오픈 텍스트 Tag 사이버 관리 감지 및 대응 소프트웨어 지침
관리형 탐지 및 대응(MDR) 솔루션은 특히 디지털 포렌식 커뮤니티에서 파생되고 발전된 조사 기능의 이점을 얻습니다. 따라서 구매자는 조사 경험을 선택 요소로 포함해야 합니다.viewMDR 제품을 소개합니다.
소개
1990년대 후반에 관리 보안 서비스(MSS) 제품이 등장한 것은 주로 기업 팀이 전문가를 통해 방화벽을 원격으로 관리하고 보안을 강화해야 한다는 필요성에 의해 주도되었습니다.view 생성되는 로그 레코드. 관리형 보안 서비스 제공자(MSSP)의 제안이 진화하고 경계 기반 방화벽이 덜 중요해짐에 따라 대부분 MSS 솔루션의 중점은 장치 관리에서 수집된 로그 분석으로 옮겨갔습니다.
이 보고서에서는 이러한 변화로 인해 실무자들이 새로운 관리형 탐지 및 대응(MDR) 상용 제품에 더욱 중점을 두게 된 이유를 설명합니다. 아래에서 설명하겠지만, 이러한 MDR 솔루션은 기업 구매자를 위해 데이터 수집, 상관 관계 처리, 사고 대응 및 데이터 분석 지원을 결합합니다. 또한 기업 팀을 아웃소싱 전문가로 보강하여 보안 기술 격차를 해소하는 데 도움이 됩니다.
또한 이 보고서에서는 구매자가 MDR 파트너를 선택할 때 고려해야 할 핵심 선택 요인에 초점을 맞춥니다. 이 핵심 요인인 조사 역량은 MDR 공급업체가 관리형 인프라의 데이터를 이해하기 위해 분석 작업을 수행하는 능력을 포함합니다. 공급업체 팀 내에서 이러한 전문성이 어떻게 발전했는지를 포함한 조사 역량이 MDR 성공의 주요 예측 요인이라는 주장이 제기됩니다.
기준 MDR 기능
기존 MSS와 진화된 MDR을 구별하는 가장 좋은 방법은 이러한 각각의 제공물이 NIST 사이버 보안 프레임워크(CSF)에 포함된 방어 라이프사이클 모델에서 어디에 있는지 시각화하는 것입니다. 대부분의 관찰자는 view 이 모델을 따른 모든 변화는 예방적 초점을 향한 좌측 이동 또는 탐지 및 대응 초점을 향한 우측 이동으로 정의됩니다. 아래 그림 1은 이러한 변화의 풍경을 보여줍니다.
MDR 솔루션이 매우 성공적인 주된 이유 중 하나는 고급 사이버 위협을 예방하기 매우 어렵다는 것입니다. 특히 국가 군사 그룹과 같은 유능한 행위자가 시작할 때 더욱 그렇습니다. 보안 팀은 진행 중인 사고를 해결하고, 라이브 공격에 대응하거나, 필요한 시정 및 복구 조치를 통해 완료된 사고에 대응하는 데 주력해야 했습니다.
그 결과 사이버 보안 산업에서 확실한 전환이 이루어졌으며, 탐지 및 대응에 중점을 두었습니다. MDR 외에도 구매자는 이제 네트워크 탐지 및 대응(NDR), 엔드포인트 탐지 및 대응(EDR), 심지어 확장(와일드카드) 탐지 및 대응(XDR)에 대한 솔루션을 이용할 수 있습니다. 이러한 각 제품은 진행 중이거나 이전 사고를 처리하는 데 중점을 둡니다.
https://www.nist.gov/cyberframework
MDR의 핵심 구성 요소로서의 조사
이러한 변화에서 분명하게 알 수 있듯이 MDR 솔루션은 이전 세대의 관리형 보안에서 예방 및 완화에 중점을 두었던 것과 달리 사고 조사에 크게 중점을 두고 있습니다. 이러한 강조는 MDR 공급업체를 선택하는 과정에 충분한 재view 사고 전, 사고 중, 사고 후에 수집된 데이터를 기반으로 조사 작업을 지원하는 현지 역량.
