순 관리자

7가지 최고의 네트워크 탐지 및 대응 소프트웨어

최고의 네트워크 탐지 및 대응 소프트웨어

디지털 전환 및 클라우드 컴퓨팅과 같은 기타 관련 기술의 광범위한 채택, BYOD , IoT는 기업 네트워크의 공격 표면을 크게 확대하고 새로운 보안 위험과 취약성의 문을 열었습니다.

일반적인 오해 중 하나는 다음과 같은 도구가 보안정보 및 이벤트 관리 (SIEM), 엔드포인트 탐지 및 대응 (EDR) 솔루션 및 이와 유사한 기술은 기업을 충분히 보호할 수 있습니다. 그러나 불행하게도 SIEM에는 사각지대가 있으며 EDR 도구는 네트워크 호스트 내의 의심스러운 프로세스 및 상호 작용에 대한 기본적인 보기만 제공합니다. EDR 도구는 확고한 공격자가 회피하거나 비활성화할 수 있습니다. 더욱이 IoT와 같은 장치에는 엔드포인트 보안 소프트웨어나 분석을 실행할 수 있는 기능이 없습니다.

다음은 7가지 최고의 네트워크 탐지 및 대응 소프트웨어 패키지 목록입니다.

  1. CrowdStrike Falcon 방화벽 관리 편집자의 선택 이 클라우드 기반 서비스는 기존 방화벽과 상호 작용하여 데이터를 수집하고 위협이 감지되면 대응 지침을 다시 전달합니다. 15일 무료 평가판을 시작하세요.
  2. Barracuda SKOUT Managed XDR(액세스 데모) 이 서비스에는 Barracuda XDR 시스템을 감시하고 문제 해결을 구현하는 전체 보안 운영 센터가 포함되어 있습니다. 클라우드 기반 서비스입니다.
  3. 엑스트라홉 공개(x) 이 패키지는 지속적인 장치 검색, SSL 오프로딩 및 트래픽 검사를 수행할 수 있습니다. 네트워크 어플라이언스 또는 SaaS 플랫폼으로 사용 가능합니다.
  4. Cisco Stealthwatch 엔터프라이즈 이 서비스는 DDoS 공격, 침입, 맬웨어 및 내부자 위협으로부터 보호합니다. Cisco의 클라우드 플랫폼에서 실행됩니다.
  5. Darktrace 엔터프라이즈 면역 시스템 이 SaaS 서비스는 이상 탐지를 통해 모든 트래픽에서 침입 징후, 내부 위협, 계정 탈취, 악성 코드를 검사합니다.
  6. Vectra Cognito 플랫폼 이 SaaS 플랫폼은 개별적으로 또는 결합하여 구매할 수 있는 세 가지 모듈을 제공하며 위협을 식별하는 일종의 네트워크 기반 SIEM 역할을 합니다.
  7. 기가몬 위협인사이트 현장 에이전트를 사용하여 트래픽 데이터를 수집하고 위협 사냥을 위해 업로드하는 SaaS 플랫폼입니다.

그러나 최근 조직에서는 최신 네트워크 보안 문제를 해결하기 위한 보안 전략으로 NDR(네트워크 탐지 및 대응)이라는 개념을 채택하고 있습니다. NDR은 SIEM 및 EDR(엔드포인트 탐지 및 응답) 제품과 같은 로그 분석 도구의 기능을 보완하고 그 이상으로 네트워크의 모든 장치 간의 의심스러운 활동과 상호 작용에 대한 조감도를 제공하는 새로운 범주의 보안 솔루션입니다. NDR을 사용하면 조직은 개별 장치 소프트웨어를 관리해야 하는 번거로움 없이 네트워크 활동을 분석하여 네트워크를 보호할 수 있습니다. 이는 현대 보안 운영에서 필수 기능으로 빠르게 떠오르고 있습니다.

NDR 솔루션은 주로 기계 학습, 딥 러닝, 통계 및 경험적 분석, 기타 기술과 같은 비서명 기반 기술을 사용하여 네트워크에서 의심스러운 트래픽을 탐지합니다. NDR 도구는 의심스러운 트래픽 패턴을 감지하면 경보를 울리고 필요한 경우 자동 응답을 제공합니다.

