EPP와 EDR 결합으로 엔드포인트 보안을 강화하기

Combining EPP and EDR tools can boost your endpoint security

엔드포인트 보호 플랫폼(EPP)과 엔드포인트 탐지 및 대응(EDR)은 위협으로부터 엔드포인트 시스템을 보호하는 데 사용되는 대표적인 두 가지 보안 제품입니다. EPP는 엔드포인트 디바이스에 대한 위협을 탐지하고 방지하는 다양한 기능을 제공하는 종합적인 보안 솔루션이고, EDR은 엔드포인트 위협을 실시간으로 모니터링, 탐지 및 대응하도록 특별히 설계되었습니다. EPP와 EDR은 모두 엔드포인트를 위협으로부터 보호하는 것을 목표로 한다는 점에서 유사점이 있지만 몇 가지 중요한 차이점도 있습니다. 아래에서 자세히 살펴보겠습니다.

Endpoint protection platform (EPP) and endpoint detection and response (EDR) tools are two security products commonly used to protect endpoint systems from threats. EPP is a comprehensive security solution that provides a range of features to detect and prevent threats to endpoint devices. At the same time, EDR is specifically designed to monitor, detect and respond to endpoint threats in real-time. EPP and EDR have some similarities, as they both aim to protect endpoints from threats, but they also have some key differences. Let’s dive into it.

EPP는 조직의 엔드포인트 보안 전략에서 중요한 구성 요소입니다. 플랫폼에는 일반적으로 호스트 침입 방지, 호스트 웹 보호, 로그 검사 및 무결성 모니터링과 같은 기능이 포함됩니다. 이러한 기능은 알려진 위협에 대한 기본적인 수준의 보호를 제공합니다. 하지만 시그니처를 활용하는 기존 안티바이러스 구성 요소에 의존하기 때문에 새롭게 등장하는 위협을 탐지하고 차단하는 데는 한계가 있습니다. 오늘날의 엔터프라이즈 EPP 플레이어는 일정 수준의 경험적 학습 및 기계 학습 위협 탐지 기능을 제공하지만 EDR 기능에는 미치지 못합니다.

EPPs are a critical component of an organization’s endpoint security strategy. The platforms typically include features such as host intrusion prevention, host web protection, log inspection and integrity monitoring. These features provide a foundational level of protection against known threats. However, their reliance on traditional antivirus components leveraging signatures limits their effectiveness in detecting and blocking new and emerging threats. While nowadays, enterprise EPP players offer some level of heuristic and machine-learning threat detection, they do not match EDR capabilities.

바로 이 지점에서 EDR이 중요한 역할을 합니다. 머신러닝과 행동 분석을 활용하여 사이버 위협을 실시간으로 탐지하고 대응합니다. EDR은 엔드포인트 동작을 분석하여 기존 안티바이러스 소프트웨어가 탐지할 수 없는 알려지지 않은 멀웨어와 지능형 위협을 식별하고 차단할 수 있습니다.

EPP는 엔드포인트 보호를 위한 강력한 기반을 제공하지만, 새롭게 등장하는 위협을 탐지하고 차단하는 데는 한계가 있어 EDR 도구와 같은 추가 보호 계층의 필요성이 강조됩니다. 조직은 EPP와 EDR 도구의 강점을 결합하여 두 제품의 장점을 모두 활용하는 엔드포인트 보안에 대한 보다 포괄적인 접근 방식을 만들 수 있습니다.

This is where EDR tools come into play. They utilize machine learning and behavioral analysis to detect and respond to cyber threats in real-time. By analyzing endpoint behavior, EDR tools can identify and block unknown malware and advanced threats that traditional antivirus software is unable to detect.

While EPPs provide a strong foundation for endpoint protection, their limitations in detecting and blocking new and emerging threats highlight the need for additional layers of protection, such as EDR tools. By combining the strengths of EPPs and EDR tools, organizations can create a more comprehensive approach to endpoint security that leverages the strengths of both tools.

EPP 및 EDR의 장단점

Pros and cons of EPP and EDR tools

엔드포인트 보안 시장의 주요 업체 중 상당수는 단일 에이전트와 콘솔 내에서 두 가지 기능을 결합하여 조직의 보안 위협 태세에 대한 포괄적인 개요를 제공하는 통합 EPP 및 EDR 제품군을 제공합니다.

EPP와 EDR에는 다음과 같은 구성 요소가 있습니다 (개별적으로 또는 결합되어 있음):

1. 엔드포인트 에이전트: 에이전트는 엔드포인트에 설치되어 시스템 로그, 네트워크 트래픽, 파일 활동 등 엔드포인트 활동에 대한 데이터를 모니터링하고 수집합니다.

