Quick Overview with 챗GPT 🤖 ITDR(Identity Threat Detection and Response)은 사용자 ID를 악용한 사이버 공격을 탐지하고 대응하기 위한 보안 프레임워크로, 다양한 ID 시스템과 연계된 위협을 실시간으로 감지하고 조치하는 데 중점을 둡니다. ID가 새로운 공격 표적으로 부상한 만큼, ITDR은 기업의 핵심 자산인 ID 인프라를 보호하는 데 필수적인 보안 전략으로 자리잡고 있습니다. |
ID 위협 탐지 및 대응(Identity Threat Detection and Response, ITDR)은 ID를 기업에 사이버 공격이 발생하는 주된 벡터로 보고, 이를 방어하기 위해 필요한 프로세스와 툴을 정의합니다.
가트너는 2022년 이 용어를 처음 제안하면서 “ITDR은 위협 인텔리전스와 베스트 프랙티스, 지식 기반, 툴과 프로세스를 종합해서 ID 시스템을 보호하는 보안 영역이다. 탐지 메커니즘을 구현하고 의심스러운 태세 변화와 활동을 조사하고 공격에 대응해 ID 인프라의 무결성을 복원한다”라고 정의했습니다. (Teixeira, Firstbrook, Allan, Archambault, 2022, p.3)
ITDR이 왜 중요할까요?
ITDR을 구성하는 요소에 대해 살펴보면서 저는 ITDR이 왜 있어야 하는지, 왜 중요한지, 어떻게 작동하는지를 이해하는 데 도움이 된 3가지 핵심 사항을 알게 되었습니다.
1) ID는 복잡하며 자체적인 보안 원칙이 필요합니다.
약 27년 전에 제가 정보기술 분야에서 처음 일을 시작할 당시 많은 기업에서 보안은 네트워크와 동의어였습니다. 네트워크팀은 이미 오랫동안 방화벽과 네트워크 패킷 검사 기술로 공격자의 침입을 차단해오면서 네트워크 기반 위협을 탐지하고 대응하는 방법을 규정하는 “네트워크 탐지 및 대응(Network Detection and Response, NDR)” 분야를 형성하고 있었습니다.
이후 네트워크 경계를 기준으로 그 바깥에서 이뤄지는 컴퓨팅이 늘어나면서 엔드포인트(워크스테이션, 노트북, 모바일 디바이스 등)가 공격자의 주요 공격 표적이 되자 툴, 프로세스, 베스트 프랙티스를 결합해 엔드포인트를 보호하는 “엔드포인트 탐지 및 대응(Endpoint Detection and Response, EDR)”이라는 보안 분야가 탄생했습니다.
지금은 ID가 새로운 경계입니다. 기업은 사용자가 어디에서나 원하는 디바이스를 사용해 애플리케이션과 데이터에 액세스할 수 있는 환경을 구축하고 있습니다. 이 환경에서 사용자의 ID는 앱과 데이터에 액세스하기 위한 필수적인 제어 수단입니다. 이는 자연스럽게 사용자의 ID와 ID를 지원하는 인프라에 대한 공격의 증가로 이어졌습니다.
대부분 기업에는 인증과 권한 부여 기능을 제공하는 최소 두 개의 핵심 디렉토리 시스템인 마이크로소프트 액티브 디렉토리(Active Directory, AD)와 애저 AD가 있습니다. 그 외에도 자체 ID를 사용하는 레거시 메인프레임 또는 *nix 기반 시스템, 레드햇이나 오라클과 같은 LDAP 디렉토리, 구글 워크스페이스 또는 옥타와 같은 클라우드 기반 ID도 있습니다.
이들 시스템은 서로 많이 다릅니다. 구조와 제어 수단뿐만 아니라 감사와 위협 신호도 각자 고유합니다. 게다가 디렉토리는 마이크로소프트 애저 AD 커넥트(Microsoft Azure AD Connect)와 같은 특정 툴세트를 사용해 다른 디렉토리와 동기화되도록 구성되는 경우가 많아 복잡성은 더욱 커집니다.