귀하의 비즈니스에 적합한 네트워크 탐지 및 대응 솔루션을 선택하려면 다양한 요소를 고려해야 합니다. 먼저, 감독 또는 비지도 머신러닝 중 어느 것이 가장 좋은지 결정해야 합니다. 또한 관리형, 운영형 또는 자동화된 NDR 솔루션이 가장 적합한지 여부도 결정해야 합니다. 고려해야 할 기타 주요 질문은 다음과 같습니다. 수동 또는 자동 중 어떤 대응 전략이 보안 목표에 가장 잘 부합합니까? 솔루션이 알림-행동 자동화를 지원합니까? 탐지에 대한 거짓양성률과 거짓음성률은 얼마입니까? NDR 시스템의 AI 기능이 규칙에 전적으로 또는 부분적으로 의존합니까? 귀하의 지역에서 공급업체 지원을 어느 정도까지 이용할 수 있습니까? 총 소유 비용은 얼마입니까?

최고의 네트워크 탐지 및 대응 소프트웨어

다양한 NDR 솔루션이 있으므로 귀하의 비즈니스와 예산에 적합한 솔루션을 선택하는 것이 어려울 수 있습니다. 이 기사에서는 시장에 출시된 5가지 최고의 NDR 솔루션을 검토하겠습니다. 이 내용이 귀하의 비즈니스에 적합한 솔루션을 선택하는 과정에 도움이 되기를 바랍니다.

이 목록에 대한 네트워크 탐지 및 대응 도구를 선택하는 방법론

우리는 네트워크 탐지 및 대응 솔루션 시장을 검토하고 다음 기준에 따라 옵션을 평가했습니다.

  • 네트워크의 모든 지점에서 활동 데이터를 수집할 수 있는 시스템
  • 방화벽과의 인터페이스 기능
  • 액세스 권한 관리자 통합
  • 자동 응답
  • 규정 준수 보고
  • 무료 평가 기간을 제공하는 무료 평가판 또는 데모 시스템
  • 기술자 효율성을 향상시키는 시스템의 가격 대비 가치

이 요구 사항 목록을 고려하여 우리는 침입 및 악성 코드를 차단하기 위해 자동화된 대응을 구현할 수 있는 네트워크 방어 시스템을 식별했습니다.

1. CrowdStrike Falcon 방화벽 관리(무료 평가판)

CrowdStrike Falcon 방화벽 관리 대시보드
CrowdStrike Falcon 방화벽 관리 대시보드

CrowdStrike Falcon 방화벽 관리기존 엔드포인트 방화벽의 작업을 조정하는 SaaS 플랫폼입니다. Falcon 플랫폼은 사이트에 사이버 보안을 제공하는 제품군입니다. 방화벽 관리 장치를 포함한 플랫폼의 모든 도구는 바이러스 백신 시스템이자 다른 모든 Falcon 서비스에 대한 에이전트 역할도 하는 Falcon Prevent라는 장치 내 패키지를 향상시킵니다.

주요 특징들:

  • 방화벽 조정
  • 타사 도구를 악용합니다.
  • 보안 정책 구현
  • 위협 대응 자동화
  • SaaS 패키지

방화벽 관리 시스템은 Falcon Prevent 설치와 장치를 공유하는 엔드포인트 방화벽을 통해 보안 제어를 구현합니다. Falcon Prevent는 Windows, macOS 및 Linux에서 사용할 수 있습니다.

방화벽은 보호된 장치 안팎으로 이동하는 패킷뿐만 아니라 순환하는 네트워크 트래픽도 포착할 수 있습니다. 따라서 방화벽 활동을 하나로 묶으면 네트워크 위협 탐지 및 대응 시스템이 만들어집니다. 이 접근 방식 중 하나는 Falcon Firewall 관리가 효과적으로 작동하려면 모든 엔드포인트에 Falcon Prevent를 설치해야 한다는 것입니다.

CrowdStrike Falcon 방화벽 관리 시스템을 사용하면 네트워크 보안 정책을 수립한 다음 방화벽 설정을 조작하여 이를 시행할 수 있습니다. 클라우드 기반 콘솔에는 보안 정책 생성 프로세스를 안내하는 템플릿 라이브러리가 포함되어 있습니다. 그러면 시스템은 정의에 따라 이 완성된 정책을 네트워크의 모든 방화벽이나 방화벽 그룹에 적용합니다.

새로운 방화벽 설정에는 보고 메커니즘이 포함되므로 Falcon 콘솔에서 트래픽 처리량 데이터를 볼 수 있습니다. 또한 시스템은 침입자가 엔드포인트에 액세스하려고 시도하거나 차단된 악성 코드가 전송되는 등 네트워크에 연결된 위협도 검색합니다.

