4. 보안 솔루션 종류와 이해 - DLP,DRM,EPP,EDR

정보유출 방지 솔루션

 

DLP

- Data Loss Prevention 의 약어
- 기업의 중요 자산이 밖으로 유출되는 것을 방지하기 위한 솔루션
- 누출 사건을 처리하는데 사용되는 기술적 범주로 분리
 

Standard Measure

- 방화벽과 IDS, 안티바이러스 소프트웨어와 같이 일반적으로 내부와 외부의 공격을 차단

 

Advanced Measure

- 비정상적인 전자 메일 교환에 대한 비정상적인 접근 탐지를 하기 위한 것으로 머신러닝 등의 사용자 활동 모니터링을 제공

 Designed Systems
 - 민감 데이터 접근 가능자가 민감 데이터 전송을 시도하거나 복사하는 행위를 차단 또는 탐지

 

 

유 형

- Network
   > 보통의 경우 네트워크 출구 지점에 설치
   > 정보보안 정책을 위반하는 민감 데이터 트래픽을 분석하고 탐지

 

- Endpoint
  > 서버나 단말 내 실행하고 내부 외부의 통신을 탐색
  > 단말 내 설치되어 있어 이메일 내용이나 인스턴스 메시지 등 상세 내역들을 탐지 가능

- Data identification
  > 민감한 데이터를 식별
  > 정규 표현식, 메타 데이터 태그, 기계 학습, 행동 분석, 위협 모델링 분석, 패턴 탐지 등을 이용하여 내부 데이터를 식별

- Data leak detection
  > 인가되지 않은 장소에 발견된 누출 여부를 탐지

- Data at rest
  > 장기간 사용되지 않은 데이터 관리

- Data in use
  > 사용중인 데이터를 보호하여 불법적 활동을 모니터링하고 표시

- Data in motion
  > 네트워크를 통해 단말로 이동하는 데이터

 

DRM

- 하드웨어 및 저작권이 있는 저작물 사용을 제한하기 위한 접근 제어 기술
- 자산에 대해 사용, 수정 등의 정책을 반영하여 통제

 

Verification
  > Production key : 가장 오래되고 복잡한 기법으로 과거 닌텐도 컨텐츠 보호를 위해 사용했던 방식으로 소프트웨어에 키를 넣어 자격증명을 수행
  > Limited install activations :  온라인 서버 인증을 요구하여 다른 컴퓨터에서 활성화할 수 있는 설치 수를 제한
  > Persistent online authentication : 온라인 서버의 연결을 계속 지속하며 인증 상태를 유지

Encryption
  > 소프트웨어를 수정하여 다른 제한 조치를 우회할 수 없도록 수행
  > 데이터를 암호화하여 유출 시 읽기, 수정이 불가하도록 수행

Copy Restriction
  > 전자책과 문서 등에 적용되어 있으며, 복사, 프린트, 전달, 백업 저장 기능들을 제한

Anti-tampering
  > 서명되지 않은 소프트우어가 컨텐츠에 접근하는 것을 방지
  > 프로그램 자체 손상을 방지

Regional Lockout
  > 소프트웨어 구독 서비스 취소, 미등록 등으로 특정 지역을 벗어나거나 특정 소프트웨어를 통해 실행하지 못하도록 수행
 
Tracking
  > 워터마크 : 제작 또는 배포 중에 오디오, 비디오 등에 스테가노그래피 방식으로 내장하거나 문서 출력 시 문서 자체에 이미지가 내장되어 함께 출력
  > Metadata : 파일 내에 구매자의 이름, 계정 정보 또는 전자 메일 주소와 같은 정보를 미디어에 포함되어 저장

 

엔드포인트 보안 솔루션

 

EDR

- Endpoint Dectection and Response의 약어
- 가트너에 의해 2013년 ETDR(Endpoint Threat Detection & Response)라는 개념으로 처음 소개되었고 이후 EDR로 명칭 변경
- 가트너에 따르면 엔드포인트의 행위와 이벤트를 기록하고 수집된 데이터를 기반으로 다양한 기술을 활용하여 공격을 탐지하고 대응하는 솔루션을 의미
- 4가지 필수 기능 : 탐지, 대응, 조사, 치료
- 엔드포인트에서 다양한 정보를 수집해서 엔드포인트의 가시성을 확보한 뒤, 수집된 정보들을 기반으로 행위 분석, 머신러닝, IOC 탐지 등의 기술로 알려진 혹은 알려지지 않은 위협 탐지 필요
- 악성코드 탐지와 위협을 격리하여 제거하도록 기능 제공 필요

 

EPP

- Endpoint Protection Platform의 약어
- 파일 기반 악성소프트웨어 공격을 방지하고 악의적인 활동을 탐지
- 동적 보안 사고 및 경고에 대응하는데 필요한 조사 및 치료 기능을 제공하기 위해 엔드포인트 장치에 배포된 솔루션
- 주로 알려진 위협 등에 대해 빠른 처리를 위한 기능들을 수행
- 주요 기능
  > 패치 관리
  > 취약 시스템 점검 및 조치
  > 디바이스 제어, 개인정보 유출 방지
  > 위협 탐지 및 대응, 안티 멀웨어

 

EDR 과 EPP 비교 

- EPP의 경우 즉각적인 대응과 단일 대상에 대한 분석 결과를 바탕으로 위협을 탐지하고 대응
- EDR의 경우 복합적인 대상의 정보 수집을 바탕으로 자동화 분석 대응 키워드가 여럿 존재
 Machine Learning, Automation 기능 등 포함
- EDR의 경우 복합적 기능을 포괄하고 알려진 위협 외에 알려지지 않은 위협도 탐지하는데 목적을 둠
- EDR이 상대적으로 EPP보다 많은 비용이 필요