일반적으로 디렉토리 시스템은 여러 보안 신호를 생성합니다. AD가 좋은 예입니다. 내장된 보안 이벤트 로그, 이벤트 로그와 별개로 독립적으로 AD를 감사하고 분석하는 소프트웨어(예 : 퀘스트 체인지 오디터(Quest Change Auditor) 또는 ID용 마이크로소프트 디펜더(Microsoft Defender for Identity)), 그리고 이런 신호를 분석해 “고수준” 신호를 생성하는 소프트웨어(예 : 퀘스트 온디맨드 오디트(Quest On Demand Audit))가 있습니다. 애저 AD의 경우 라이선스 수준에 따라 보안 신호가 달라질 수도 있습니다. 기본 애저 AD에는 기본적인 감사와 보안 신호가 적용되지만, 애저 AD 프리미엄 P2(Premium P2)에는 통합 위험 계산 기능이 추가됩니다.
많은 기업은 디렉토리 플랫폼을 관리하기 위해 IAM(Identity and Access Management), 그 상위 집합인 IGA(Identity Governance Administration), 그리고 권한에 초점을 두는 PAM(Privilege Access Management)과 같은 솔루션을 덧붙입니다. 이들 시스템은 일부, 또는 모든 디렉토리를 관리하는 데 사용할 수 있으며, 한 디렉토리 내에서도 일반적으로 일부 ID만 담당합니다. 예를 들어 IGA 시스템은 ‘서비스 ID(소프트웨어, 관리형 서비스 계정 또는 애저 AD 엔터프라이즈 애플리케이션에서 자동화된 방식으로 사용되는 사용자)’를 관리하지 않는 경우가 많습니다. PAM 시스템 역시 일반적으로 소프트웨어에 사용되는 관리 계정과 사용자 계정만 관리합니다. 그리고 시스템마다 각자 고유한 감사 및 보안 인텔리전스 신호가 있고 대응 및 완화 기능도 제각각입니다.
여기서 모든 내용을 다룰 수는 없습니다. 다중 요소 인증(Multi-factor Authentication, MFA), 클라우드 인프라 자격 관리(Cloud Infrastructure Entitlement Management, CIEM), 보안 오케스트레이션, 자동화 및 대응(Security Orchestration, Automation, and Response, SOAR) 시스템을 제공하기 위한 시스템을 비롯해 그 외에도 많은 잠재적 시스템이 있기 때문입니다.
모든 플랫폼은 사용자 ID를 관리하고 보호하는 데 있어 중요한 역할을 하지만, 스스로가 공격의 표적이 되어 역설적으로 위험 노출 수준을 높일 수도 있습니다.
2) 하지만 ID 복잡성은 강점입니다.
이처럼 많은 플랫폼이 ID에 관여하는 데 따르는 어려움을 감안하면 하나의 벤더와 기술 스택으로 통합하는 것이 낫겠다는 생각을 하기 쉽습니다. 플랫폼과 감사 신호, 조사해야 하는 잠재적 응답이 너무 많으니 최대한 간소화하는 것이 합리적이지 않을까요?
그러나 다음과 같은 두 가지 중요한 이유로 현실은 다릅니다.
모든 달걀을 하나의 바구니에 담을 경우 한 시스템이 침해되면 믿고 의존할 다른 ID가 없는 상황이 됩니다. 모든 ID 침해 발생 시 수행해야 할 첫 단계는 다양한 디렉토리를 상호 격리하는 것입니다. AD가 침해되면 애저 AD 커넥트를 끊어서 이메일이 계속 동작하도록 해야 합니다.
다양성의 강점은 ID 툴 지원 시스템으로 확장할 수 있습니다. 여러 툴세트를 관리하는 것이 결코 즐거운 일은 아니지만, ID 관리 인프라는 매우 특정적이고 복잡하므로 부문별로 동종 최고의 솔루션을 활용하는 것이 합리적입니다. 예를 들어 AD 복구 프로세스는 특정 솔루션에 맡기는 것이 최선입니다.
ITDR을 특정 솔루션 또는 솔루션 범주로 생각하지 말고, 여러 다양한 플랫폼과 툴세트 간의 연결 조직을 제공하는 하나의 분야로 생각하는 것이 좋습니다.
3) NIST 사이버 보안 프레임워크는 ITDR을 이해하는 데 유용합니다.