2. 관리 콘솔: 수집된 데이터는 저장 및 분석을 위해 중앙 서버로 전송됩니다. 일반적으로 온프레미스 및 서비스형 소프트웨어(SaaS) 옵션 모두에서 사용할 수 있습니다:

- 온프레미스: 규제 및 규정 준수 관점에서 데이터가 로컬 데이터 센터 외부로 나가는 것을 허용하지 않는 배포의 경우, 필요한 애플리케이션(일반적으로 가상 머신 및 데이터베이스 서버)을 호스팅하는 인프라를 유지 관리하기 위한 추가 비용이 발생합니다.

- SaaS: 복원력과 가용성이 향상된 공급업체에서 호스팅하며, 모든 규제 및 규정 준수 영향은 라이선스 계약 내 공급업체 서비스 수준 계약에 의해 유지됩니다.

Many of the main players in the endpoint security market provide integrated EPP and EDR suites combining the capabilities of both within a single agent and console to provide a comprehensive overview of an organization’s security threat posture.

Both EPP and EDR have the following components (either individually or combined):

1. Endpoint agent: An agent is installed on the endpoint to monitor and collect data on endpoint activity, including system logs, network traffic and file activity.
2. Management console: The collected data is sent to a central server for storage and analysis. Typically available both in on-premise and Software-as-a-Service (SaaS) options:

-        On-Premise: For deployments that don’t allow data to leave a local data center from a regulatory and compliance perspective; it comes with extra cost to maintain infrastructure hosting applications (typically virtual machine and database servers) which are required.

-        SaaS: Hosted by a vendor with increased resiliency and availability; all regulatory and compliance impacts are maintained by vendor service level agreements within the license agreement.

EPP 모듈에는 다음이 포함됩니다:

EPP modules include:

l  호스트 침입 방지: 기업은 운영 체제(OS) 및 애플리케이션 취약점을 패치하는 데 어려움을 겪는 경우가 많으며, 이로 인해 악용 가능한 취약점이 수만 개나 남게 됩니다. 이 모듈은 기업이 일반적으로 서버형 엔드포인트에서 프로세스에 따라 패치를 구현할 수 있도록 도와줍니다.

l  호스트 방화벽: 엔드포인트와의 네트워크 트래픽을 제어하여 일반적으로 상태 저장 규칙을 사용하여 무단 액세스를 차단하고 맬웨어 확산을 제한합니다.

l  호스트 웹 보호(URL 필터링, Web Reputation): 이 모듈은 알려진 악성 웹사이트에 대한 액세스를 차단하고 업무와 관련이 없는 웹사이트에 대한 액세스를 제한하여 생산성을 향상시킵니다. 워크스테이션, 노트북, 모바일 디바이스와 같은 클라이언트 엔드포인트가 대표적인 대상 영역입니다.

l  로그 검사: 이 모듈은 일반적으로 보안 정보 및 이벤트 관리(SIEM) 솔루션에서 추가 수집을 위해 OS 및 애플리케이션 로그에 묻혀 있을 수 있는 중요한 이벤트를 식별하는 데 도움이 됩니다.

l  파일 무결성 모니터링: 레지스트리 값, 레지스트리 키, 서비스, 프로세스, 설치된 소프트웨어, 포트 및 파일에 대한 예기치 않은 변경 사항을 모니터링하여 위반 사항을 식별합니다.

l  장치 제어: USB 및 기타 외부 장치에 대한 액세스를 제어하여 이동식 미디어를 통한 멀웨어 확산을 방지하고, 특히 클라이언트 엔드포인트의 경우 최종 사용자가 승인되지 않은 플래시 드라이브를 사용을 방지합니다.

l  디스크 암호화: 엔드포인트의 데이터를 암호화하여 디바이스를 분실하거나 도난당한 경우에도 중요한 정보를 안전하게 유지합니다.

l  엔드포인트 데이터 손실 방지(DLP): 엔드포인트에서 중요한 데이터의 이동을 모니터링 및 제어하여 데이터 유출 및 무단 액세스를 방지합니다. 독립형 DLP 엔터프라이즈 솔루션이 많이 있지만, EPP 통합 솔루션을 사용하면 에이전트 설치 공간과 환경 복잡성을 줄일 수 있습니다.

l  애플리케이션/변경 제어: 명시적으로 허용될 때까지 승인되지 않은 소프트웨어의 실행을 제한하거나 제한될 때까지 소프트웨어를 허용하여 기업이 특정 환경에 맞게 제어 수준을 선택할 수 있습니다.

