ITDR(신원 위협 탐지 및 대응)은 시간이 지날수록 더욱 정교해지는 위협을 식별, 완화 및 대응하기 위해 고안된 사이버 보안 접근 방식입니다. ID 기반 공격의 위험과 비용이 증가함에 따라 그 중요성이 커지고 있습니다. 이러한 공격은 사용자 자격 증명과 권한 있는 계정을 성공적으로 표적으로 삼음으로써 가능합니다. ITDR은 내부자 위협, 손상된 계정, 권한 오용을 완화하여 조직의 보안 태세를 강화하는 데 도움이 됩니다.

신원 위협 탐지 및 대응

ID 위협의 개발과 도입을 이끈 사이버 보안 트렌드

플랫폼, 시스템, 애플리케이션이 계속해서 취약점을 보완함에 따라 초기 외부인은 자격 증명, 잘못된 설정 또는 노출된 API와 같은 다른 취약점을 더 쉽게 악용할 수 있게 됩니다. 다양한 피싱 기법, 키 로거 및 기타 자동화된 도구가 사용되며 애플리케이션 및 시스템 수준의 보안에 직접 대항하는 것보다 실행하기가 더 쉬운 것으로 입증되었습니다. 취약점 조사에는 상당한 시간과 기술, 광범위한 테스트가 필요하지만, 공격자들은 이러한 서비스에 빠르게 접근하기 위해 크리덴셜 스터핑에 더 집중하는 경우가 점점 더 많아지고 있습니다. 공격자들은 자격 증명 기반 접근 방식과 함께 권한 있는 계정을 식별하는 기술과 다른 침해된 계정을 홍보하는 방법을 연마해 왔습니다. 이러한 공격은 수개월 또는 수년 동안 지속되는 지속적인 위협이 될 수 있습니다. 물론 가장 피해를 많이 입히고 찾는 신원은 정보 소유자나 특별한 액세스 권한을 가진 기타 유사한 계정입니다. 따라서 조직의 위험 증가는 자격증명 기반 계정뿐만 아니라 가장 권한이 높은 사용자에 대한 공격으로 이어졌습니다. 외부인은 전통적으로 개인이나 프로세스가 자신을 식별하는 데 의존하는 정보를 가지고 있기 때문에 과거에도 그랬고 지금도 가장 보호해야 할 복잡한 위협입니다.

ITDR로 가는 길

연도	이벤트
2000s	자격 증명 기반 공격(피싱, 무차별 대입)의 증가.
2010s	도난된 인증정보를 통한 주요 신원 유출 사고는 피해 조직의 가치 손실뿐만 아니라 빈도도 계속 증가하는 추세입니다. IAM, MFA 및 PAM 솔루션의 성장.
2021	MITRE ATT&CK 프레임워크가 ID 기반 위협으로 확장됩니다.
2022	가트너는 ITDR이라는 용어를 만들어 ID 중심 위협 탐지의 필요성을 강조합니다.
2023+	ITDR은 기업의 핵심 사이버 보안 전략으로 주목받고 있습니다.

ITDR 관행은 어떻게 공식화되었나요?

2022년 가트너는 사이버 보안 관행으로 ITDR을 도입했습니다. 이 소개에서 Gartner는 ITDR을 조직이 ID 시스템, 자격증명 및 권한 있는 액세스를 노리는 증가하는 위협에 보다 효과적으로 대응할 수 있는 방법이라고 설명했습니다. 조직이 신원 기반 공격을 보다 효과적으로 탐지, 조사, 완화할 수 있는 역량을 강화해야 한다는 점을 강조합니다. 기존의 보안 도구 접근 방식과 달리 ITDR은 ID 및 접속 관리(IAM), 사용자 및 엔터티 행동 분석(UEBA), 확장 탐지 및 대응(XDR)을 통합하여 자격 증명 오용, 권한 상승, 측면 이동을 선제적으로 방어합니다. 현재의 보안 방법론으로는 사이버 위협의 흐름을 막을 수 없기 때문에 ITDR은 조직이 가시성을 높이고, 이상 징후를 탐지하고, 더 강력한 인증 및 액세스 제어를 시행하여 ID 기반 침해의 위험을 줄이는 데 도움이 됩니다.