퀘스트는 해결해야 할 문제를 고객에게 설명할 때 NIST 사이버 보안 프레임워크를 언급하곤 합니다. 이 프레임워크는 ITDR이 메우고자 하는 ID 보안의 공백이 무엇인지 이해하는 데도 유용합니다. NIST 프레임워크는 다음과 같은 5가지 측면으로 구성됩니다.
식별 – 기존 정책을 평가해서 취약점을 찾고 위험을 파악합니다.
보호 – 위험을 제한하기 위한 예방적 통제를 시행합니다.
탐지 – 보안 및 감사 신호에서 문제를 확인합니다.
대응 – 감사 신호에 따라 조치를 취합니다.
복구 – 영향을 받은 서비스 또는 기능을 복원합니다.
이름을 통해 짐작할 수 있듯이 ITDR은 NIST의 처음 두 가지 요소인 ‘식별’과 ‘보호’에 대해서는 크게 관심을 두지 않습니다. 물론 이 두 가지가 중요하지 않다는 말은 아닙니다. 모든 기업은 효과적인 ITDR 프로그램의 피드백을 통해 ID 솔루션을 더 정확히 분석하고 제어해야 합니다.
ITDR 프로그램은 탐지할 대상을 정의하기 위한 프레임워크를 제공합니다.
예를 들어 ITDR 프로그램은 플랫폼별 ITDR 툴을 사용해 AD 그룹 정책 인프라의 오용을 탐지하고 경고하는 기능을 제공할 수 있습니다. 그룹 정책은 AD ID 플랫폼 내부 깊이 통합된 강력하고 복잡한 시스템 관리 기능으로, 공격자가 집중적으로 노리는 표적이기도 합니다. ITDR 툴은 그룹 정책 개체에 대한 변경과 그에 따라 영향을 받을 수 있는 ID를 감지하는 기능을 제공합니다.
ITDR 프로그램은 대응 방법을 결정하는 프레임워크를 제공할 수 있습니다.
잠재적으로 문제가 될 수 있는 징후가 발견됐을 때 조사 주체는 누구일까요? ID 시스템의 복잡성으로 인해 어느 한 팀이 모든 관련 기술에 대한 전문성을 갖추는 것은 거의 불가능하다는 점에서 이 질문은 보기보다 복잡합니다. AD 전문가라고 해도 애저 AD에 대해서는 전문가가 아닐 수 있습니다. 또한 각 전문 분야에는 2FA를 집중적으로 다루는 인력 등 하위 분야도 존재할 수 있습니다. 이 글의 그룹 정책 예시에서 응답 흐름에는 AD와 그룹 정책에 대해서는 플랫폼 소유자가 관여할 수 있는데, 이들에게는 ITDR에 다음 단계가 무엇인지 정의된 자체 프레임워크가 있을 것입니다. 여기에는 다음에 알릴 사람이 누구인지에 대한 정보 외에, AD와 애저 AD 간의 ID 동기화를 비활성화하는 것과 같은 완화 수단에 대한 특정 지침도 포함될 수 있습니다.
ITDR 프로그램은 IT 시스템 또는 프로세스를 복구하거나 복원하기 위한 프로세스를 정의할 수 있습니다.
여기에는 복구의 기술적인 측면, 그리고 누가 복구 결정을 내려야 하는지가 포함됩니다. 예시의 복구는 GPO 거버넌스 소프트웨어를 사용해 GPO를 이전 버전으로 복원하는 것일 수도 있고, AD 복구 솔루션을 사용해서 백업에서 복구하는 것일 수도 있습니다. ITDR 프로그램에는 간단한 개별 ID 복구부터 ID 플랫폼 전체 복구에 이르기까지 모든 요소를 포괄하는 절차가 있어야 합니다.
ITDR과 EDR 비교
ITDR과 EDR은 사이버 공격을 탐지하고 차단하기 위한 중요한 툴이지만, 초점을 두는 부분은 서로 다릅니다.
ITDR은 다양한 IAM 소스에 걸쳐 사용자 활동과 액세스 로그를 모니터링하는 반면, EDR은 워크스테이션, 노트북과 같은 엔드포인트 디바이스를 모니터링하면서 시스템 로그와 네트워크 트래픽을 분석합니다.
