새로운 위협이 나타나는 속도가 대응 속도를 앞지르고 있다. 업계는 그 동안 새로운 기능을 개발, 테스트, 도입하는 데 너무 많은 시간을 소모했다

인텔리전스 기반 보안 솔루션 글로벌 기업 파이어아이가 공격에 대한 방어, 조사 및 대응을 위한 여러 신규 모듈이 포함된 ‘파이어아이 엔드포인트 시큐리티(FireEye Endpoint Security)’ ‘혁신 아키텍처(Innovation Architecture) 를 공개했다.

파이어아이 엔드포인트 시큐리티는 완전한 맞춤형 보안 모듈로 광범위한 공격을 방어할 수 있게 설계됐다. 해당 모듈은 맨디언트가 사이버 보안의 최전선에서 얻은 지식을 바탕으로 멀웨어 및 정보 탈취를 차단하고, 진화한 최신 공격을 탐지하며, 기업 특성 별 다른 위험 요소와 보안 상태를 고려한 대응 도구와 솔루션을 제공한다.

새로운 모듈화된 접근방식으로 신규 기능 도입이나 위협 대응 추가 업그레이드가 바로 가능하다. 어떤 모듈을 어디에 도입할지에 따라 보안 레벨을 개별적으로 조정할 수 있다. ‘방어’, ‘조사 및 대응’과 ‘엔터프라이즈 레디’로 세 가지 기본 카테고리로 제공되며, 맨디언트 솔루션(Mandiant Solution)의 축적된 방대한 사이버 보안 지식을 기반으로 하는 위협 탐지가 가능하다.

방어면에서 프로세스 가드(Process Guard)는 애널리스트가 개입하여 문제를 해결할 필요 없이 권한이 없는 상태로 윈도우(Windows) 상의 크리덴셜 정보에 접근하는 것을 차단한다.

조사 및 대응은 프로세스 트래커(Process Tracker)가 윈도우, 맥(Mac), 리눅스(Linux) 엔드포인트에서 메타데이터를 수집 후 엔드포인트 시큐리티 콘솔로 전달한다. 강화(Enrichment)는 향 후 몇 개월 내 추가될 기능으로 파이어아이 인텔리전스(FireEye Intelligence) 정보를 파일에 적용시켜서 해당 악성파일이 들어온 시기를 파악하고 사고 대응 조사를 지원한다.

엔터프라이즈-레디(Enterprise Ready)의 에이전트 상태(Agent Status)는 엔드포인트 시큐리티 콘솔 내 사용자 인터페이스(UI)에 시스템 정보와 에이전트 상태가 표시되므로, IT 담당자가 시스템 전반에 대한 가시성을 확보할 수 있다. 에이전트 콘솔(Agent Console)은 이벤트를 분류한 후 경보를 발생시켜, 어떤 파일을 격리시켰는지 등 에이전트가 현재 수행 중인 작업에 대한 가시성을 제공한다.

파이어아이는 지속되는 사이버 위협을 해결하고, 문제 상황 발생 시의 복 자동화, 경고 발생 범위 확대 및 사고 조사, 윈도우즈(Windows) 액세스 제어 등과 같은 향상된 신규 보안 기능을 제공하기 위한 새로운 모듈이 지속적으로 릴리즈될 예정이다. 파이어아이 엔드포인트 시큐리티 현재 버전은 맥OS용 멀웨어 보호, IPv6 환경 지원 및 업데이트된 리눅스 오딧(audit) 옵션을 제공한다.

맨디언트 매니지드 디펜스(Mandiant Management Defense) 서비스를 이용하는 경우 지정 애널리스트를 배정받아 위협 헌팅, 경보 발생에 대한 우선순위 결정 및 보안 사고 대응 프로세스 등을 추가적으로 지원받을 수 있게 된다.

파이어아이 엔지니어링 부문 부사장 겸 엔드포인트 총괄 미셸 살바도(Michelle Salvado)는 “파이어아이가 발표한 새로운 프레임워크는 변화하는 위협 환경에 대응하기 위해 몇 달에 걸쳐 맞춤 기능으로 구성 및 도입해 오던 모듈을 이제는 단 며칠 안에 도입할 수 있다”고 말했다.

관련기사

저작권자 © 넥스트데일리 무단전재 및 재배포 금지