지난 18년도에 EDR(Endpoint Detection & Response)에 대해 말씀 드리면서, Sonicwall의 Capture Client에 대해 소개해 드린적이 있습니다.

 

소개 당시에는 랜섬웨어 감염에 대한 탐지 및 복구 기능을 중심으로 설명해 드렸는데요, 해당 기능 외에 추가로 업데이트된 부분이 있어 다시 한번 소개해 드립니다.

 

먼저, Capture Client를 통한 랜섬웨어 복구에 대한 이전 글은 여기를 클릭하여 보실 수 있습니다.

 

복구 기능 외에 업데이트된 주요 기능들은 아래와 같습니다.

  • Cloud 기반의 Sandbox 기능인 Capture ATP
  • USB 매체 제어
  • Web Protection

전체적인 기능에 대해서는 아래와 같이 도식화 할 수 있겠는데요. 위에 설명드린 주요 기능 외, 부가적으로 Sonicwall 차세대방화벽(NGFW)이 함께 사용되는 경우 Capture Client 설치가 되지 않으면, 인터넷을 차단하는 기능과 암호화 통신에 대한 검사를 위한 인증서 배포 기능이 있습니다.

 

먼저, Sandbox 기능인 Capture ATP 기능부터 살펴보겠습니다.

 

Capture ATP는 Sonicwall의 차세대방화벽(NGFW) 및 Email Security 제품에 포함되어 있던 기능으로 여러 개의 분석 엔진을 활용한 가상머신(VM)을 통해 의심되는 파일을 실행 시켜, 행위 분석으로 악성 파일을 탐지 또는 차단하는 기능으로 Capture Client에 추가되었습니다.

 

이로써, Capture Client는 기본적으로 SentinelOne 이라는 Anti-Virus 엔진을 통해 기본적으로 탐지 및 차단을 수행하면서, Capture ATP 를 활용해 행위기반의 분석을 진행하여 알려지지 않은 악성파일에도 대응하게 됩니다.

 

다음은 Device Control에 해당되는 USB 매체제어 기능으로, USB 형식의 저장매체 및 프린터, 무선컨트롤러 등을 선택적으로 차단할 수 있습니다.

 

마지막으로, Web Protection 기능은 유해한 파일 및 바이러스를 포함하는 웹사이트로 부터의 보호 기능으로 웹필터 기능으로 이해를 하시면 편하실 듯 합니다.

 

지금까지 Sonicwall의 EDR 솔루션인 Capture Client의 업데이트된 기능에 대해 간략하게 살펴 보았습니다만 이름과 같이 악성파일 및 바이러스 등을 어떻게 탐지하고, 대응하는지에 포커스가 맞춰져 있는 제품입니다.

 

각 제조사 마다 탐지 및 대응 방법에 대한 차이점은 당연히 있겠지만, EDR 제품들 중에서 금액과 구성요소를 고려하였을 때에 고려해볼 가치가 있다고 판단 됩니다.

 

 

감사합니다.

 

 

 

 

 

 

Posted by 로버무트
,