ITDR이 다른 점은 무엇인가요?

가트너가 2022년에 ITDR을 인정한 것은 IT 기술을 통합하여 시너지 효과를 내는 새로운 보안 수준으로 끌어올린 의미 있는 이정표이며, 독립적인 관행을 통합하여 확장된 시나리오에 힘을 실어줄 수 있다는 것을 의미합니다. IAM과 보안 정보 및 이벤트 관리(SIEM) 를 함께 사용하면 관련 이벤트의 위험을 식별하고 보다 정확하게 할당할 수 있을 뿐만 아니라 애플리케이션, 서비스 또는 기타 디지털 리소스 수준의 대응을 실행하여 보호된 정보를 보호할 수 있습니다. 따라서 ITDR은 신원 기반 공격을 방지하는 데 있어 중요한 사이버 보안 카테고리로 자리 잡았습니다. 몇 가지 주요 ITDR 드라이버는 다음과 같습니다:

신원 기반 공격의 증가: 자격 증명 도용, 측면 이동, 권한 상승이 주요 공격 방법이 되었습니다. 현재 보안 보호는 비효율적입니다. ITDR은 사용자 및 리소스에 대한 위험 증가를 나타내는 활동을 식별하는 XDR 유형 정보를 통합합니다.
IAM과 PAM의 격차: ID 및 액세스 관리의 전반적인 목적은 사람과 서비스가 적시에 보호된 리소스에 올바르게 액세스할 수 있도록 하는 것입니다. 오늘날의 IAM 도구는 액세스를 제어하지만 실시간 위협 탐지가 부족하고, 권한 액세스 관리 (PAM)는 권한 있는 계정에는 초점을 맞추지만 일반적인 ID 위협에는 초점을 맞추지 않습니다.
제로 트러스트 도입: 조직은 ID 우선 보안으로 전환하면서 ID 위협에 대한 지속적인 모니터링과 대응이 필요해졌습니다.

ITDR의 주요 구성 요소는 무엇인가요?

TDR은 실시간 모니터링과 자동화된 대응에 탁월하지만, 시간이 지남에 따라 특정 ID에 공격을 연결할 수 없기 때문에 효과가 제한됩니다. 의심스러운 행동을 식별하는 TDR의 기능을 확장하려면 더 많은 구성 요소가 필요합니다.

확장된 탐지 및 대응
확장 탐지 및 대응(XDR)은 여러 보안 도구와 데이터 소스를 통합하여 조직의 전체 공격 표면에서 위협 탐지, 조사 및 대응에 대한 통합된 접근 방식을 제공하는 고급 사이버 보안 솔루션입니다.

기존 SIEM 또는 EDR 솔루션과 달리 XDR은 여러 보안 계층에 걸쳐 위협 데이터를 수집하고 상호 연관성을 파악합니다(계층 간 탐지 및 상관관계 포함). 기존 SIEM 또는 EDR 솔루션과 달리 XDR은 엔드포인트(EDR), 네트워크(NDR), 이메일, 클라우드 워크로드, ID 및 액세스 관리(IAM) 등 여러 보안 계층에서 위협 데이터를 수집하고 상호 연관성을 파악합니다. 이를 통해 여러 진입 지점에 걸쳐 있는 복잡한 공격에 대한 가시성이 향상됩니다.

자동화된 위협 조사 및 대응-XDR은자동으로 알림의 우선순위를 지정하고 관련 보안 인시던트를 연결하여 알림 피로를 줄여줍니다. AI와 머신 러닝을 사용하여 공격 패턴을 식별하고 위협을 더 빠르게 완화합니다.