이 둘이 결합되면 포괄적인 사고 분석이 가능합니다. 예를 들어 EDR이 엔드포인트 디바이스에서 의심스러운 활동을 탐지하는 사이, ITDR은 자격 증명을 점검해 잠재적인 ID 관련 위협을 파악할 수 있습니다. 기업은 이와 같은 결합된 접근 방식을 통해 복잡한 침해를 효과적으로 탐지하고 대응하는 역량을 강화할 수 있습니다.
현대적인 ITDR 및 재해 복구 툴의 역할
ITDR은 새로운 기술 범주가 아니라 기술·제도적 베스트 프랙티스, 그리고 프로세스를 활용해서 현대의 ID 위협을 탐지하고 대응하기 위한 강력한 수단입니다. ID 기반 공격은 계속해서 증가하고 있기 때문에 단순한 경고를 넘어 실시간으로 공격을 방어하고 빠르게 복구할 수 있는 시스템은 이제 필수 요소입니다.
이에 따라 퀘스트는 시큐리티 가디언 쉴드 업(Security Guardian Shields Up)과 디제스터 리커버리 포 아이덴티티(Disaster Recovery for Identity)를 통해 ITDR과 재해 복구의 새로운 접근 방식을 제시합니다. 시큐리티 가디언 쉴드 업을 통해 고객은 티어 0 개체에 대한 모든 변경 사항을 일시적으로 동결해 AD에 대한 횡적 이동 및 지속성을 포함한 공격을 차단할 수 있습니다. 디제스터 리커버리 포 아이덴티티는 전통적인 백업 방식의 한계를 보완해 랜섬웨어 공격 후에도 언제 어디서든 안전하게 AD를 즉시 복구할 수 있는 기능을 제공합니다.
퀘스트는 지난 25년 이상 동안 아이덴티티 보안 및 복구 분야에서 활동하며 IT팀, 파트너 및 MSP가 마이크로소프트 365와 엔트라 ID 환경을 안전하게 유지하고 제어할 수 있도록 지원해 왔습니다. 또한 보안 운영 간소화, 아이덴티티 관리 현대화, 위협 탐지 및 대응, 신속한 복구를 위한 다양한 솔루션을 제공합니다.
ID 관리에 어려움을 겪고 계시거나 관련 솔루션에 대해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다. 😊
👉 퀘스트소프트웨어코리아 문의하기
Quick Overview with 챗GPT 🤖
ITDR(Identity Threat Detection and Response)은 사용자 ID를 악용한 사이버 공격을 탐지하고 대응하기 위한 보안 프레임워크로, 다양한 ID 시스템과 연계된 위협을 실시간으로 감지하고 조치하는 데 중점을 둡니다. ID가 새로운 공격 표적으로 부상한 만큼, ITDR은 기업의 핵심 자산인 ID 인프라를 보호하는 데 필수적인 보안 전략으로 자리잡고 있습니다.
ID 위협 탐지 및 대응(Identity Threat Detection and Response, ITDR)은 ID를 기업에 사이버 공격이 발생하는 주된 벡터로 보고, 이를 방어하기 위해 필요한 프로세스와 툴을 정의합니다.
가트너는 2022년 이 용어를 처음 제안하면서 “ITDR은 위협 인텔리전스와 베스트 프랙티스, 지식 기반, 툴과 프로세스를 종합해서 ID 시스템을 보호하는 보안 영역이다. 탐지 메커니즘을 구현하고 의심스러운 태세 변화와 활동을 조사하고 공격에 대응해 ID 인프라의 무결성을 복원한다”라고 정의했습니다. (Teixeira, Firstbrook, Allan, Archambault, 2022, p.3)
ITDR이 왜 중요할까요?
ITDR을 구성하는 요소에 대해 살펴보면서 저는 ITDR이 왜 있어야 하는지, 왜 중요한지, 어떻게 작동하는지를 이해하는 데 도움이 된 3가지 핵심 사항을 알게 되었습니다.
1) ID는 복잡하며 자체적인 보안 원칙이 필요합니다.
약 27년 전에 제가 정보기술 분야에서 처음 일을 시작할 당시 많은 기업에서 보안은 네트워크와 동의어였습니다. 네트워크팀은 이미 오랫동안 방화벽과 네트워크 패킷 검사 기술로 공격자의 침입을 차단해오면서 네트워크 기반 위협을 탐지하고 대응하는 방법을 규정하는 “네트워크 탐지 및 대응(Network Detection and Response, NDR)” 분야를 형성하고 있었습니다.
