This post is also available in: English (영어) 简体中文 (중국어 간체) 繁體中文 (중국어 번체) Français (불어) Deutsch (독어) Italiano (이태리어) 日本語 (일어) Português (브라질 포르투갈어) Español (스페인어)
MITRE ATT&CK 6라운드에서 100% 탐지율로 독보적인 성과를 거둔 Cortex XDR
올해 MITRE ATT&CK 평가에서 Cortex XDR은 공격 시뮬레이션의 모든 단계에서 기술 수준의 디테일로 100% 탐지를 달성한 최초의 참가업체로서 새로운 역사를 썼습니다. 기술 수준 탐지는 최고 수준의 표준으로서, 보안 분석가가 공격을 식별하기 위해 필요한 정확한 정보를 제공합니다. 또한 Cortex XDR은 2년 연속으로 구성 변경이나 지연 없이 탐지 100%의 실적을 달성하여 탁월한 일관성을 입증했습니다.
Cortex XDR은 엔드포인트 보안에서 매우 중요한 오탐지율 0%를 달성했으며, 이는 모든 벤더 중 가장 높은 성과에 해당했습니다. 예방 단계에서는 오탐이 한 번만 발생하더라도 합법적인 비즈니스 프로세스 중단으로 이어져 생산성에 영향을 미칠 수 있습니다.
올해 평가에는 오탐 테스트, macOS 지원, 확장된 Linux 시나리오가 포함되는 등 그 어느 때보다도 엄격한 기준하에 진행되었습니다. 특히 참여 업체가 29개 업체에서 19개 업체로 감소했으며, 몇몇 유명업체가 불참하기도 했습니다. 테스트에 참여한 벤더 중 2/3가 공격 단계에서 달성한 실적은 50% 미만으로, 이를 통해 올해 평가의 엄격함이 더욱 강화되었음을 확인할 수 있습니다.
당사는 이번 평가의 시뮬레이션을 통해 확인할 수 있었던 바와 같이 탁월한 엔드포인트 보안을 제공함으로써 고객이 공격자보다 더욱 앞서갈 수 있도록 뒷받침하며, 이를 가능케 하는 세계 최고 수준의 위협 연구 및 엔지니어링 팀을 매우 자랑스럽게 여깁니다.
Cortex XDR: MITRE ATT&CK 라운드 6에서 업계 최고의 엔드포인트 보안 성능 달성
Cortex XDR은 이번 평가의 탐지 및 예방 시나리오 모두에서 탁월한 성능을 발휘했으며, 이를 통해 엔드포인트 보안의 새로운 기준을 제시하고 고객이 사이버 보안 솔루션에서 기대할 수 있는 요소를 새롭게 정의했습니다.
세 가지 탐지 시나리오에서 Cortex XDR은 구성 변경이나 탐지 지연 없이 모든 시뮬레이션 공격 단계에서 100% 기술 수준 탐지를 달성한 최초의 솔루션이라는 전대미문의 기록을 남겼습니다. 이러한 결과는 Window, macOS, Linux 등 모든 주요 OS에 대해 가장 포괄적인 방어 시스템을 제공하겠다는 당사의 신념을 다시 한 번 강조합니다.
또한 MITRE ATT&CK 평가에서는 예방 기능도 테스트하여 공격이 피해를 일으키기 전에 앞서 차단하는 역량을 평가했습니다. 이것은 실제 엔드포인트 보안의 본질이기도 합니다. 최대한 많은 부분을 예방하고, 모든 것을 빠르고 정확하게 탐지하는 것입니다.
6라운드에서 Cortex XDR은 10단계 중 8단계의 공격을 차단했으며, 그 과정에서 오탐은 일절 발생하지 않았습니다. 예방 단계에서 오탐이 발생할 경우 중요한 비즈니스 운영을 방해하여 막대한 재정적 손실을 초래할 수 있습니다. 탁월한 정확도의 예방 성능과 중단 없는 기능을 결합한 Cortex XDR은 세계 최고 수준의 규모와 복잡성을 지닌 조직에게 이상적인 엔드포인트 보안 솔루션입니다.
예방 테스트의 두 가지 공격 단계에서는 MITRE가 차단으로 간주하는 기준을 충족하지 못했지만, 실제 상황이었다면 적절한 조치를 통해 고객을 보호하고 침해를 막을 수 있었을 것입니다.
- 3단계의 공격은 중국에 위치한 의심스러운 호스트에서 SSH 연결을 시도했는데, MITRE의 공격 단계를 진행하는 것을 의도한 테스트였습니다. 당사는 의심스러운 SSH 연결을 차단하여 조기에 공격을 차단했습니다.
- 5단계에서 공격은 데이터 암호화를 시도했고, Cortex XDR 에이전트는 암호화 작업을 통해 즉시 공격을 반전했습니다. 당사는 공격을 차단함으로써 고객의 안전이라는 중요한 결과를 얻었습니다.
MITRE ATT&CK 평가란?
MITRE ATT&CK 평가는 실제 위협을 탐지하고 예방하는 엔드포인트 보안 솔루션의 역량을 측정하기 위해 설계된 것으로, 사이버 보안 분야에서 가장 엄격한 테스트입니다. MITRE ATT&CK 평가는 정교한 공격에 대한 연구 및 에뮬레이션을 통해 보안 효과에 있어 진정한 벤치마크를 제공합니다.
올해의 엔터프라이즈 2024 평가에서는 관련성이 높은 두 가지 공격 소스에 중점을 두었습니다.
- 랜섬웨어: 합법적 도구 남용, 데이터 암호화, 중요 서비스, 프로세스 비활성화 등 랜섬웨어 캠페인에서 흔히 볼 수 있는 행위를 대상으로 평가를 진행했습니다. MITRE는 악명 높은 서비스형 랜섬웨어 위협 그룹인 CLOP와 LockBit의 기술을 에뮬레이션하기로 결정했습니다.