선제적 위협 헌팅 - 보안분석가는 기록 데이터와 행동 분석을 사용하여 숨겨진 위협을 검색할 수 있습니다. MITRE ATT&CK 프레임워크는 종종 적의 전술과 기법을 매핑하기 위해 XDR에 통합됩니다.

보안 스택과의 통합-XDR은SIEM, SOAR, ITDR 및 EDR 솔루션과 함께 작동하여 보안 운영(SOC)을 간소화합니다. 또한 다양한 보안 도구에서 실시간 알림과 자동화된 문제 해결 조치를 제공합니다.

다른 보안 솔루션과 관련된 XDR
아래 표에는 오늘날 IT 보안팀이 위협 탐지 및 자동화된 대응을 강화하기 위해 사용하는 기술이 나열되어 있습니다. 그 자체만으로는 XDR만큼 완벽하거나 통합되어 있지 않습니다.

보안 솔루션	초점 영역	주요 차이점
EDR(엔드포인트 탐지 및 대응)	엔드포인트(예: 노트북, 서버)	개별 디바이스에서 위협을 탐지하지만 네트워크/클라우드 가시성이 부족합니다.
NDR(네트워크 탐지 및 대응)	네트워크 트래픽	네트워크 환경 내에서 위협을 탐지하지만 엔드포인트나 클라우드는 포함하지 않습니다.
SIEM(보안 정보 및 이벤트 관리)	로그 관리 & 분석	보안 로그를 수집하지만 기본 제공 위협 대응 기능이 부족합니다.
SOAR(보안 오케스트레이션, 자동화 및 대응)	인시던트 대응 자동화	보안 워크플로우를 자동화하지만 기본 탐지 기능이 없습니다.
XDR(확장 탐지 및 대응)	도메인 간 보안 가시성	엔드포인트, 네트워크, 클라우드, ID 기반 탐지를 통합하여 상관 관계를 개선하고 대응 속도를 높입니다.

ITDR에는 어떤 대응 메커니즘이 있나요?

비정상적인 로그인, 급격한 권한 변경, 신뢰할 수 없는 위치에서의 액세스 등 의심스러운 행동이 발생하면 DR은 손상된 계정을 잠그고, MFA를 적용하거나, 무단 세션을 즉시 종료하는 등의 자동화된 작업을 트리거합니다. 신원 정보를 XDR 드라이버와 연관시키는 ITDR은 XDR 파생 정보를 활용하고 액세스를 제한하고 동적 인증 제어를 시행하여 공격자가 탈취한 자격 증명을 악용하지 못하도록 하는 데 필요한 대응을 자동화합니다. 권한이 있는 활동은 지속적으로 모니터링되며, 무단 에스컬레이션은 침해로 이어지기 전에 차단됩니다. XDR의 오케스트레이션 기능은 ITDR이 SIEM, SOAR, IAM 시스템과 원활하게 통합되어 자동화된 문제 해결 워크플로우를 간소화합니다. ITDR 기반의 자동화된 대응을 통해 보안팀은 자동화된 선제적 방어 기능을 강화하여 ID 기반 공격이 본격적인 침해로 확대되기 전에 차단할 수 있습니다.

ID 보안 태세 관리
ITDR 대응 엔진의 핵심 구성 요소는 ID 수준에서 조직의 보안 환경을 지속적으로 관리(평가 및 대응)하는 ISPM(ID 보안 태세 관리) 기능입니다. 기업이 디지털 생태계를 확장함에 따라 사람과 기계의 ID가 방대해지면서 공격 표면이 계속 확장되고 있습니다. ISPM은 ID 위험, 잘못된 설정, 정책 위반에 대한 실시간 가시성을 제공하여 ID 기반 위협을 선제적으로 방어할 수 있도록 합니다. 자동화, 위험 분석 및 정책 시행을 활용하여 ISPM은 ID가 보안 모범 사례를 준수하도록 함으로써 자격증명 기반 공격, 권한 상승 및 무단 액세스에 대한 노출을 줄입니다.