이러한 조사 역량이 특히 강조된 한 분야는 디지털 포렌식입니다. 수년 동안 기업 팀, 법 집행 기관 및 기타 이해 관계자는 디지털 포렌식 방법을 사용하여 대상 장치, 시스템 및 소프트웨어(저장된 데이터 및 일시적 데이터 포함)의 특성과 데이터를 조사했습니다. 그 결과 모범 사례는 모든 MDR 제안에 포함되어야 하는 방법 유형에 대한 탁월한 통찰력을 제공합니다.
디지털 포렌식 조사의 요소
법 집행 기관 및 기타 법의학 조사관이 디지털 조사를 수행할 때, 그들은 많은 개별 작업을 포함하는 4단계 수명 주기 모델에 명시적으로 또는 암묵적으로 참여해야 합니다. 아래에서 공식적인 표준이 아닌 사실상의 가이드로 표현된 이 모델의 각 작업은 아티팩트에서 통찰력을 발견하는 데 도움이 되도록 설계되었으며, 대부분은 이제 적절한 실행을 위해 기술 지원에 크게 의존하고 있습니다.
1단계: 보존
여기에는 중요한 디지털 증거를 손상시키거나 변경할 수 있는 모든 활동을 동결하는 것이 포함됩니다. 이러한 유형의 활동은 수집된 로그, 원격 측정 및 기타 일시적인 데이터를 안전하게 저장해야 하는 MDR 제공에 적용됩니다.ampering 또는 손상.
2단계: 수집
여기에는 조사에 필요한 디지털 증거를 얻는 것이 포함됩니다. MDR 솔루션은 관리되는 인프라에서 원격 로그, 감사 기록, 경고, 알람 및 기타 원격 측정을 캡처하는 유사한 수집 기능을 갖추고 있습니다.
3단계: 검사
여기에는 기술적이고 체계적인 재검토가 포함됩니다.view 그리고 조사와 관련된 증거를 검색합니다. 모든 MDR에는 일반적으로 MDR SOC에서 자동화 및 수동 절차를 결합하여 수행하는 유사한 검사 기능이 포함되어야 합니다.
4단계: 분석
이 중요한 작업에는 상관관계와 논리적 재가 포함됩니다.view 결론을 도출하기 위한 디지털 증거. 점점 더 많은 MDR 솔루션이 지능형 알고리즘을 사용하여 분석 작업을 수행합니다. 이러한 솔루션은 일반적으로 서명, 행동 및 인공 지능 기반 처리의 가장 좋은 요소를 결합합니다.
5단계: 보고
이 마지막 단계는 조사에 참여한 모든 사람에게 유용한 방식으로 결과를 문서화하는 것을 포함합니다. 모든 MDR에는 이제 보고 요구 사항을 지원해야 하는 요구 사항이 포함되며, 종종 요약 분석은 사이버 전문가와 기업 임원 모두가 사용할 수 있어야 한다는 뉘앙스가 있습니다.
디지털 포렌식 방법에 대한 이 분석은 선택된 MDR 플랫폼과 지원 공급업체가 적절한 디지털 조사 역량에 깊이 뿌리를 두어야 함을 시사합니다. 위에서 설명한 대로 MDR 솔루션은 탐지와 대응에 초점을 맞추는데, 이 둘은 모두 디지털 포렌식 조사를 위한 5단계 프로세스의 필수적인 측면입니다. 따라서 MDR 공급업체는 이 분야에 대한 깊은 이해가 있어야 한다는 것은 당연한 이치입니다.
MDR 공급업체에 물어볼 질문
그만큼 TAG 사이버 분석가 팀은 MDR 옵션을 고려하는 구매자가 기존의 소스 선택 프로세스를 조정하여 MDR 원칙 간의 조사 전문성과 경험에 대한 강조를 높여야 한다고 권장합니다. 이를 위해 MDR 솔루션 제공자에게 질문할 수 있는 일련의 간단한 질문을 만들어 MDR 참여의 성공을 예측하는 데 도움이 된다고 믿는 이 수준의 조사 역량을 측정하는 데 도움을 줍니다.