각 방화벽이 활동 정보를 제공하므로 실시간 상태 보고서는 네트워크 주변의 활동을 보여줍니다. 따라서 측면 이동을 시도하는 악성 코드가 있는 경우 해당 공격이 각 장치에서 어떻게 시도하는지 확인할 수 있습니다.

장점:

  • 방화벽 보호 최적화
  • 방화벽 설정 조정
  • 네트워크 및 장치 상주 방화벽을 현장 에이전트로 사용합니다.
  • 보안 정책 수립을 지원합니다.
  • 규정 준수 보고

단점:

  • 방화벽 소프트웨어는 포함되지 않습니다.

이 패키지의 가시성에 있어서 큰 구멍 중 하나는 스위치 및 라우터와 같은 각 네트워크 장치에서 어떤 활동이 진행되고 있는지 확인할 수 없다는 것입니다. 그러나 이 전략의 철학은 해커가 스위치를 조작하더라도 궁극적으로 최종 목표는 엔드포인트에 보관된 데이터나 기타 리소스라는 것입니다. 네트워크 장치의 설정을 보호하기 위해 네트워크 구성 관리 소프트웨어를 얻을 수 있습니다. 당신은 시작할 수 있습니다15일 무료 평가판.

편집자의 선택

CrowdStrike Falcon 방화벽 관리네트워크 주변에서 이미 실행 중인 방화벽을 활용하기 때문에 네트워크 탐지 및 대응 소프트웨어 패키지에 대한 최고의 선택입니다. 이 SaaS 패키지는 CrowdStrike 도구의 지침에 따라 생성하는 보안 정책을 구현하는 새로운 설정을 적용하여 기존 보안 시스템에 가치를 더합니다. 이는 시스템 보안 기능을 특정 데이터 보호 표준에 맞게 조정하고 자동화된 대응을 구현하도록 할 수 있는 좋은 방법입니다.

다운로드:CrowdStrike Falcon Prevent 15일 무료 평가판을 받아보세요

공식 사이트:https://go.crowdstrike.com/try-falcon-prevent.html

너:클라우드 기반

2. Barracuda SKOUT Managed XDR(액세스 데모)

바라쿠다 MSP

관리형 서비스 제공(MSP)이 사이버 범죄자로부터 우위를 점할 수 있도록 지원하는 SaaS 확장 탐지 및 대응 도구입니다. 그만큼바라쿠다 SKOUT Managed XDR연중무휴 위협 모니터링을 위한 보안 전문가 팀과 SOC(보안 운영 센터)를 포함하여 한 단계 더 발전합니다.

주요 특징들:

  • SaaS XDR
  • MSP 판매에 적합
  • 보안 직원 포함
  • SIEM으로 작동

Barracuda Networks의 MSP 전담 부서인 Barracuda MSP가 제공하는 이 서비스는 관리형 서비스 제공업체를 위한 상향 판매 기회로 설계되었습니다. 가격 목록에 이 서비스를 추가하면 Barracuda가 모든 작업을 수행하게 됩니다.

XDR 시스템은 감지된 위협을 자동으로 교정하는 기능으로 높이 평가되지만 침해에 대한 오탐으로 인해 합법적인 트래픽이 차단될 수 있으며 누구도 이를 원하지 않습니다. 이것이 바로 Barracuda MSP가 이 계획을 제공하는 응답 감지에 전문가를 참여시켜야 하는 경우가 종종 필요한 이유입니다.

보안 운영 센터(SOC) 직원을 배치하는 것은 어려울 수 있으며 원격 위치에서 사이버 보안 전문가를 소싱하는 것은 불가능할 수 있습니다. 따라서 이 직원 포함 SaaS 제안은 고객에게 필요한 서비스를 제공하고 상황을 따라잡을 수 있는 이상적인 솔루션입니다. 경쟁.

이 XDR 패키지의 핵심인 탐지 시스템은 실제로 SIEM입니다. 클라이언트 사이트에서 작동하도록 이 시스템을 설정하려면 올바른 로그 메시지를 생성하고 전달할 수 있도록 수집기를 다운로드하고 애플리케이션 설정을 변경해야 합니다. 시간이 많이 걸리는 작업일 수 있지만 걱정하지 마세요. Barracuda 팀이 처리해 드립니다.

SIEM은 AI를 사용하여 대량의 데이터에 대한 검색 속도를 높이고 위협으로 분류되기 전에 추가 조치와 연결되어야 하는 잠재적 지표를 식별합니다. 이 서비스는 IoC 체크리스트에 의존하지 않고 먼저 비정상적인 동작을 찾습니다. 이는 공격 패턴이 공식적으로 인식되기 전에 제로데이 공격을 발견할 수 있음을 의미합니다.