• Host intrusion prevention: Companies often struggle with patching their operating system (OS) and application vulnerabilities, leaving them with tens of thousands of exploitable gaps. This module helps companies to implement patches in accordance with their processes, typically on server-type endpoints.
• Host firewall: Controls network traffic to and from the endpoint, blocking unauthorized access and limiting the spread of malware, typically via the use of stateful rules.
• Host web protection (URL filtering, web reputation): This module blocks access to known malicious websites and limits access to non-work-related websites to improve productivity. Client endpoints like workstations, laptops and mobile devices are typical target areas.
• Log inspection: This module helps to identify important events that might be buried in OS and application logs, typically for further ingestion by security information and event management (SIEM) solutions.
• File integrity monitoring: Monitors scans for unexpected changes to registry values, registry keys, services, processes, installed software, ports and files to identify violations.
• Device control: Controls access to USB and other external devices, preventing the spread of malware via removable media, specifically for client endpoints and for preventing end-user use of unsanctioned flash drives.
• Disk encryption: Encrypts data on the endpoint, ensuring that sensitive information remains secure even if the device is lost or stolen.
• Endpoint data loss prevention (DLP): Monitors and controls the movement of sensitive data on endpoints, preventing data leaks and unauthorized access. While there are many standalone DLP enterprise solutions, the benefit of using an EPP-integrated one comes with reduced agent footprint and environment complexity.
• Application/change control: Restricts unauthorized software from running until explicitly permitted or permits software until explicitly restricted, allowing companies to choose the level of control aligned to environment specifics.

엔드포인트 보안 관리 서비스 Endpoint security management services

EPP의 장점:

Pros of EPPs:

l  강화된 보호: EPP 모듈은 다양한 사이버 위협에 대한 추가 보호 계층을 제공합니다. 주요 이점은 정의된 정책 내에서 맞춤형 구성을 통해 각 모듈을 시스템 그룹 또는 개별 시스템에서 개별적으로 활성화할 수 있다는 것입니다.

l  중앙 집중식 관리: 이러한 모듈을 EPP에 통합함으로써 조직은 중앙 콘솔에서 엔드포인트 보안을 보다 효율적으로 관리하여 관리 및 인프라 비용을 절감할 수 있습니다.

l  향상된 가시성: 이러한 모듈에서 수집한 데이터를 사용하여 엔드포인트 활동을 더 잘 파악할 수 있으므로 조직의 보안 인시던트 탐지 및 대응 능력이 향상됩니다.

l  배포 간소화: 이러한 모듈은 EPP에 통합되어 있으므로 독립형 보안 도구보다 더 쉽게 배포하고 관리할 수 있습니다.

• Enhanced protection: EPP modules provide additional layers of protection against a variety of cyber threats. The main benefit is that each module can be enabled individually on a group of systems or individual systems with custom combinations driven by tailored configurations within defined policies.
• Centralized management: By integrating these modules into the EPP, organizations can manage endpoint security more efficiently from a central console, reducing management and infrastructure costs.
• Improved visibility: The data collected by these modules can be used to gain better visibility into endpoint activity, improving the organization’s ability to detect and respond to security incidents.
• Simplified deployment: Since these modules are integrated into the EPP, they can be deployed and managed more easily than standalone security tools.

EPP의 단점:

Cons of EPPs:

l  새롭게 등장하는 위협을 탐지하고 차단하는 데 효율성이 비교적 제한적입니다.

l  시그니처 업데이트에 의존하여 새로운 위협을 탐지하는 사후 대응적 보안 접근 방식

l  온프레미스 배포 시 비용이 많이 들고 추가 모듈 사용 시 배포 및 관리가 더 복잡해질 수 있음

l  오탐이 많이 발생하여 조사에 많은 시간이 소요될 수 있습니다.

l  추가 모듈을 통합하면 EPP가 더 복잡해질 수 있으며, 이를 효과적으로 관리하기 위해 더 많은 리소스와 전문 지식이 필요할 수 있습니다.

l  일부 모듈은 엔드포인트의 성능에 영향을 미쳐 잠재적으로 생산성에 영향을 미칠 수 있습니다.

• Limited effectiveness in detecting and blocking new and emerging threats
• A reactive approach to security, relying on signature updates to detect new threats
• Can be costly for on-prem deployments and more complex to deploy and manage with add-on modules
• May produce a high number of false positives, which can be time-consuming to investigate
• Integrating additional modules can make the EPP more complex, requiring more resources and expertise to manage it effectively
• Some modules may have a performance impact on the endpoint, potentially affecting productivity.

