그러나 네트워크 환경 내의 애플리케이션과 데이터가 언제나 경계 보안 내에서 안전할 수 없으며, 네트워크 보호 기능을 모든 곳에 적용하는 것 또한 쉽지 않은 일이다. 엔드포인트가 효과적으로 보호되지 않는다면, 여러 가지의 개별적인 지능형 위협들이 경계 보안을 뚫고 외부의 위험을 내부로 끌어들이게 된다. 잘못된 엔드포인트 보안이 안전한 네트워크 보안을 위해 수행한 모든 작업을 돌이킬 수 없게 만드는 것이다.

네트워크 보안과 엔드포인트 보안의 효과적인 통합을 위한 5가지 권고 사항들을 소개한다.

위협 인텔리전스를 네이티브 수준에서 통합시킬 것

포네몬 연구소(Ponemon Institute)의 최근 보고서에 따르면, 응답자의 39%는 조직이 위협 정보 인텔리전스 공유에 관여할 경우 모든 공격이 차단될 수 있다는 데 동의하는 것으로 조사됐다. 글로벌 위협 인텔리전스를 사용하면 하나의 솔루션에 대한 지식 외에도 보호 기능을 글로벌 커뮤니티의 공유 인텔리전스까지 확장할 수 있다. 커뮤니티의 다른 구성원이 새로운 공격을 받으면 해당 정보가 공유되므로 모든 구성원이 알려진 위협을 자동으로 탐지하고 알려지지 않은 위협을 신속하게 식별할 수 있다.

네트워크와 엔드포인트는 모두 위협 인텔리전스 공유에 참여해야 하며, 기업 내부 환경에 포함되는 모든 디바이스에 대해 증가하는 위협 인텔리전스를 지속적으로 적용시켜야 한다. 또한 엔드포인트에서 식별하고 차단한 위협에 대해서도 네트워크에서 확인 및 예방될 수 있도록 서로 정보를 교환해야 한다.

그러나 위협 인텔리전스만으로는 충분하지 않다. 인텔리전스 피드를 구독하는 대부분의 조직은 상관관계나 실행 가능한 인텔리전스로 변환할 수 없는 데이터에 빠져 있다. 보안 위협 인텔리전스를 새로운 보호 기능으로 자동 변환할 수 없는 조직은 더 많은 데이터를 구매하게 될 뿐이다. 위협 인텔리전스를 생산하고 공유할 환경 내 구성 요소 간의 기본적인 통합이 없을 때 문제는 더욱 악화된다. 기본적으로 통합되지 않고 새로운 보호로 자동 번역될 수 없는 지능은 더 많은 사람을 개입시키지 않는 한 별 쓸모가 없어진다. 이런 경우 최종 결과 또한 더 많은 사람들이 투입된 데이터 분석의 과정에 지나지 않게 된다.

알려진 위협과 알려지지 않은 위협을 모두 차단할 것

전통적인 보안 제품은 알려진 위협 요소가 조직에 침투하기 전에 탐지하도록 설계돼 있다. 대부분의 경우, 알려지지 않은 위협이 탐지될 때까지 중요 자산은 이미 손상됐고 탐지 시간이 너무 적거나 너무 늦었던 것으로 판명된다. 또한 공격자는 기존 멀웨어를 재사용하고 기술을 악용하는 경우가 많지만, 탐지를 피하기 위해 기존 공격을 수정하거나 완전히 새로운 공격을 만들기도 한다. 이로 인해 대부분의 보안 제품에서 모든 위협 요소를 탐지하는 것은 어려운 실정이다.

네트워크와 엔드포인트의 탐지 및 교정 작업은 항상 시간이 많이 걸리고 인력 소모가 많고 비효율적이다. 네트워크와 엔드포인트가 알려진 위협과 알 수 없는 위협을 모두 차단하는 경우 이 문제를 방지할 수 있다. 이상적으로는 엔드포인트 보안 솔루션의 차단 기능은 서명이나 공격 또는 취약성에 대한 사전 지식에 의존하지 않으며, 효율성을 극대화하기 위해 다양한 분석 및 차단 방법을 통합해야 한다.

