EPP, EDR, MDR, XDR

1. EPP(Endpoint Protection Platform)

  - 엔드포인트(스마트폰, PC, 태블릿 등 User 접근기기)를 보호하기 위한 플랫폼

  - 방화벽, 백신, DLP(Data Loss Prevention) 등을 포괄하는 개념

  - EDR도 넓은 범주에서 EPP안에 들어오는게 맞는데,

    요샌 EDR이 탐지대응 측면을 강조하니깐 더 큰 개념으로 보는 경향이 쎔

 

2. 백신의 한계에 대한 대응으로 EDR(Endpoint Detection & Response)이 나옴

  - 백신과 EDR의 차이점

    백신 : 한 번 설치하면 관리자 개입 없이 자동으로 시그니처를 업데이트하고, 알려진 위협을 차단

    EDR : 관리자의 적극적인 개입 필요, 발견된 이벤트의 위협 수준에 따라 적절하게 대응

  - 백신이 정해진 패턴, 시그니처 분석으로 탐지하므로, 실상 사전예방이 아닌 사후조치에 가까움

  - EDR은 예를들어 PC에서 일어나는 이벤트 로그등을 분석해서 이상행위를 탐지하고 대응해냄

  - 회사 비즈니스 성격에 따라 오탐(과탐)이 많다는 카더라

 

3. 모든게 서비스 형태.

  - EDR에서 수많은 이벤트를 분석하기 위해서는 고급 보안 전문가의 역량이 필요한데, 사람이 없음

  - 그래서 서비스 형태인 MDR(Managed Detection & Response)이 나옴

  - 보안이든 IT든 모든게 구독형, 서비스 형태로 진화해가고 있음. 기업내 전문가 양성이 생각"만큼" 어려움

  - 현실적으론 전문 서비스 업체는 기업 사정(도메인 등)을 정확히 모르므로 한계가 명확함

 

4. XDR(everyting Detection & Response)

  - 엔드포인트, 네트워크, 클라우드, 파일 등 IT 전체에서 발생하는 위협을 탐지하고 연계 분석하는 개념

  - EDR이 엔드포인트 자체에서 일어나는 이벤트를 분석하는 것에 초점을 두었다면,

  - XDR은 네트웤, 클라우드 등 모든 영역을 포괄하는 개념(애초부터 이게 정상적인 개념으로 보여짐)

 

요약

백신 한계에 대한 대응으로 EDR이 나왔는데, 전문가가 부족해서 MDR도 제공가능해짐

EDR만 갖고 분석하기엔 정보가 끊길 수 있어 네트워크부터 클라우드까지 전반적인 분석이 필요해서 XDR 얘기가 나옴

요샌 X(everything) 붙이면 뭐든 용어가 되는 세상!

 

http://www.datanet.co.kr/news/articleView.html?idxno=140350

[2020 ICT 분야별 전망] EDR·XDR① - 데이터넷

http://www.datanet.co.kr/news/articleView.html?idxno=140468

[2020 ICT 분야별 전망] EDR·XDR③ - 데이터넷

http://www.datanet.co.kr/news/articleView.html?idxno=140411

[2020 ICT 분야별 전망] EDR·XDR② - 데이터넷

https://www.dailysecu.com/news/articleView.html?idxno=84426

권영목 파고네트웍스 대표 “EPP와 EDR 통합에 MDR 적용…고객들이 원해” - 데일리시큐

 

트렌드마이크로 XDR 데모

https://www.youtube.com/watch?v=flcccjTQTHA