장점:

  • 보안 운영 센터 대여
  • MSP가 상품으로 추가할 수 있는 구독 서비스
  • 활동 데이터를 자동으로 수집합니다.
  • 타사 도구와 조정

단점:

  • 이 계획에 포함된 보안 전문가의 서비스는 가격이 비쌉니다.

MSP는 루프에서 벗어나지 않으며 각 클라이언트에 대한 탐지 시스템 성능에 대한 보기를 제공하는 다중 테넌트 대시보드를 얻게 됩니다. Barracuda가 수행하는 탐지에 가치를 더하기 위해 맞춤형 보고서 및 분석을 생성할 수 있습니다. 당신은 할 수 있습니다데모를 요청하세요XDR에 대해 자세히 알아보세요.

Barracuda SKOUT Managed XDR 액세스 무료 데모

3. 엑스트라홉 공개(x)

엑스트라홉 공개(x)
그림 1 - ExtraHop Reveal(x) 대시보드

ExtraHop Reveal(x)은 해당 환경의 네트워크 동작에 대한 더 나은 가시성이 필요한 모든 보안 운영 팀에 이상적인 상세하고 유연한 NDR 솔루션입니다. 이는 조직이 위협을 식별하고, 데이터 수집과 상관 관계는 물론 대응 조사를 자동화하는 데 도움이 됩니다. 이는 결국 전반적인 사이버 보안 위생을 개선하고 규제 요구 사항을 충족하는 데 도움이 됩니다.

주요 특징들:

  • 즉시 구매 또는 구독
  • AI 기반 탐지
  • 응답을 위한 오케스트레이션

ExtraHop Reveal(x) NDR 소프트웨어 의심스러운 네트워크 동작을 탐지하고 위험 점수에 따라 조사 우선순위를 지정하며 대응 노력을 자동화할 수 있습니다. 기업의 모든 트랜잭션, 세션, 장치 및 자산을 최대 100Gbps까지 자동으로 검색하고 분류합니다. Reveal(x)의 한 가지 장점은 대역 외 배포 모델로, 공격자가 자신이 모니터링되고 있다는 사실을 알 수 없도록 작업을 은밀하게 만듭니다. ExtraHop Reveal(x) NDR 솔루션은 두 가지 형태로 제공됩니다.

  • ExtraHop Reveal(x) 엔터프라이즈이는 온프레미스 또는 클라우드에 배포할 수 있는 자체 관리형 배포 옵션으로, 완벽한 동서 가시성, 실시간 위협 탐지 및 네트워크 경계 내 대응을 제공합니다.
  • 엑스트라홉 공개(x) 360이는 자체 관리 옵션의 설치 및 관리 오버헤드를 완전히 제거하는 SaaS 기반 배포 옵션입니다. Reveal(x) 360을 사용하면 온프레미스, 클라우드 및 IoT 환경 전반에 걸쳐 보안 제어를 통합할 수 있습니다. 클라우드 서비스 공급자 패킷 미러링 기능과의 기본 통합을 활용하여 에이전트 없는 가시성, 탐지 및 대응을 제공합니다.

Reveal(x)의 주요 기능 중 일부는 다음과 같습니다.

  • Reveal(x)는 SSL 및 TLS와 같은 Perfect Forward Secrecy로 보호되는 트래픽을 포함하여 암호화된 트래픽을 모니터링하고 수동적으로 해독하도록 구성할 수 있습니다.
  • 5000개 이상의 기능을 사용한 머신러닝
  • Crowdstrike 및 Phantom과 같은 타사 보안 도구와의 통합을 통해 자동화된 탐지, 조사 및 대응
  • 자동화된 인벤토리 - 네트워크 장치 검색 및 분류
  • 피어 그룹 감지 - 장치를 행동 그룹으로 정렬

장점:

  • 시스템 관리자를 지원하기 위해 기업용으로 설계되었습니다.
  • 뛰어난 사용자 인터페이스, 보기 쉬운 다크 모드 제공
  • 네트워크 문제를 자동으로 감지하고 상관관계 지원을 제공합니다.
  • SSL 및 TLS 패킷 검사 제공
  • 실시간 모니터링은 물론 사후 침입 조사 인사이트도 지원합니다.

단점:

  • 매우 포괄적이며 완전히 탐색하는 데 시간이 걸립니다.