자동화 시킬 것

공격자들은 자동화, 확장성 및 특수 도구를 자유롭게 사용하고 있다. 자동화된 해킹 도구가 공격 행위를 한층 쉽게 만들었으며, 전체적인 시장의 움직임과 경제논리로 인해 이러한 툴들이 저렴한 비용으로 확산되고 있다.

점점 더 정교해지는 공격으로부터 보호하기 위해 기업들은 복잡하고 노동 집약적이지만 그럼에도 불구하고 충분하지 않은 포인트 솔루션을 사용하고 있다. 기업에서 공격자를 앞서려면 공격이 성공하기 위해 더 어려운 도전적인 과제를 해결하고 수익성이 떨어지도록 해야 한다. 최근 조사에 따르면 공격에 40시간 이상이 소요되는 경우 공격의 60%가 저지될 수 있는 것으로 분석됐다. 이를 확장 가능하고 지속 가능한 방식으로 달성하는 유일한 방법은 자동화된 보호다.

보안 분석가가 투입돼 일일이 경보들을 조사해야 하는 경우 네트워크 또는 엔드포인트에 대한 검색은 확장이 불가능하다. 자동화는 공격의 성공을 지연시켜 보상을 지연시키고, 공격자가 다음 잠재적 희생자로 이동하게 함으로써 조직을 더욱 어려운 대상으로 만든다.

지속적인 보호 유지

사용자들의 이동성이 점점 더 높아짐에 따라 조직 네트워크 경계 외부의 지점에서 내부 리소스에 연결하는 사례 또한 증가하고 있다. 온라인 또는 오프라인, 온사이트 또는 외부 연결과 같은 모든 엔드포인트에서 동일한 수준의 보호가 있어야 한다. 지속성이 부족하면 엔드포인트가 손상되고 네트워크 보호가 이미 시행되고 있는지 여부에 관계없이 네트워크가 손상될 가능성이 높다. 엔드포인트 보안은 최종 사용자 및 다양한 디바이스를 노리는 사이버 공격들이 타깃으로 하는 전통적인 네트워크 경계를 넘어 네트워크가 완벽한 가시성을 확보하지 못하는 영역으로까지 확장돼야 한다.

네트워크, 엔드포인트, 클라우드에 대한 전체적인 가시성 확보

사이버 공격은 목표 달성을 위해 여러 단계를 거친다. 공격을 성공적으로 방어하기 위해서는 네트워크, 엔드포인트 및 클라우드 전반에 걸쳐 모든 사용자, 장치 및 데이터를 완벽하게 파악해야 한다. 이러한 가시성은 공격의 맥락을 이해하고, 네트워크와 엔드포인트에 걸쳐 보안 정책을 적용하고, 보안 이벤트를 상호 연결하여 조직의 보안 태세를 향상시키는데 필수적이다. 기본적으로 통합된 위협 인텔리전스와 알려진 위협 및 알려지지 않은 위협을 자동으로 차단해 연결이나 위치에 상관없이 지속적인 보호를 제공하는 경우 시너지 효과가 조직의 보안 태세를 크게 향상시킬 수 있다. 이로 인해 조직은 기회주의적인 공격자에게 덜 매력적이고 성공적인 표적 공격의 가능성을 최소화할 수 있다.

잘못된 엔드포인트의 보안 솔루션을 선택하면 엔드포인트가 위협 요소에 취약하게 되거나 네트워크 보안에 투입된 중요한 작업에 방해가 되거나 실행 취소될 수 있다. 엔드포인트 보안 솔루션은 모든 엔드포인트를 지속적으로 보호하고 조직의 다른 부분에 추가 기능을 제공하고 전체 네트워크 보안 태세를 강화해야 한다.