이후 네트워크 경계를 기준으로 그 바깥에서 이뤄지는 컴퓨팅이 늘어나면서 엔드포인트(워크스테이션, 노트북, 모바일 디바이스 등)가 공격자의 주요 공격 표적이 되자 툴, 프로세스, 베스트 프랙티스를 결합해 엔드포인트를 보호하는 “엔드포인트 탐지 및 대응(Endpoint Detection and Response, EDR)”이라는 보안 분야가 탄생했습니다.
지금은 ID가 새로운 경계입니다. 기업은 사용자가 어디에서나 원하는 디바이스를 사용해 애플리케이션과 데이터에 액세스할 수 있는 환경을 구축하고 있습니다. 이 환경에서 사용자의 ID는 앱과 데이터에 액세스하기 위한 필수적인 제어 수단입니다. 이는 자연스럽게 사용자의 ID와 ID를 지원하는 인프라에 대한 공격의 증가로 이어졌습니다.
대부분 기업에는 인증과 권한 부여 기능을 제공하는 최소 두 개의 핵심 디렉토리 시스템인 마이크로소프트 액티브 디렉토리(Active Directory, AD)와 애저 AD가 있습니다. 그 외에도 자체 ID를 사용하는 레거시 메인프레임 또는 *nix 기반 시스템, 레드햇이나 오라클과 같은 LDAP 디렉토리, 구글 워크스페이스 또는 옥타와 같은 클라우드 기반 ID도 있습니다.
이들 시스템은 서로 많이 다릅니다. 구조와 제어 수단뿐만 아니라 감사와 위협 신호도 각자 고유합니다. 게다가 디렉토리는 마이크로소프트 애저 AD 커넥트(Microsoft Azure AD Connect)와 같은 특정 툴세트를 사용해 다른 디렉토리와 동기화되도록 구성되는 경우가 많아 복잡성은 더욱 커집니다.
일반적으로 디렉토리 시스템은 여러 보안 신호를 생성합니다. AD가 좋은 예입니다. 내장된 보안 이벤트 로그, 이벤트 로그와 별개로 독립적으로 AD를 감사하고 분석하는 소프트웨어(예 : 퀘스트 체인지 오디터(Quest Change Auditor) 또는 ID용 마이크로소프트 디펜더(Microsoft Defender for Identity)), 그리고 이런 신호를 분석해 “고수준” 신호를 생성하는 소프트웨어(예 : 퀘스트 온디맨드 오디트(Quest On Demand Audit))가 있습니다. 애저 AD의 경우 라이선스 수준에 따라 보안 신호가 달라질 수도 있습니다. 기본 애저 AD에는 기본적인 감사와 보안 신호가 적용되지만, 애저 AD 프리미엄 P2(Premium P2)에는 통합 위험 계산 기능이 추가됩니다.
많은 기업은 디렉토리 플랫폼을 관리하기 위해 IAM(Identity and Access Management), 그 상위 집합인 IGA(Identity Governance Administration), 그리고 권한에 초점을 두는 PAM(Privilege Access Management)과 같은 솔루션을 덧붙입니다. 이들 시스템은 일부, 또는 모든 디렉토리를 관리하는 데 사용할 수 있으며, 한 디렉토리 내에서도 일반적으로 일부 ID만 담당합니다. 예를 들어 IGA 시스템은 ‘서비스 ID(소프트웨어, 관리형 서비스 계정 또는 애저 AD 엔터프라이즈 애플리케이션에서 자동화된 방식으로 사용되는 사용자)’를 관리하지 않는 경우가 많습니다. PAM 시스템 역시 일반적으로 소프트웨어에 사용되는 관리 계정과 사용자 계정만 관리합니다. 그리고 시스템마다 각자 고유한 감사 및 보안 인텔리전스 신호가 있고 대응 및 완화 기능도 제각각입니다.
여기서 모든 내용을 다룰 수는 없습니다. 다중 요소 인증(Multi-factor Authentication, MFA), 클라우드 인프라 자격 관리(Cloud Infrastructure Entitlement Management, CIEM), 보안 오케스트레이션, 자동화 및 대응(Security Orchestration, Automation, and Response, SOAR) 시스템을 제공하기 위한 시스템을 비롯해 그 외에도 많은 잠재적 시스템이 있기 때문입니다.