ExtraHop Reveal(x) NDR 라이선스는 구독 기반이거나 영구적일 수 있습니다. 구독 기반 옵션은 구매한 하드웨어 또는 가상 머신에 설치된 ExtraHop NDR 소프트웨어에 대한 시간 기반 액세스를 제공합니다. 영구 라이센스 옵션의 경우 ExtraHop 하드웨어 및 소프트웨어를 구매하십시오.

ExtraHop Reveal(x)은 조직이 비정상적인 네트워크 트래픽 패턴을 감지하고 대응하는 데 도움이 될 수 있는 강력한 NDR 도구입니다. 그러나 이 제품에서 최고의 가치를 얻으려면 높은 학습 곡선을 거쳐 주요 프로토콜과 애플리케이션 구성 요소에 대한 기술적 이해를 높일 준비가 되어 있어야 합니다.

4. 시스코 스텔스워치 엔터프라이즈

Cisco Stealthwatch 엔터프라이즈
그림 2 - Cisco Stealthwatch 대시보드

Cisco Stealthwatch는 행동 모델링, 머신 러닝, 보안 분석, 글로벌 위협 인텔리전스의 조합을 사용하여 랜섬웨어, 분산 서비스 거부(DDoS)와 같은 위협을 탐지하고 대응하는 에이전트 없는 NTA(네트워크 트래픽 분석) NDR 솔루션입니다. ) 공격, 알려지지 않은 악성코드, 내부자 위협 등이 있습니다. Stealthwatch는 하드웨어 어플라이언스 또는 가상 머신으로 온프레미스에 배포할 수 있습니다. Stealthwatch Enterprise , 또는 SaaS 솔루션으로 클라우드 제공 Stealthwatch 클라우드 .

주요 특징들:

  • 네트워크 트래픽을 검사합니다.
  • 탐지를 위한 행동 분석
  • DDoS 식별

Stealthwatch는 프라이빗 네트워크부터 퍼블릭 클라우드까지 전사적 가시성을 제공하고 보안 분석을 적용하여 실시간으로 위협을 탐지하고 대응합니다. NetFlow 또는 IPFIX(인터넷 프로토콜 흐름 정보 내보내기)와 같은 트래픽 메타데이터를 검사하여 네트워크 내 활동에 대한 더 나은 그림을 구축하고, 이를 통해 동작 기반 이상 현상을 식별하는 데 사용할 수 있습니다. Stealthwatch는 암호화를 해제하지 않고도 암호화된 트래픽에 대해서도 분석을 수행할 수 있습니다. 그리고 그것은 통합되어 제공됩니다 시스코 시큐어X 추가적인 상황별 데이터를 제공하고 응답 기능을 강화하는 Cisco ISE 플랫폼입니다. 주요 사용 사례 중 일부는 다음과 같습니다.

  • 실시간 위협 탐지
  • 사고 대응 및 포렌식
  • 네트워크 세분화
  • 네트워크 성능 및 용량 계획

Stealthwatch Enterprise의 핵심을 구성하는 세 가지 주요 구성 요소는 Flow Rate 라이선스, Flow Collector 및 Management Console입니다.

  • 유량 라이센스이는 네트워크 흐름의 수집, 관리 및 분석에 필요합니다. 또한 수집할 수 있는 흐름의 양을 정의합니다. 라이센스는 초당 흐름(fps)을 기반으로 하며 원하는 수준의 흐름 용량을 달성하기 위해 임의의 순열로 결합될 수 있습니다.
  • 흐름 수집기Flow Collector는 이름에서 알 수 있듯이 스위치, 라우터, 방화벽, 엔드포인트 장치 및 프록시 데이터 소스에서 NetFlow, IPFIX 및 기타 유형의 흐름 데이터와 같은 흐름 데이터를 수집하고 활용하여 포괄적인 네트워크 가시성을 제공합니다.
  • 관리 콘솔Stealthwatch Management Console은 최대 25개의 Flow Collector, Cisco ISE 및 기타 소스의 분석을 집계, 구성 및 제시합니다. 포괄적인 분석을 위해 네트워크 트래픽, 신원 정보, 맞춤형 요약 보고서, 통합 보안 및 네트워크 인텔리전스의 그래픽 표현을 사용합니다.