이러한 잠재적인 단점에도 불구하고 EPP를 사용하면 비용보다 더 큰 통합 추가 기능 모듈을 사용할 수 있다는 이점이 있습니다. 추가 보호 계층을 제공하고 가시성을 개선하며 관리를 중앙 집중화함으로써 조직의 엔드포인트 보안 태세를 강화할 수 있습니다.

궁극적으로 조직은 EPP와 통합할 모듈을 결정할 때 특정 보안 요구 사항과 예산을 신중하게 고려해야 합니다. 올바른 모듈 조합을 선택함으로써 조직은 고유한 요구 사항을 해결하고 사이버 위험을 완화하는 엔드포인트 보안에 대한 보다 포괄적인 접근 방식을 달성할 수 있습니다. 기업은 단계적 접근 방식으로 시작하여 요구 사항의 확대 여부에 따라 점진적으로 추가 모듈과 기능을 활성화해야 합니다.

반면 EDR은 머신 러닝과 행동 분석을 활용하여 사이버 위협을 실시간으로 탐지하고 대응합니다. EDR은 엔드포인트 동작을 분석하여 기존 안티바이러스 구성 요소로는 탐지할 수 없는 알려지지 않은 멀웨어와 지능형 위협을 식별하고 차단할 수 있습니다. EDR은 포괄적인 보안 보호, 탐지 및 대응을 위한 핵심 EPP 제품군의 추가 기능으로 간주할 수 있습니다.

Despite these potential drawbacks, the benefits of using EPPs come with integrated add-on modules that can outweigh the costs. By providing additional layers of protection, improving visibility and centralizing management, these modules can enhance an organization’s endpoint security posture.

Ultimately, organizations should carefully consider their specific security needs and budget when deciding which modules to integrate with their EPP. By selecting the right combination of modules, organizations can achieve a more comprehensive approach to endpoint security that addresses their unique needs and mitigates cyber risks. Companies should start with a phased approach, gradually enabling additional modules and features as needs expand.

EDR tools, on the other hand, utilize machine learning and behavioral analysis to detect and respond to cyber threats in real-time. By analyzing endpoint behavior, EDR tools are able to identify and block unknown malware and advanced threats that traditional antivirus components are unable to detect. EDR can be considered an add-on to the core EPP suite for comprehensive security protection, detection and response.

EDR 모듈에는 다음이 포함됩니다:

EDR modules include:

l  행동 분석: EDR은 위협을 나타낼 수 있는 의심스러운 행동이 있는지 엔드포인트 활동을 모니터링합니다. 여기에는 비정상적인 네트워크 트래픽, 파일 활동 및 시스템 변경 사항 감지가 포함될 수 있습니다.

l  머신 러닝: EDR은 머신 러닝 알고리즘을 사용하여 보안 위협을 나타낼 수 있는 엔드포인트 활동의 패턴과 이상을 식별합니다. 이를 통해 EDR은 알려지지 않은 새로운 위협을 식별하고 이에 대응할 수 있습니다.

l  위협 인텔리전스: EDR은 위협 인텔리전스 피드를 사용하여 알려진 최신 위협 및 침해 지표에 대한 최신 정보를 유지합니다. 이를 통해 EDR은 알려진 위협을 보다 효과적으로 식별하고 대응할 수 있습니다.

·       대응 및 포렌식: EDR은 사용하면 엔드포인트를 원격으로 격리할 수 있으며 클릭 한 번으로 네트워크에서 엔드포인트를 차단하고 위협 추적 조사를 위한 원격 셸을 열어 환경 전체에 확산되는 공격의 영향을 최소화할 수 있습니다.

·       Behavioral analysis: EDR tools monitor endpoint activity for suspicious behavior that may indicate a threat. This can include detecting unusual network traffic, file activity and system changes.

• Machine learning: EDR tools use machine learning algorithms to identify patterns and anomalies in endpoint activity that may indicate a security threat. This enables EDR tools to identify and respond to new and unknown threats.
• Threat intelligence: EDR tools use threat intelligence feeds to stay up-to-date on the latest known threats and indicators of compromise. This helps EDR tools identify and respond to known threats more effectively.
• Response and forensics: EDR tools allow for remote containment of endpoints, cutting them out of the network with a single click and opening a remote shell for threat hunter investigation, minimizing the impact of an attack spreading across the environment.

