Microsoft Defender 예측 차폐(미리 보기)

예측 차폐(미리 보기)는 지속적인 공격의 일환으로 위협을 예측하고 완화하도록 설계된 사전 방어 전략입니다. 예측 차폐는 Microsoft Defender 자율 보호 스택을 확장하여 자동 공격 중단 기능을 사전 예방 조치로 향상합니다.

이 문서에서는 해당 기능과 보안 태세를 개선하는 방법을 이해할 수 있도록 예측 차폐에 대한 개요를 제공합니다.

예측 차폐의 작동 방식 또는 Microsoft Defender 예측 차폐를 관리하는 방법을 알아봅니다.

자동 공격 중단에 대한 예측 차폐 확장 방법

진화하는 위협 환경은 불균형을 만듭니다. 수비수는 모든 자산을 보호해야 하지만 공격자는 하나의 개방만 필요합니다. 기존 방어는 악의적인 활동이 시작된 후 대응하는 반응성입니다. 이 접근 방식은 종종 실시간으로 감지하기에 너무 빠르거나 미묘하게 행동하는 공격자를 쫓는 수비수를 남깁니다. 일부 공격자 동작은 완전히 차단해야 하지만 정적 방지는 생산성을 방해하고 운영 오버헤드를 추가합니다.

이러한 문제를 해결하기 위해 예측 차폐는 Defender의 자율 보호 스택을 향상시키고, 공격 중 사전 조치를 포함하도록 공격 중단 을 확장하고, 위험을 예측하고, 필요한 경우에만 대상 보호를 적용합니다.

이러한 사전 예방적 접근 방식은 반응형 추적을 줄이고, 운영 부담을 최소화하며, 유용성을 유지하며, 공격자가 전진하기 전에 환경을 보호합니다.

공격 중단은 손상된 자산을 식별하고 포함하지만 예측 차폐는 잠재적인 공격 진행을 예상하고 취약한 자산 또는 경로를 사전에 제한합니다. 예를 들어 자동 공격 중단은 손상된 디바이스를 격리하지만 예측 차폐는 위험에 처한 디바이스의 중요한 데이터에 대한 액세스를 사전에 제한할 수 있습니다.

예측 차폐의 작동 방식

예측 차폐는 예측 분석 및 실시간 인사이트를 사용하여 새로운 위험을 동적으로 식별하고 대상 보호를 적용합니다.

예측 차폐는 태세, 활동 및 시나리오 컨텍스트를 통합하여 잠재적인 공격 경로 및 대상을 식별하거나, 중요한 자산을 선택적으로 강화하거나, 적시에 공격 경로를 제한합니다.

이 접근 방식은 운영 오버헤드를 최소화하고 보안 팀에 응답하는 데 더 많은 시간을 제공합니다. 예를 들어 예측 차폐는 위험에 처한 것으로 확인된 디바이스의 중요한 데이터에 대한 액세스를 동적으로 제한하여 광범위한 환경 차폐의 필요성을 줄일 수 있습니다.

예측 차폐는 다음 두 가지 핵심 요소에 의존합니다.

• 예언
  • 위협 인텔리전스, 공격자 동작, 과거 인시던트 및 조직 노출을 분석하는 작업이 포함됩니다.
  • Defender는 이 예측 데이터를 사용하여 새로운 위험을 식별하고, 공격 진행률을 이해하고, 비컴퓨팅된 자산에 대한 위험을 유추합니다.
• 적용 은 예방 보호 제어를 적용하여 잠재적인 공격 경로를 실시간으로 방해합니다.

이 이중 접근 방식을 사용하면 보호가 정확하고 시기 적절하게 유지됩니다.

예측 논리

예측을 통해 조직은 위험에 처한 자산을 식별하고 실시간으로 맞춤형 보호를 적용할 수 있습니다. 예측은 정적 방지보다는 새로운 위험에 중점을 두어 운영 마찰을 최소화하고 필요한 경우 보안 조치가 정확하게 적용되도록 합니다. 예를 들어 특정 공격자 도구가 검색되면 예측 차폐는 과거 공격 패턴에 따라 다음 가능성이 높은 대상을 유추할 수 있습니다.