ISPM의 핵심은 온프레미스, 클라우드, 하이브리드 인프라 등 다양한 환경 전반에서 ID 상태를 동적으로 분석할 수 있는 기능입니다. 여기에는 액세스 권한 모니터링, 최소 권한 원칙 적용, 보안 침해를 나타내는 비정상적인 행동 탐지 등이 포함됩니다. ID 위협 탐지 및 대응과 통합된 ISPM은 ID 취약점이 악용되기 전에 선제적으로 대응할 수 있는 조직의 역량을 강화합니다. 사이버 위협은 종종 손상된 자격 증명을 기반으로 발생하므로 ID 기반 ISPM은 진화하는 위험 환경에 맞춰 보안 태세를 조정하는 중요한 방어 계층 역할을 합니다. 이는 조직이 용인할 수 있는 위험 수준을 정의한 다음 해당 수준에 도달했을 때 대응할 수 있도록 환경을 지속적으로 평가하여 수행됩니다. ISPM은 조직이 정교한 사이버 공격으로부터 복원력을 유지할 수 있도록 지원하기 때문에 ITDR의 핵심 구성 요소입니다.

ID를 통한 위협 대응 강화
ID 및 액세스 관리 솔루션을 통해 조직은 침해 또는 위협 지표 이벤트를 ID에 연결하고 가장 효과적인 수준(해당 세션 또는 애플리케이션)에서 대응을 타겟팅할 수 있습니다. IAM은 ITDR의 'I'입니다. 응답을 효과적으로 자동화하려면 이 두 기술이 원활하게 함께 작동해야 합니다. 이러한 통합을 통해 가시성과 위협 탐지가 향상되고 ID 기반 공격에 신속하게 대응할 수 있습니다.

OpenText™ IAM 솔루션은 인증 로그, 액세스 요청 및 권한 변경을 생성합니다. OpenText의 고급 위협 탐지 & 내부자 위협 관리 솔루션은 엔드포인트, 네트워크 및 클라우드 환경의 데이터와 위협의 상관관계를 파악합니다. 또한 OpenText TDR은 일반적으로 ID 기반 위험 서비스에서 제공하는 것 이상의 사용자 및 엔터티 행동 분석(UEBA)을 추가로 제공합니다. 액세스 및 애플리케이션 사용에서 파생된 침해 지표를 통해 위험을 감지합니다. 기존의 신원 및 액세스 기반 위험 지표는 브라우저 인스턴스 또는 실제 디바이스를 알고 있는지 여부, 로그인 시도 실패 여부 등 규정된 기준으로 제한됩니다. 이러한 적응형 제어는 시간 범위와 지리적 위치에 조건이나 제한을 설정하고 불가능한 여행 시나리오를 식별합니다. 기존의 적응형 접속 제어도 이러한 규정된 조건의 이력을 활용할 수 있지만, XDR 지표는 훨씬 더 정교할 수 있습니다.

XDR 기술은 IAM 인프라에서 사용할 수 있는 것보다 훨씬 더 광범위한 정보를 모니터링합니다. 이러한 데이터를 통해 XDR 자동화는 관찰된 데이터를 규칙 기반 제어보다 더 분별력 있는 행동 패턴으로 연관시킬 수 있습니다. 이상 징후나 공격 패턴에서 어떤 세션이 위험 요소를 나타내는지 식별합니다. XDR 모니터링 기능을 ITDR 수준의 보안을 형성하는 ID 정보와 병합하면 활동을 상호 연관시키고 장기간에 걸친 패턴으로 계산할 수 있습니다. ID를 사용하면 네트워크, 디바이스 및 세션 정보에서 수집된 활동 데이터는 ID(사람 또는 프로세스)가 디지털 서비스와 더 오랜 기간에 걸쳐 이루어지는 더 높은 수준의 상호 작용과 연관됩니다. 이 영구적인 ID 기반 활동 데이터는 리스크 엔진이 일반적인 보안 관행에 침투하는 데 사용되는 침해 관련 활동의 위험을 계산할 수 있도록 지원합니다. 이러한 패턴은 시간이 지남에 따라 더욱 강력해지며, 각 활성 사용자의 모델이 성장함에 따라 ITDR이 사용자 이상 징후 또는 잠재적 침해를 더욱 효과적으로 식별할 수 있게 해줍니다. ITDR은 위협 모델을 강화하는 것 외에도 보안 오케스트레이션, 자동화 및 대응(SOAR) 플랫폼을 통해 IAM 환경에서 사용할 수 있는 것보다 훨씬 더 많은 기능을 통해 대응할 수 있습니다. 또한 IT 부서는 이 확장된 보안 플랫폼을 사용하여 악성 IP 차단, 보안 분석가 알림, 영향을 받는 디바이스 격리 등 사전 정의된 워크플로우를 시작할 수 있습니다.