장점:

  • 경량 엔드포인트 모니터링을 위해 에이전트 없는 모니터 사용
  • 클라우드 또는 온프레미스 배포를 통해 제공
  • 행동 분석 및 이상 탐지를 활용하여 위협을 차단합니다.
  • 포괄적인 실시간 대시보드 및 보고서

단점:

  • 엔터프라이즈 환경에 더 적합

기능 향상을 위해 추가할 수 있는 기타 선택적 라이선스 및 구성 요소에는 최종 사용자 장치에 대한 가시성을 확장하는 Cisco Stealthwatch Endpoint License, 공용 클라우드(AWS, Azure, Google) 내에서 가시성과 위협 탐지를 제공하는 Cisco Stealthwatch Cloud, Cisco가 포함됩니다. Stealthwatch Threat Intelligence 라이선스 - 봇넷 및 기타 공격, Flow Sensor 및 UDP Director 구성 요소에 대한 추가 보호 계층을 제공합니다. Stealthwatch 라이선스는 필요 사항과 예산에 따라 1년, 3년, 5년 기간 구독으로 제공됩니다.

Stealthwatch의 한 가지 독특한 점은 Cisco의 광범위한 보안 장치 보안 포트폴리오의 일부이며 지난 20년 동안 성능과 기능이 발전하고 성숙해졌다는 것입니다. 그러나 이 제품은 Cisco 인프라 환경에 가장 적합하며 일부에서는 너무 광범위하고 깊이가 덜하다고 생각되는 NDR 기능 이외의 영역을 포괄합니다. 또한 대부분의 Cisco 제품과 마찬가지로 설정 프로세스가 복잡할 수 있습니다. 이 제품의 가치를 극대화하려면 Cisco 경험을 갖춘 팀원이 필요합니다.

5. Darktrace 기업 면역 시스템

Darktrace 엔터프라이즈 면역 시스템
그림 3 – Darktrace Immune System 사고 로그 대시보드

Darktrace의 Immune System NDR 솔루션은 실시간 자가 학습 위협 탐지, 자동화된 조사, 자율 대응, 디지털 시각화 기능을 단일 통합 시스템에 결합합니다. AI와 비지도 머신러닝을 사용해 클라우드, 가상 환경, IoT, 산업 제어 시스템 등 다양한 디지털 환경 전반에서 사이버 위협을 자율적으로 탐지하고 조치를 취합니다.

주요 특징들:

  • 내부자 위협 탐지
  • 산업용 시스템용 버전
  • 자동 응답

그만큼 기업 면역 시스템 기업 및 IT 인프라 네트워크를 대상으로 하는 반면, 산업 면역 시스템 산업 제어 시스템, SCADA 네트워크 및 운영 기술(OT) 인프라를 대상으로 합니다. Darktrace 면역 시스템은 다음과 같은 핵심 구성 요소로 구성됩니다.

  • 면역체계 엔진비지도 머신러닝을 통해 탐지 기능을 제공하는 핵심 구성요소입니다. Enterprise Immune System은 환경이 발전함에 따라 환경의 '정상'이 무엇인지 이해함으로써 작동합니다. Enterprise Immune System은 서명에 의존하는 대신 사용자, 장치, 클라우드, 컨테이너 등 인프라의 엔터티에 대한 '생활 패턴'을 설정하고 이 지식을 사용하여 변칙적인 활동을 식별합니다.
  • 사이버 AI 분석가이 구성 요소는 기계 속도로 전사적 자동화 조사를 수행하고 서로 다른 이상 현상을 결합하여 보안 사고의 성격과 근본 원인에 대한 분류된 위협 보고서를 제공하는 역할을 담당합니다.
  • 다크트레이스 항원이 구성요소는 자율적인 대응 노력을 담당합니다. Antigena를 사용하면 네트워크는 지속적인 사이버 공격에 대해 자율적인 조치를 취할 수 있습니다. 대응 조치는 정상적인 비즈니스 운영에 영향을 주지 않고 악의적인 연결이나 손상된 장치를 중지하여 위협을 무력화하는 형태일 수 있습니다.
  • 위협 시각화 장치이는 단일 창에서 전체 디지털 인프라 및 네트워크 활동에 대한 실시간 가시성을 제공하는 GUI 도구입니다. Threat Visualizer는 보안 팀이 네트워크의 모든 사용자, 장치 및 컨트롤러를 시각화하고 실시간으로 위협을 식별하는 데 도움이 됩니다. 감지된 변칙 이벤트는 완전히 검색 가능합니다.

장점:

  • 훌륭한 데이터 및 위협 시각화 제공
  • 인공 지능을 활용하여 복잡한 네트워크 모니터링
  • 기본 분석을 사용하여 위협 및 기타 비정상적인 동작을 탐지합니다.
  • 문제 해결을 위해 완전히 자동화된 플랫폼 제공

단점:

  • 소규모 환경에는 최선의 옵션이 아닙니다.

