네트워크 보안 - NDR(Network Detection and Response)

 

 

NDR의 작동 방식

NDR 솔루션은 비정상적인 시스템 동작을 탐지하기 위해 동작 분석을 네트워크 트래픽 데이터에 적용한다. NDR은 머신러닝, 행동 분석, 알려진 IOC에 대한 시그니처 기반 탐지 등을 결합하여 사이버 위협을 탐지한다. 암호화된 트래픽에서 숨어있는 위협을 찾기 위해 복호화 및 프로토콜 디코딩도 사용한다.

NDR의 주요 기능

• 비정상 트래픽 탐지: 머신러닝 및 행동 분석을 사용하여 정상적인 네트워크 활동의 기준선을 설정하고, 이 기준선에서 벗어나는 의심스러운 활동을 식별한다.
• 위협 헌팅: 네트워크 데이터를 적극적으로 필터링하여 특정 위협, 바람직하지 않은 사용자 행동, 정책 위반 또는 섀도 IT를 찾는다.
• 사고 대응: 위협이 식별되면 자동화된 대응 도구를 사용하여 의심스러운 IP 주소를 차단하거나 손상된 장치를 격리하는 등 즉각적인 조치를 수행한다.
• 확장된 네트워크 가시성: 네트워크의 모든 활동을 밝혀 사각지대를 제거하고 위협 탐지, 사고 대응, 침해 공개, 자산 관리 및 네트워크 운영에 대한 확실한 정보를 제공한다.
• 향상된 탐지 범위: 기존 네트워크 보안 도구 및 EDR에서 놓친 공격 및 MITRE ATT&CK TTP를 신속하게 탐지하고, 오탐을 이해하고, 효과적인 네트워크 엔지니어링을 추진하고, 정확도를 향상시키는 데 필요한 컨텍스트를 제공한다.
• 가속화된 사고 대응: 통합된 위협 인텔리전스를 통해 네트워크에 대한 단일 소스 정보를 제공하여 분석가가 보다 효과적으로 조사하고, 사고를 해결하고, 평균 해결 시간(MTTR)을 단축하는 데 필요한 전체적인 네트워크 증거를 제공한다.
• 운영 비용 절감: 독립 실행형 기술을 통합하고 엘리트 방어자의 설계 패턴을 따름으로써 SOC 자동화 투자를 확대한다.

NDR의 진화

NDR은 네트워크 트래픽 분석(NTA)에서 진화했으며, 원래는 원시 네트워크 트래픽 데이터에서 네트워크 트래픽 모델을 추출하기 위해 개발된 기술이다. NTA 솔루션에 행동 분석 및 위협 대응 기능이 추가되면서 Gartner는 2020년에 이 범주를 NDR로 이름을 변경했다.

NDR의 이점

• 높은 정확도의 경고: 경고에는 충분한 컨텍스트가 포함되어 있어 더 나은 결정을 내리고, 문제를 해결하고, 위험을 완화하고, 경고를 신속하게 억제할 수 있다.
• 행동 기반 탐지: 높은 정확도의 네트워크 데이터를 통해 공격 탐지를 활성화하여 새로운 공격 기술의 변종을 식별하는 데 도움이 된다.
• 지속적으로 진화하는 탐지: 품질 경고는 일반적으로 확인된 공격에서 유사한 기술을 사용하는 알려진 최신 공격자 그룹에 대한 세부 정보를 제공해야 한다.
• 상황: 공격 지표는 비정상적인 행동과 함께 탐지 및 대응(D&R) 솔루션의 시각적 타임라인에 나타나야 한다.

 

 

https://www.dailysecu.com/form/html/k-cti/image/2025/down-06.pdf