시스코시스템즈(www.cisco.kr, 이하 시스코)가 미국 샌프란시스코에서 개최된 세계 최대 사이버 보안 전시회 ‘RSA 컨퍼런스 2023’에서 AI 기반의 통합 크로스 도메인 보안 플랫폼 ‘시스코 시큐리티 클라우드(Cisco Security Cloud)’의 최신 업데이트 사항을 발표했다. 시스코는 이번에 탐지 및 대응(XDR) 솔루션을 새롭게 선보이고 제로 트러스트 보안 플랫폼 ‘듀오(Duo)’에 다중인증(MFA) 고급 기능을 추가해 기업들이 IT 생태계 전반에 대한 무결성을 확보할 수 있도록 지원한다.
위협 탐지 및 대응
시스코는 네트워크와 엔드포인트 전반에 대한 전문성과 가시성을 단일 위험 기반(risk-based) 턴키(turnkey) 솔루션으로 구현했다. 시스코XDR 솔루션은 클라우드 퍼스트 솔루션으로, 보안 인시던트 조사를 간소화하고 보안운영센터(SOC)가 위협을 즉시 해결할 수 있도록 지원한다. 또한, 분석 결과를 바탕으로 탐지 우선순위를 설정하고, 증거 기반(evidence-backed) 자동화를 통해 우선순위가 가장 높은 인시던트를 해결하는 것에 집중한다. 해당 솔루션은 현재 베타 버전으로 사용 가능하며, 올해 7월에 정식 출시 예정이다.
지투 파텔(Jeetu Patel) 시스코 보안 및 협업 부문 부회장 겸 총괄 매니저는 "위협 환경이 점차 진화하고 있다. 시스코 XDR을 활용하면 보안운영팀이 즉각적으로 보안 위협을 대응하고 해결해 심각한 피해를 방지할 수 있다”라고 제언했다. 이에 덧붙여, "시스코는 '연결되어 있다면 반드시 안전하게 보호되어야 한다'는 신념으로 사용자경험(UX)을 저하시키지 않으면서, 복잡한 하이브리드 멀티 클라우드 환경의 보안을 간소화하는 통합 솔루션을 제공하며 입지를 공고히 하고 있다”라고 밝혔다.
기존 통합보안관제(SIEM) 기술은 로그 중심 데이터를 관리하고 결과를 측정하는 데 며칠이 소요되는 반면, 시스코 XDR 솔루션은 텔레메트리 중심 데이터에 집중해 몇 분 이내로 결과를 제공한다. 기본적으로 보안운영센터 운영자가 중요하게 보는 6가지 텔레메트리 소스인 엔드포인트, 네트워크, 방화벽, 이메일, 사용자 신원, DNS뿐만 아니라, 이들의 상호 연관성도 함께 분석한다. 특히 엔드포인트의 경우, 시스코 시큐어 클라이언트(Cisco Secure Client, 구 ‘애니커넥트’)를 통해 2억 개의 엔드포인트에서 얻은 인사이트를 활용하여, 엔드포인트와 네트워크가 만나는 지점에 대한 프로세스 수준의 가시성을 제공한다.
시장 조사 업체 IDC의 보안 및 트러스트 담당 프랭크 딕슨(Frank Dickson) 부사장은 “XDR 솔루션의 성패는 실질적인 보안 성과와 조기 탐지, 영향력 기반의 우선순위 설정, 효과적이고 효율적인 대응 등 측정가능한 이점을 조직에게 제공할 수 있는지에 달렸다”라고 설명했다. 그는 “진정한 결과는 수치로 정량화할 수 있어야 하며, 시스코 XDR은 조직들이 이러한 가시적인 성과를 달성할 수 있도록 명확한 프레임워크를 제공한다“라고 덧붙였다.
시스코 XDR은 자사의 텔레메트리 외에도 주요 서드파티 공급업체와 원격 분석 결과값을 공유하고 상호 운용성을 높이며, 공급업체나 기술에 관계없이 일관된 결과를 제공한다. 별도 설치나 구성 없이 바로 사용할 수 있는 초기 세트는 다음과 같은 솔루션을 포함하고 있다.
엔드포인트 탐지 및 대응(EDR): 크라우드스트라이크 팔콘 인사이트 XDR(CrowdStrike Falcon Insight XDR), 사이버리즌 엔드포인트 탐지 및 대응(Cybereason Endpoint Detection and Response), 마이크로소프트 엔드포인트 디펜더(Microsoft Defender for Endpoint), 팔로알토 네트웍스 코텍스 XDR(Palo Alto Networks Cortex XDR), 센티넬원 싱귤레러티(SentinelOne Singularity), 트렌드마이크로 비전 원(Trend Micro Vision One)
이메일 위협 방어: 오피스용 마이크로소프트 디펜더(Microsoft Defender for Office), 프루프포인트 이메일 보호(Proofpoint Email Protection)
차세대 방화벽(NGFW): 체크포인트 퀀텀(Check Point Quantum), 팔로알토 네트웍스 차세대 방화벽(Palo Alto Networks Next-Generation Firewall)
네트워크 탐지 및 대응(NDR): 다크트레이스 디텍트(Darktrace DETECT), 다크트레이스 리스폰드(Darktrace RESPOND™), 엑스트라홉 리빌엑스(ExtraHop Reveal(x))
통합보안관제(SIEM): 마이크로소프트 센티넬(Microsoft Sentinel)
제로 트러스트 및 액세스 관리
사이버 공격자들이 멀티팩터 인증(MFA) 보안 허점을 더욱 노리고 있는 가운데, 시스코는 액세스 관리의 3가지 필수 요소인 ▲강력한 인증 적용 ▲디바이스 검증 ▲사용 중인 비밀번호 수 감소를 액세스 관리 전략의 핵심으로 삼아야 한다고 제언한다. 시스코는 이를 지원하기 위해 5월 1일부터 듀오의 모든 유료 버전에 ‘트러스티드 엔드포인트(Trusted Endpoints)’ 기능을 추가한다. 기존에는 듀오 최상위 버전에서만 지원됐던 해당 기능을 사용하면 등록 또는 관리되는 디바이스만 리소스에 접근할 수 있게 된다. 시스코는 엔트리급 듀오 에센셜(Duo Essentials) 에디션에 싱글사인온(SSO), MFA, 패스워드리스 인증, 푸시 알림(Verified Push)과 함께 트러스티드 엔드포인트를 제공함으로써 안전성, 비용 효율성, 사용자 친화력이 높은 액세스 관리 솔루션을 제공할 수 있게 됐다.