- 북한: 모듈형 멀웨어를 사용하여 높은 권한을 확보하고 자격 증명을 표적으로 삼는 북한의 공격에서 영감을 받아 macOS 시스템에 대한 공격을 시뮬레이션했습니다.
Palo Alto Networks는 랜섬웨어 및 북한과 같은 주요 위협 요소를 어떻게 모니터링하나요?
Unit 42의 연장선상으로, Palo Alto Networks의 Cortex 위협 연구팀은 끊임없이 변화하는 위협 환경을 모니터링하고 조사 결과를 실행 가능한 인텔리전스로 전환하여 Cortex XDR의 탐지 및 예방 기능을 강화합니다.
지난 한 해 동안 위협 행위자의 전술, 기법 및 절차(TTP)를 연구하는 지속적 노력을 기울였으며, 이를 바탕으로 전 세계의 조직에 대한 침투에 사용되는 새로운 캠페인과 멀웨어를 발견했고 특히 북한과 연계된 APT 그룹에 집중했습니다.
북한은 스파이 활동과 북한 정권의 수익 창출이 목표인 대규모 사이버 범죄 활동을 중심으로 하는 두 가지 사이버 전쟁 전략으로 악명이 높습니다. 당사의 연구는 북한이 다양한 산업 분야의 글로벌 조직에서 암호화폐와 중요 정보를 훔치고자 하는 시도를 멈추지 않고 있으며, 또한 macOS 사용자와 엔드포인트를 중점적인 표적으로 삼고 있다는 점을 강조합니다.
연구의 주요 사항은 커뮤니티에 공개된 바 있으며, 다음 연구 기사를 포함한 연구 내용은 Unit 42 위협 조사 센터에서 확인하실 수 있습니다.
- 위협 평가: 북한 위협 그룹
- 전염성 인터뷰:북한 위협 행위자, 기술 업계 구직자를 유인하여 새로운 변종 BeaverTail 및 InvisibleFerret 멀웨어 설치 유도
- Gleaming Pisces에 의해 오염된 파이썬 패키지 캠페인이 PondRAT Linux 및 MacOS 백도어 전달
- Sparkling Pisces의 툴 세트 해결: KLogEXE 및 FPSpy
이 팀은 2024년에 가장 위험도가 높은 랜섬웨어 그룹에 대한 조사 결과도 여럿 발표했습니다. 이들 조사는 위협 그룹의 진화를 강조하며 점점 더 정교해지고 공격적으로 변화하는 모습을 보여줬습니다. 또한 Cortex XDR의 탐지 및 예방 기능을 활용하여 자동 시스템을 통해 이러한 공격을 방해하고 중요 정보의 암호화를 중지할 수 있는 방법도 제시했습니다.
이들 랜섬웨어 그룹에 대해 자세히 알아보려면 다음 문서를 참조하세요.
올해 테스트는 어떻게 바뀌었나요?
올해 MITRE ATT&CK 평가는 진화하는 위협 환경을 반영하고 엔드포인트 보안 효과를 더욱 정확하게 측정하기 위해 중요한 변화를 도입했습니다.
- 엔드포인트 범위 확장: 이번 테스트에는 Windows, Linux 및 macOS 환경을 비롯하여 최초로 광범위한 엔드포인트 플랫폼이 포함되었습니다. 이처럼 범위를 확장하여 다양한 운영 체제에 대해 솔루션을 테스트함으로써 방어 기능을 보다 포괄적으로 파악할 수 있었습니다.
- 오탐 포함: 또 하나의 중요한 추가 사항으로, 실제 배포 환경에서 매우 중요한 요소인 오탐 추적 기능이 포함되었다는 점을 들 수 있습니다. 위협 탐지 기능뿐만 아니라 보안 팀의 업무량을 과도하게 늘리거나 중요한 비즈니스 프로세스를 방해할 수 있는 탐지 부정확성을 방지하는 역량에 대한 평가도 진행되었습니다.
이러한 변경 사항을 통합하여 MITRE는 역대 가장 도전적이면서도 현실적인 평가를 실시했습니다.
일관성의 중요성 — 매년 탁월한 실적을 보여주는 Cortex XDR
Palo Alto Networks는 고객에게 최고 품질의 사이버 보안 기술을 제공하기 위해 최선을 다하고 있으며, 이를 위해서는 연구 및 엔지니어링에 대한 투자와 우수한 인재가 필요합니다. Palo Alto Networks 팀은 해마다 엄격한 MITRE ATT&CK 평가를 통과함으로써 전 세계를 대상으로 그 노력의 결과를 입증하고 있다는 점에서 자부심을 갖고 있습니다.
2022년부터 Cortex XDR은 MITRE 평가에서 탐지 결과에서 압도적인 실적을 발표했습니다. 당사는 매년 진행되는 공격 시뮬레이션은 전 세계의 위협 행위자와 이를 방어하는 사이버 보안 업계의 태세에 대한 고유한 인사이트를 확보하는 데 도움이 된다고 믿고 있습니다. 따라서 당사는 손쉬운 비교를 위해 매년 대화형 대시보드에 모든 MITRE ATT&CK 평가 결과를 기록하여 공개하고 있습니다.
Cortex XDR을 통해 엔드포인트 방어 시스템을 구현하는 모든 고객과 MITRE에 감사드립니다. 사이버 보안 파트너로서 선택받았다는 점을 영광으로 생각합니다.
Cortex XDR이 실제로 작동하는 모습을 확인할 준비가 되셨다면 당사에 연락하여 데모를 예약하세요.