MDR 공급업체는 현대 디지털 시나리오에 대한 직접적인 법의학적 조사 경험을 어느 정도 보유하고 있습니까?
분명히 디지털 포렌식과 MDR은 다른 활동이며, MDR 계약에는 장치 및 기타 시스템의 포렌식 분석 작업 항목이 포함되지 않을 가능성이 크다는 점을 충분히 이해합니다. 그러나 디지털 포렌식에 대한 현지 경험이 있으면 TAG 사이버 분석 팀은 조직이 디지털 문제를 얼마나 잘 처리할 수 있는지를 잘 예측할 수 있는 좋은 지표입니다.view, 데이터 분석, 조사 지원.
MDR 솔루션 제공업체는 최신 디지털 포렌식 조사와 관련하여 어떤 플랫폼과 도구에 익숙합니까?
MDR 팀 전체에서 디지털 포렌식에 대한 원하는 수준의 경험은 조사를 지원하기 위한 동급 최고의 도구에 대한 이해와 친숙함으로 보완되어야 합니다. MDR 팀은 이러한 도구를 탐지 및 대응 작업에 직접 사용하지 않을 수 있지만, 최고의 상용 도구를 사용하여 조사를 지원하는 이전 또는 지속적인 경험은 우수한 MDR 팀에 대한 합리적인 요구 사항이라고 생각합니다.
MDR 공급업체는 일상적인 탐지 및 대응 지원에 디지털 포렌식 기능을 통합하기 위해 어떤 방법론을 사용합니까?
이 질문은 디지털 포렌식과 MDR 지원 간의 시너지에 초점을 맞춥니다. 특히, MDR 공급업체에 조사 경험과 전문성을 기업 고객을 지원하는 탐지 및 대응 활동에 어떻게 통합할 수 있는지 묻습니다. 이 시너지는 전략적일 수 있으며, 데이터 분석 프로그램을 설계하는 방법에 대한 프레임워크 지침을 제공하거나, 전술적일 수 있으며, 주어진 작업을 처리하는 데 있어 보다 구체적인 단계별 지원을 제공할 수 있습니다.
에 대한 TAG 사이버
TAG Cyber는 신뢰할 수 있는 사이버 보안 연구 분석 회사로, 보안 솔루션 공급업체와 Fortune 100 기업에 편견 없는 산업 통찰력과 권장 사항을 제공합니다. AT&T의 전 SVP/CSO인 Edward Amoroso 박사가 2016년에 설립한 이 회사는 수백 건의 고객 및 비고객 참여를 기반으로 심층적인 연구, 시장 분석, 컨설팅 및 개인화된 콘텐츠를 제공하여 유료 연구 추세에 맞서고 있습니다. 이는 모두 전직 실무자 관점에서 이루어집니다.
저작권 © 2021 TAG Cyber LLC. 이 보고서는 저작권법의 허가 없이는 복제, 배포 또는 공유할 수 없습니다. TAG Cyber의 서면 허가. 이 보고서의 자료는 Cyber의 의견으로 구성되어 있습니다. TAG 사이버 분석가이며 사실적 주장으로 해석되어서는 안 됩니다. 이 보고서의 정확성, 유용성, 정확성 또는 완전성에 대한 모든 보증은 여기에서 부인됩니다.
관리형 탐지 및 대응(MDR): 주요 선택 요소로서의 조사 역량
Copyright © 2021 오픈텍스트. 판권 소유. Open Text가 소유한 상표.
문서 / 리소스
 |
오픈 텍스트 Tag 사이버 관리 탐지 및 대응 소프트웨어 [PDF 파일] 지침 Tag 사이버 관리 감지 및 대응 소프트웨어, Tag 사이버 관리 감지 및 대응, 소프트웨어 |