제품은 하드웨어 또는 가상 어플라이언스로 배포할 수 있으며 사용자 친화적인 GUI 덕분에 사용이 매우 간단합니다. 설치 과정은 간단하며 완료하는 데 1시간밖에 걸리지 않으며, 사용자는 3시간 이내에 시스템 교육을 받을 수 있습니다.

그러나 시스템의 학습 단계에서 Antigena는 때때로 인간의 상호 작용을 요구할 수 있으며 때때로 오탐지를 발생시킬 수 있습니다. 이 제품은 사이버 공격이 자주 발생하는 대기업 및 정부 기관에 이상적입니다. 이 기술은 너무 발전하여 웹 공격에 덜 취약한 조직에서는 많은 가치나 ROI를 창출하지 못할 수 있으므로 비용 효율적이지 않습니다.

6. Vectra Cognito 플랫폼

Vectra Cognito 플랫폼
그림 4 – Cognito Detect의 위협 확실성 지수

그만큼 Vectra Cognito 플랫폼 조직이 온프레미스 엔터프라이즈 네트워크, 클라우드 및 SaaS 환경 전반에서 사이버 공격이나 의심스러운 네트워크 활동을 감지, 조사 및 대응하는 데 도움이 되는 지능형 AI 기반 NDR 애플리케이션입니다.

주요 특징들:

  • AI 기반 탐지
  • 하이브리드 환경
  • 응답을 위한 플레이북

Cognito 플랫폼은 Cognito Detect, Cognito Recall 및 Cognito Stream의 세 가지 구성 요소 애플리케이션을 통해 네트워크 보안 문제를 해결합니다.

  • 발견하다의심스럽거나 악의적인 네트워크 활동 및/또는 이미 경계 방어를 우회한 장치 및 사용자를 찾아 위협을 찾아내도록 설계되었습니다. 탐지 노력은 다양한 탐지 알고리즘과 AI 엔진의 조합을 통해 가능해집니다. 모든 탐지는 발견된 내용, 이것이 문제가 되어야 하는 이유, 문제를 완화하는 방법에 대한 질문에 답하려고 시도합니다.
  • 상기하다엄청난 양의 과거 네트워크 트래픽 데이터를 수집 및 저장하고 이를 사용하여 심층 조사 및 위협 사냥을 지원합니다. Recall을 사용하면 수동으로 상관 관계를 설정할 필요가 거의 없습니다. 감지의 모든 사건에는 Recall을 시작할 수 있는 링크가 있습니다. 이를 통해 Recall이 이전에 네트워크 내에서 발생한 활동과 관련된 정보를 가져오는 새 대시보드가 ​​열립니다.
  • 스트림을 아는 것추가 분석을 위해 추가 네트워크 및 호스트 정보로 네트워크 메타데이터를 강화합니다. 자체 인터페이스는 없지만 감지 및 회수 또는 SIEM과 같은 기타 타사 보안 도구와 함께 백그라운드에서 작동하여 기능을 향상시킵니다.

장점:

  • AI 기반 NDR을 사용하여 통찰력 확보
  • 자동화된 대응 및 근본 원인 분석 제공
  • 더욱 조직화된 공격을 식별하는 데 도움이 되는 데이터 강화 기능
  • 뛰어난 UI 및 실시간 보고 기능

단점:

  • 여러 도구로 나누어져 있음 – 포괄적인 단일 플랫폼을 원함
  • 가격 때문에 대부분의 중소기업에서는 이 기능을 사용할 수 없습니다.

이들 제품은 함께 작동하여 메타데이터를 포함한 네트워크 데이터를 분석하고 행동 중심의 탐지 및 대응 모델을 제공합니다. Detect, Recall 및 Stream은 개별적으로 구매할 수 있으며 서로 독립적으로 작동할 수 있지만 조직이 하나의 구성 요소만 설치하는 경우 Recall이 아닌 Detect를 선택할 가능성이 훨씬 더 높습니다. 그러나 Vectra Cognito 플랫폼의 진정한 힘은 세 가지 제품을 통합하여 위협 사냥 및 탐지를 보다 효율적이고 효과적으로 만드는 데 있습니다. 그러나 이는 특히 중소기업의 경우 감당하기 힘든 비용을 초래합니다.

