앞서 EmsisoftEDR을 소개해 드렸는데, 오늘은 SonicwallEDR 솔루션을 추가로 소개해 드리고자 합니다.

 

 EDR에 대해 간략하게 말씀드리자면, Endpoint Detection and Response의 약자로 엔드포인트 위협에 대한 탐지 및 대응에 대한 보안 기능을 제공하는 것이 목적인 솔루션으로 주로 표적형 공격이나 랜섬웨어 등의 사이버 공격에 대응됩니다.

 

 개인적으로는 EDR 솔루션 마다 ‘R’에 해당하는 Response 부분에 해당 벤더사가 제공하려는 서비스의 목적이나, 차별성이 나타난다고 생각하는데요, SonicwallEDR 솔루션은 Capture Client 라는 이름의 제품으로 아래 그램과 같은 구성으로 EDR에 필요한 기능들을 제공합니다.

 

 

 Sonicwall Capture ClientCapture Security Center를 통해 중앙에서 관리를 할 수 있는데, 주요 EDR 기능을 조금 더 상세하게 설명을 드리자면..

 

 첫번째로 차세대 백신 엔진인 Sentinel One을 탑재하여, 위협에 대한 탐지와 차단을 수행하거나 Rollback 기능을 통해 감염된 이전 시점으로 Client를 복원하는 기능을 제공합니다.

 

 Rollback의 경우 WindowsVSS(Volume Shadow Copy Service)를 이용하며, 대략 4시간 주기로 복원 지점을 생성하는 방식입니다.

 

 

 두번째는 위협에 대한 시각화 기능을 제공하여, 공격의 흐름과 파일이나 프로세스, 레지스트리 정보를 제공하여, 공격에 대한 상세한 내용을 보여줍니다. 관리자는 이러한 기능을 통해 조금 더 효과적으로 이슈 사항에 대한 추적이 가능해 집니다.

 

 

 세번째로는 SonicwallCapture ATP 기능으로 Sandbox 연동 기능을 제공하여, 악성으로 의심되는 파일을 Cloud 기반 Sandbox를 통해 실행해 보고, 추가 검사하여 보안 기능을 확장하는데, 이를 통해 아직 알려지지 않은 위협에 대한 최소한의 방어 기능을 제공합니다.

 

 

 네번째로 관리자가 사용자들의 PCSonicwall EDR 제품 설치를 강제할 수 있도록, 프로그램이 설치되지 않은 Client에서 인터넷 사용 시, 인터넷에 연결할 수 없도록 하고 설치 페이지로 강제 이동시켜 프로그램 설치를 유도할 수 있습니다.

 

 

 마지막으로, 현재 인터넷 통신의 대부분은 https(SSL)으로 암호화되어 통신을 하는데, 암호화된 통신도 탐지 및 차단할 수 있는 복호화 환경을 위해 Client에 쉽고 빠른 인증서 배포를 지원합니다.

 

 

 이렇게 Sonicwall Capture ClientEDR에 대해 소개해 드렸는데, Sonicwall Capture Client의 특장점을 아래와 같이 간단하게 정리해 보았습니다.

 

Sonicwall Capture Client EDR 솔루션의 특장점

  • 사용자들의 PCEDR 프로그램 설치를 강제하여, 미 설치된 PC의 인터넷 사용 시에 설치 유도 페이지로 이동해 주는 기능 제공.
  • 차세대 백신 엔진을 통한 탐지 및 차단과 더불어 Sandbox, 유해사이트 차단, SSL 인증서 배포 등의 네트워크 구간의 다양한 보안 옵션들을 제공.
  • Windows VSS 기능을 활용하여 감염 이전 시점으로 복원할 수 있는 Rollback 기능 지원.

 

앞의 포스팅에서 소개해 드린 EmsisoftEDR 솔루션과 함께 회사 환경과 필요 기능을 고려하여, 적절한 솔루션을 선택해 엔드포인트 보안을 실현하시기 바랍니다.

 

 

 

영업 문의

 

 

 

 

 

 

 

 

 

 

 

 

Posted by 로버무트
,