EDR의 장점:

l  알려지지 않은 위협과 지능형 위협을 실시간으로 탐지 및 차단

l  새롭게 등장하는 위협에 대해 지속적으로 학습하고 적응

l  엔드포인트 활동 및 행동에 대한 심층적인 가시성 제공

l  보안사고를 더 빠르게 탐지하고 대응하여 평균 대응 시간을 단축할 수 있음

EDR 도구의 단점:

l  배포 및 관리가 복잡할 수 있음

l  일반적으로 보호되는 엔드포인트에 에이전트를 추가로 도입해야 함

l  위협을 이해하고 분류하려면 EPP보다 더 많은 리소스와 전문 지식이 필요할 수 있음

l  많은 수의 알림을 생성할 수 있어 조사에 많은 시간이 소요될 수 있음

Pros of EDR tools:

• Can detect and block unknown and advanced threats in real-time
• Continuously learn and adapt to new and emerging threats
• Can provide deeper visibility into endpoint activity and behavior
• Enable faster detection and response to security incidents, reducing the mean time to respond.

Cons of EDR tools:

• Can be complex to deploy and manage
• Typically introduce additional agents on protected endpoints
• May require more resources and expertise than EPPs to understand and triage threats
• Can produce a high number of alerts, which can be time-consuming to investigate.

EPP와 EDR을 결합하면 두 솔루션의 장점을 활용하는 엔드포인트 보안에 대한 보다 포괄적인 접근 방식을 제공합니다. EPP는 알려진 위협에 대해 기본적인 수준의 보호를 제공하는 반면, EDR 도구는 알려지지 않은 지능형 위협을 실시간으로 탐지하고 차단할 수 있습니다.

각 도구의 기능 차이를 완화하기 위해 조직은 다음을 구현할 수 있습니다:

l  통합: EPP와 EDR을 통합하면 엔드포인트 활동에 대한 보다 전체적인 관점을 제공하고 보안 사고에 대한 보다 빠른 탐지 및 대응이 가능해집니다.

l  자동화: 보안사고에 대한 조사 및 대응을 자동화하면 보안 팀의 업무량을 줄이고 대응 시간을 단축할 수 있습니다.

l  위협 인텔리전스: 위협 인텔리전스 피드를 EPP 및 EDR에 통합하면 새로운 위협을 식별하고 차단하는 데 도움이 될 수 있습니다.

Combining EPPs and EDR tools provides a more comprehensive approach to endpoint security that leverages the strengths of both tools. EPPs can provide a foundational level of protection against known threats, while EDR tools can detect and block unknown and advanced threats in real-time.

To mitigate the gaps in each tool’s capabilities, organizations can implement the following:

• Integration: Integrating EPPs and EDR tools can provide a more holistic view of endpoint activity and enable faster detection and response to security incidents.
• Automation: Automating the investigation and response to security incidents can reduce the workload on security teams and help ensure faster response times.
• Threat intelligence: Incorporating threat intelligence feeds into EPPs and EDR tools can help identify and block emerging threats.

결론

Conclusion

EPP와 EDR은 모두 포괄적인 보안 전략의 중요한 구성 요소이며, 함께 사용하면 위협에 대해 더욱 강력한 방어를 제공할 수 있습니다. EPP와 EDR을 결합하면 두 도구의 강점을 활용하는 엔드포인트 보안에 대한 보다 포괄적인 접근 방식을 제공합니다. 두 솔루션을 통합하고 자동화 및 위협 인텔리전스 피드를 구현함으로써 조직은 각 도구의 기능 격차를 완화하고 진정으로 포괄적인 엔드포인트 보안을 달성할 수 있습니다.

또한 EPP와 EDR을 결합하면 확장 탐지 및 대응(XDR) 플랫폼을 구현할 수 있습니다.

XDR 플랫폼은 EPP와 EDR, 프록시, 방화벽, SIEM 및 기타 여러 솔루션 등 여러 보안 도구의 데이터를 통합하여 조직의 보안 태세를 전체적인 가시성을 제공합니다. 이를 통해 보안팀은 전체 환경에서 위협을 효과적으로 탐지하고 대응하여 성공적인 사이버 공격의 위험을 줄일 수 있습니다.

EPP and EDR are both important components of a comprehensive security strategy, and they can work together to provide a more robust defense against threats. Combining EPPs and EDR tools provides a more comprehensive approach to endpoint security that leverages the strengths of both tools. By integrating the two tools and implementing automation and threat intelligence feeds, organizations can mitigate the gaps in each tool’s capabilities and achieve truly comprehensive endpoint security.

Furthermore, the combination of EPPs and EDR tools can lead to the implementation of an extended detection and response (XDR) platform.

XDR platforms integrate data from multiple security tools, including EPPs and EDR tools, proxies, firewalls, SIEM and many other solutions to provide a holistic view of an organization’s security posture. This enables security teams to effectively detect and respond to threats across the entire environment, reducing the risk of successful cyberattacks.

https://securityintelligence.com/posts/combining-epp-and-edr-tools-can-boost-your-endpoint-security/