7. 기가몬 위협INSIGHT

기가몬 위협인사이트
그림 5 - Gigamon ThreatINSIGHT 대시보드

그만큼 기가몬 위협인사이트 조직이 네트워크 가시성을 확보하고 암호화된 통신에서도 숨겨진 위협을 발견하며 인바운드, 아웃바운드(북/남) 및 내부(동/서) 네트워크 통신 전반에 걸쳐 보안 조사 및 대응을 자동화할 수 있는 클라우드 네이티브 NDR 솔루션입니다. ThreatINSIGHT는 다양한 환경에 쉽게 배포할 수 있는 완전 관리형 센서를 갖춘 설치가 쉬운 클라우드 기반 SaaS 솔루션입니다. 신호 대 잡음 비율이 충분하므로 솔루션의 위양성 비율이 낮다는 의미입니다.

주요 특징들:

  • SaaS 패키지
  • SSL 오프로딩
  • Cisco 장치와 작동

트래픽은 패킷 검사를 수행하고 검사에서 생성된 메타데이터를 집계하는 물리적 또는 가상 센서를 통해 수집됩니다. 네트워크 흐름에서 유용한 정보가 추출되면 센서는 해당 정보를 INSIGHT Cloud 데이터 웨어하우스로 전달합니다. 여기서 메타데이터는 색인화되고 강화되며 다른 외부 소스의 정보와 상호 연관됩니다. 그런 다음 ThreatINSIGHT는 기계 학습 알고리즘과 Gigamon ATR(Applied Threat Research)을 활용하여 네트워크 내에 숨겨진 위협에 대한 통찰력을 제공합니다.

ThreatINSIGHT를 배포하는 데 필요한 리소스는 최소화되며 SOC 팀이 업무를 효과적으로 수행할 수 있는 기능에 중점을 둡니다. 이 애플리케이션은 Cisco SecureX 플랫폼과 통합되어 Gigamon과 Cisco 고객이 데이터를 교환하고 Cisco 인프라 및 파트너 솔루션 전반에 대한 가시성을 확보할 수 있도록 해줍니다.

트래픽은 패킷 검사를 수행하고 검사에서 생성된 메타데이터를 집계하는 물리적 또는 가상 센서를 통해 수집됩니다. 네트워크 흐름에서 관련 정보가 추출되면 센서는 해당 정보를 INSIGHT Cloud 데이터 웨어하우스로 전달합니다. 여기서 메타데이터는 색인화되고 강화되며 다른 외부 소스의 정보와 상호 연관됩니다. 그 후 ThreatINSIGHT는 기계 학습 알고리즘과 Gigamon Applied Threat Research를 활용하여 네트워크 내에 숨겨진 위협에 대한 통찰력을 제공합니다.

장점:

  • 위협을 식별하기 위해 패킷 검사와 결합된 물리적 및 가상 센서를 사용합니다.
  • 인덱싱 중 데이터 강화 지원
  • 머신러닝을 활용하여 위협 식별

단점:

  • 제품과 문서를 완전히 살펴볼 시간이 있습니까?

ThreatINSIGHT 구독 라이선스를 취득하면 각 구독에는 솔루션을 최대한 활용하도록 보장하는 지정된 기술 계정 관리자가 포함됩니다. Gigamon ThreatINSIGHT는 제품이 상대적으로 젊다는 사실에도 불구하고 강력한 NDR 솔루션입니다. 최신 버전인 ThreatINSIGHT 3.0에는 새로운 기능이 포함되어 있습니다. 그럼에도 불구하고 이 제품의 가치를 극대화하려면 시간을 들여 교육 문서와 데이터 세트를 검토하여 도구를 숙지하세요.

네트워크 탐지 및 대응 FAQ

NDR과 EDR이란 무엇입니까?

EDR(엔드포인트 탐지 및 응답)은 서버와 데스크톱 컴퓨터를 보호합니다. NDR(네트워크 탐지 및 응답)은 악의적인 활동으로부터 네트워크를 보호하고 엔드포인트도 보호합니다.

NDR이 필요한 이유는 무엇입니까?

NDR(네트워크 탐지 및 대응)은 활동 데이터 수집을 중앙 집중화하고 통합된 입장에서 위협 탐지를 수행함으로써 네트워크 보안을 자동화하고 네트워크 보안 도구에서 최대 가치를 추출합니다. 기존 보안 도구와의 조정을 통해 네트워크 주변의 주요 위치에 보안 시스템을 복제할 필요가 없습니다.

사이버 보안에서 XDR이란 무엇입니까?

XDR은 해당 도구의 조정 기능에 오케스트레이션을 추가하여 네트워크 및 엔드포인트 감지 및 응답 시스템을 확장합니다. XDR은 특정 데이터 보호 표준의 요구 사항을 구현하도록 조정할 수 있습니다.

^