시행하고, 보안 이벤트를 상호 연결해 기업의 보안 상태를 개선하는 데 꼭 필요합니다. 기본적으로 통합된 위협 인텔리전스가 알려진 위협과 알려지지 않은 위협에 대한 자동화된 방어 기능과 결합되면, 연결 방법이나 위치에 관계없이 시너지 효과가 발생하여 기업의 보안 상태가 크게 향상될 수 있습니다. 이렇게 되면 기회를 찾는 공격자에게 기업이 덜 매력적인 표적이 되고 또 공격 성공 가능성도 아주 낮아지게 됩니다.
잘못된 엔드포인트 보안 솔루션을 선택하면 엔드포인트가 위협과 방해에 취약해질 수 있고 네트워크를 보호하기 위해 수행한 중요한 작업이 실행 취소되어 버릴 수도 있습니다. 엔드포인트 보안 솔루션은 모든 엔드포인트를 지속적으로 보호할 뿐만 아니라, 기업의 다른 부분에 추가 기능을 제공하고 전체 네트워크 보안 상태를 전반적으로 강화해야 합니다.
Palo Alto Networks Traps Advanced Endpoint Protection 솔루션은 침해 탐지와 사고 대응이 아니라 알려진 위협과 알려지지 않은 위협을 방어하기 위해 특별히 만들어진 멀웨어 및 익스플로잇 방지 방법을 사용한 다각적인 예방 기능을 활용합니다. Palo Alto Networks Security Operating Platform의 일부인 Traps는 WildFire 클라우드 기반 위협 분석 서비스를 통합하여 위협 인텔리전스를 멀웨어 예방 기능으로 자동 변환하고 위협이 엔드포인트를 손상시키기 전에 위협을 사전 차단합니다.