조직에서 ITDR은 어떤 역할을 해야 하나요?

각 환경이 고유하기 때문에 ITDR 수준의 보안을 달성하는 길은 저마다 다릅니다. 즉, 특정 환경에 따라 ITDR의 필요성이 존재할 수도 있고 존재하지 않을 수도 있으며, ITDR의 정교함의 수준도 달라질 수 있습니다. 현재 환경의 구성은 구현하는 내용에 영향을 미칩니다.

ITDR 형태의 보안에 얼마를 투자할지 결정하는 데 도움이 될 수 있는 몇 가지 역학 관계는 다음과 같습니다:

위험 - 위험의 모든 스펙트럼이 지배적인 요소가 되어야 합니다. 보안 침해로 인한 전체 비용은 얼마인가요? 규정 준수 감사에 실패하거나 사이버 보험 요건을 충족하지 못할 경우 비즈니스에 어떤 결과가 발생하나요?
비용과 전문성 - 오늘날의 환경에서 기존 ITDR 구성 요소 중 가장 과소평가된 장벽은 비용과 도메인 전문성입니다. 강력한 IAM, PAM, SIEM 솔루션을 보유한 조직은 ITDR 보안 계층으로 업그레이드하기가 더 쉬워집니다. 그러나 ID 보안이 불완전하거나 취약한 경우 IAM이 더 즉각적으로 필요할 수 있습니다.
모든 요소를 종합하면, ITDR을 기존 보안 스택과 통합할 수 있는 조직의 능력도 또 다른 결정 요인입니다. IAM, SIEM, SOAR, EDR/XDR 솔루션과의 원활한 통합을 통해 ITDR은 운영 사일로를 만들지 않고 실시간 모니터링 및 사고 대응을 제공할 수 있습니다.
확장성 - 하이브리드 및 멀티클라우드 환경을 도입하는 조직이 증가함에 따라 ITDR은 클라우드 ID, 권한 있는 액세스 및 연합 인증을 포함해야 합니다. 대규모 원격 근무 인력과 광범위한 타사 액세스를 관리하는 기업에서 특히 유용하며 분산된 환경 전반에서 안전한 신원 확인을 보장합니다.
제로 트러스트 우선 순위와 예산으로 최신 사이버 보안 전략의 최전선에 ITDR을 배치하세요. ITDR은 제로 트러스트 모델의 핵심 원칙인 지속적인 신원 확인, 행동 분석, 위험 기반 대응을 가능하게 합니다. 조직이 기존의 경계 기반 보안에서 벗어나면서 ITDR은 새로운 경계로서 ID를 보호하는 데 중요한 역할을 합니다.

ITDR이 새로운 액세스 보안 계층인가요?

ITDR은 기존의 ID 보안에서 발전하여 현대의 ID 기반 사이버 위협에 대응하는 전용 보안 분야로 발전했습니다. 사이버 범죄자들이 계속해서 자격 증명, 권한 있는 계정, ID 시스템을 표적으로 삼고 있기 때문에 ITDR은 조직 보안 전략의 표준 보안 계층이 될 수 있습니다.