Defender는 여러 계층의 인사이트를 사용하여 정확한 예측을 수행합니다.

• 위협 인텔리전스는 관찰된 활동을 알려진 공격자 도구 및 전술과 일치합니다.
• 과거 인시던트 학습은 통계 패턴을 인식하고 가장 가능성이 있는 다음 단계를 추정하는 데 사용됩니다.
• 조직 노출 데이터는 환경이 어떻게 구성되는지, 어떤 자산과 ID가 연결되어 있는지, 이러한 ID에 어떤 권한이 있는지, 어떤 취약성이나 잘못된 구성이 존재하는지, 그리고 위험이 어떻게 전파될 수 있는지를 매핑하는 데 사용됩니다.

이러한 인사이트는 함께 환경 및 위험에 대한 동적 이해를 만듭니다.

그래프 기반 논리

그래프 기반 예측 논리는 위반 전 시스템과 위반 후 시스템 간의 격차를 해소하여 조직 토폴로지 전체에서 공격자 활동에 대한 통합 보기를 제공합니다. 이 통합 보기에는 organization 자산, 연결 및 취약성이 포함됩니다. 그래프 기반 논리는 라이브 활동 데이터를 환경의 구조 맵과 결합합니다.

이 통합을 통해 Defender는 가장 중요한 취약성에 따라 보호를 동적으로 조정하여 방어의 실시간 우선 순위를 설정하고 중요한 자산에 도달하기 전에 공격자를 중지할 수 있습니다.

프로세스에는 다음 세 가지 주요 단계가 포함됩니다.

1. Defender는 위반 후 활동을 organization 노출 그래프에 오버레이하여 잠재적인 공격 경로에 대한 포괄적인 보기를 만듭니다.
2. Defender는 식별된 활동이 영향을 줄 수 있는 관련 자산인 폭발 반경을 식별합니다.
3. 추론 모델은 공격자가 취할 가능성이 가장 높은 경로를 예측하여 과거의 동작, 자산 특성 및 환경 취약성을 고려합니다.

이러한 동적 이해를 통해 Defender는 반응형 응답을 넘어 공격자가 중요한 자산에 도달하기 전에 Just-In-Time 보호를 사용할 수 있습니다.

예측 차폐 작업

예측 차폐는 엔드포인트 기반 작업에 Defender를 사용합니다. 이러한 작업을 사용하려면 엔드포인트용 Defender 라이선스가 필요합니다.

• Safeboot 강화 - 안전 모드로 부팅하지 않도록 디바이스를 강화합니다. 안전 모드로 부팅하는 것은 공격자가 보안 제어를 우회하고 손상된 시스템에서 지속성을 유지하기 위해 사용하는 일반적인 전술입니다.

• GPO 강화 - 그룹 정책 개체(GPO)를 강화하여 공격자가 GPO 설정의 잘못된 구성 또는 약점을 악용하여 권한을 확대하거나 네트워크 내에서 횡적으로 이동하는 것을 방지합니다.

• 사전 사용자 포함(사용자 포함) - 노출 데이터로 활동 데이터를 주입하여 손상된 자격 증명을 식별하고 악의적인 활동을 수행하는 데 재사용될 위험이 있습니다. 이러한 자격 증명과 연결된 사용자의 활동을 사전에 제한합니다.

  참고

  사용자 포함 작업은 공격 중단 및 예측 차폐 모두에서 사용되지만 이 작업은 각 컨텍스트에서 다르게 적용됩니다. 예측 보호에서 사용자 포함 작업은 예측 논리를 통해 고위험으로 식별된 사용자에 중점을 두고 더 선택적으로 제한을 적용합니다. 이 작업은 기존 세션을 종료하지 않고 새 세션을 방지합니다.

다음 단계

• Microsoft Defender 예측 차폐 관리 - 예측 차폐 작업을 관리하고 환경에 미치는 영향을 조사하는 방법을 알아봅니다.
• Microsoft Defender 자동 공격 중단 - 자동 공격 중단이 확인된 악성 활동을 식별하고 중화하기 위해 작동하는 방식을 알아봅니다.