모든 플랫폼은 사용자 ID를 관리하고 보호하는 데 있어 중요한 역할을 하지만, 스스로가 공격의 표적이 되어 역설적으로 위험 노출 수준을 높일 수도 있습니다.
2) 하지만 ID 복잡성은 강점입니다.
이처럼 많은 플랫폼이 ID에 관여하는 데 따르는 어려움을 감안하면 하나의 벤더와 기술 스택으로 통합하는 것이 낫겠다는 생각을 하기 쉽습니다. 플랫폼과 감사 신호, 조사해야 하는 잠재적 응답이 너무 많으니 최대한 간소화하는 것이 합리적이지 않을까요?
그러나 다음과 같은 두 가지 중요한 이유로 현실은 다릅니다.
모든 달걀을 하나의 바구니에 담을 경우 한 시스템이 침해되면 믿고 의존할 다른 ID가 없는 상황이 됩니다. 모든 ID 침해 발생 시 수행해야 할 첫 단계는 다양한 디렉토리를 상호 격리하는 것입니다. AD가 침해되면 애저 AD 커넥트를 끊어서 이메일이 계속 동작하도록 해야 합니다.
다양성의 강점은 ID 툴 지원 시스템으로 확장할 수 있습니다. 여러 툴세트를 관리하는 것이 결코 즐거운 일은 아니지만, ID 관리 인프라는 매우 특정적이고 복잡하므로 부문별로 동종 최고의 솔루션을 활용하는 것이 합리적입니다. 예를 들어 AD 복구 프로세스는 특정 솔루션에 맡기는 것이 최선입니다.
ITDR을 특정 솔루션 또는 솔루션 범주로 생각하지 말고, 여러 다양한 플랫폼과 툴세트 간의 연결 조직을 제공하는 하나의 분야로 생각하는 것이 좋습니다.
3) NIST 사이버 보안 프레임워크는 ITDR을 이해하는 데 유용합니다.
퀘스트는 해결해야 할 문제를 고객에게 설명할 때 NIST 사이버 보안 프레임워크를 언급하곤 합니다. 이 프레임워크는 ITDR이 메우고자 하는 ID 보안의 공백이 무엇인지 이해하는 데도 유용합니다. NIST 프레임워크는 다음과 같은 5가지 측면으로 구성됩니다.
식별 – 기존 정책을 평가해서 취약점을 찾고 위험을 파악합니다.
보호 – 위험을 제한하기 위한 예방적 통제를 시행합니다.
탐지 – 보안 및 감사 신호에서 문제를 확인합니다.
대응 – 감사 신호에 따라 조치를 취합니다.
복구 – 영향을 받은 서비스 또는 기능을 복원합니다.
이름을 통해 짐작할 수 있듯이 ITDR은 NIST의 처음 두 가지 요소인 ‘식별’과 ‘보호’에 대해서는 크게 관심을 두지 않습니다. 물론 이 두 가지가 중요하지 않다는 말은 아닙니다. 모든 기업은 효과적인 ITDR 프로그램의 피드백을 통해 ID 솔루션을 더 정확히 분석하고 제어해야 합니다.
ITDR 프로그램은 탐지할 대상을 정의하기 위한 프레임워크를 제공합니다.
예를 들어 ITDR 프로그램은 플랫폼별 ITDR 툴을 사용해 AD 그룹 정책 인프라의 오용을 탐지하고 경고하는 기능을 제공할 수 있습니다. 그룹 정책은 AD ID 플랫폼 내부 깊이 통합된 강력하고 복잡한 시스템 관리 기능으로, 공격자가 집중적으로 노리는 표적이기도 합니다. ITDR 툴은 그룹 정책 개체에 대한 변경과 그에 따라 영향을 받을 수 있는 ID를 감지하는 기능을 제공합니다.
ITDR 프로그램은 대응 방법을 결정하는 프레임워크를 제공할 수 있습니다.
잠재적으로 문제가 될 수 있는 징후가 발견됐을 때 조사 주체는 누구일까요? ID 시스템의 복잡성으로 인해 어느 한 팀이 모든 관련 기술에 대한 전문성을 갖추는 것은 거의 불가능하다는 점에서 이 질문은 보기보다 복잡합니다. AD 전문가라고 해도 애저 AD에 대해서는 전문가가 아닐 수 있습니다. 또한 각 전문 분야에는 2FA를 집중적으로 다루는 인력 등 하위 분야도 존재할 수 있습니다. 이 글의 그룹 정책 예시에서 응답 흐름에는 AD와 그룹 정책에 대해서는 플랫폼 소유자가 관여할 수 있는데, 이들에게는 ITDR에 다음 단계가 무엇인지 정의된 자체 프레임워크가 있을 것입니다. 여기에는 다음에 알릴 사람이 누구인지에 대한 정보 외에, AD와 애저 AD 간의 ID 동기화를 비활성화하는 것과 같은 완화 수단에 대한 특정 지침도 포함될 수 있습니다.
ITDR 프로그램은 IT 시스템 또는 프로세스를 복구하거나 복원하기 위한 프로세스를 정의할 수 있습니다.
여기에는 복구의 기술적인 측면, 그리고 누가 복구 결정을 내려야 하는지가 포함됩니다. 예시의 복구는 GPO 거버넌스 소프트웨어를 사용해 GPO를 이전 버전으로 복원하는 것일 수도 있고, AD 복구 솔루션을 사용해서 백업에서 복구하는 것일 수도 있습니다. ITDR 프로그램에는 간단한 개별 ID 복구부터 ID 플랫폼 전체 복구에 이르기까지 모든 요소를 포괄하는 절차가 있어야 합니다.
ITDR과 EDR 비교
ITDR과 EDR은 사이버 공격을 탐지하고 차단하기 위한 중요한 툴이지만, 초점을 두는 부분은 서로 다릅니다.
ITDR은 다양한 IAM 소스에 걸쳐 사용자 활동과 액세스 로그를 모니터링하는 반면, EDR은 워크스테이션, 노트북과 같은 엔드포인트 디바이스를 모니터링하면서 시스템 로그와 네트워크 트래픽을 분석합니다.
이 둘이 결합되면 포괄적인 사고 분석이 가능합니다. 예를 들어 EDR이 엔드포인트 디바이스에서 의심스러운 활동을 탐지하는 사이, ITDR은 자격 증명을 점검해 잠재적인 ID 관련 위협을 파악할 수 있습니다. 기업은 이와 같은 결합된 접근 방식을 통해 복잡한 침해를 효과적으로 탐지하고 대응하는 역량을 강화할 수 있습니다.
현대적인 ITDR 및 재해 복구 툴의 역할
ITDR은 새로운 기술 범주가 아니라 기술·제도적 베스트 프랙티스, 그리고 프로세스를 활용해서 현대의 ID 위협을 탐지하고 대응하기 위한 강력한 수단입니다. ID 기반 공격은 계속해서 증가하고 있기 때문에 단순한 경고를 넘어 실시간으로 공격을 방어하고 빠르게 복구할 수 있는 시스템은 이제 필수 요소입니다.
이에 따라 퀘스트는 시큐리티 가디언 쉴드 업(Security Guardian Shields Up)과 디제스터 리커버리 포 아이덴티티(Disaster Recovery for Identity)를 통해 ITDR과 재해 복구의 새로운 접근 방식을 제시합니다. 시큐리티 가디언 쉴드 업을 통해 고객은 티어 0 개체에 대한 모든 변경 사항을 일시적으로 동결해 AD에 대한 횡적 이동 및 지속성을 포함한 공격을 차단할 수 있습니다. 디제스터 리커버리 포 아이덴티티는 전통적인 백업 방식의 한계를 보완해 랜섬웨어 공격 후에도 언제 어디서든 안전하게 AD를 즉시 복구할 수 있는 기능을 제공합니다.
퀘스트는 지난 25년 이상 동안 아이덴티티 보안 및 복구 분야에서 활동하며 IT팀, 파트너 및 MSP가 마이크로소프트 365와 엔트라 ID 환경을 안전하게 유지하고 제어할 수 있도록 지원해 왔습니다. 또한 보안 운영 간소화, 아이덴티티 관리 현대화, 위협 탐지 및 대응, 신속한 복구를 위한 다양한 솔루션을 제공합니다.
ID 관리에 어려움을 겪고 계시거나 관련 솔루션에 대해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다. 😊
👉 퀘스트소프트웨어코리아 문의하기