팔로알토 네트웍스(지사자 이희만 NYSE: PANW)는 지난 12일, 확장형 탐지 대응(XDR, extended detection and response) 솔루션 ‘코어텍스 XDR 3.0(Cortex XDR 3.0)’을 출시했다고 밝혔다.

‘코어텍스 XDR 3.0’은 클라우드 위협 및 계정(identity) 기반 위협에 대한 지원 범위를 넓혀, 점점 더 정교해지는 사이버 공격에 대응할 수 있도록 종합적인 분석 결과를 제공한다. 

팔로알토 네트웍스의 ‘코어텍스 XDR’은 마이터 어택(MITRE ATT&CK)이 실시한 탐지율과 보호 성능 평가에서 3년 연속 최고점을 받은 제품이다. 

이번에 출시된 3세대 버전은 보안운영센터(SOC)가 공격 표면 전반에 걸쳐 광범위한 보호 기능을 활용할 수 있도록 설계됐다.

클라우드 환경에 대한 탐지, 모니터링, 조사 범위를 확장하고, 계정 데이터 분석을 통해 악성 사용자 활동 및 내부 위협을 탐지, SOC 팀에서는 엔드포인트, 네트워크, 클라우드, 계정 관리 등 전사적인 범위의 탐지 대응 환경을 마련할 수 있다.

덧붙여 팔로알토 네트웍스의 보안 컨설팅 그룹 유닛42(Unit42)의 독자 개발 고급 툴을 기반으로 포렌식 조사 기능을 제공하며, 주요 써드파티 데이터 소스에 대한 수집 및 사용자 맞춤형 상관 관계 분석을 지원한다. 

▲ (출처 : 팔로알토 네트웍스 코리아 제공)

◆클라우드 환경에 대한 탐지, 모니터링, 조사 기능을 확대한 코어텍스 XDR 3.0은 클라우스 호스팅 데이터, 트래픽 로그, 감사 로그, 써드파티 클라우드 보안 데이터 등을 네트워크 데이터 소스 및 클라우드와 연결되지 않은 엔드포인트에 통합해 활용하도록 지원한다.

이를 통해 SOC 팀에서는 온프레미스와 멀티클라우드 환경을 아우르는 광범위한 커버리지를 확보할 수 있다. 

◆코어텍스 XDR 아이덴티티 애널리틱스(Cortex XDR Identity Analytics) 기능을 통해 광범위한 계정 데이터 집합을 수집하고 분석, XDR의 사용자 행동 분석 기능을 강화한다.

이를 통해 악의적인 활동과 내부 위협을 효과적으로 탐지할 수 있다. 

◆코어텍스 XDR 포렌식(Cortex XDR Forensic) 모듈을 통해 사용자가 유닛42에서 사용하는 고급 포렌식 조사 툴을 직접 활용할 수 있다.

손상된 시스템에서 사용자, 파일, 애플리케이션, 브라우저 등 다양한 히스토리 증거 데이터를 수집함으로써 사고 대응 과정에서 XDR의 잠재 분석 범위를 극대화한다.

◆코어텍스 XDR 인시던트 매니지먼트 인터페이스(Cortex XDR Incident Management Interface)는 보안 분석가가 특정 위치의 인시던트에 대한 총체적인 뷰를 확보하고, 악성 아티팩트, 호스트, 사용자 및 연관 경보 등을 마이터 어택 프레임워크에 맵핑함으로써, 보다 빠르고 완성도 높게 인시던트를 처리할 수 있도록 돕는다.

◆코어텍스 써드파티 데이터 엔진(Cortex XDR Third-Party Data Engine)은 고객이 다양한 소스에서 데이터를 수집, 표준화, 상관 관계 분석, 쿼리 및 분석할 수 있는 기능을 제공한다.

이를 통해 공격과 관련된 활동의 상관관계를 확인하고, 마이터 어택 TTP에 태그를 지정해 악의적인 움직임에 대한 세부 정보를 확보할 수 있다.

SOC팀에서는 이를 통해 인시던트의 전체 스콥을 이해하고, 보다 정확하게 대응할 수 있다. 

이희만 팔로알토 네트웍스 코리아 대표는 “팔로알토 네트웍스는 2019년에 확장형 탐지 대응을 뜻한 XDR 범주를 선보였다. 모든 보안 소스의 데이터를 통합해야만 복잡한 위협을 정확하게 탐지하고 자동으로 공격을 차단하는 것은 물론 더 빠르게 조사할 수 있기 때문”이라며 “새로운 도전 과제들이 생겨날 때 마다 혁신의 선봉장 역할을 해온 만큼 이번 제품 또한 시장의 새로운 기준이 될 것이다. 클라우드와 계정 분석을 강화한 코어텍스 3.0은 SOC 팀에서 엔드포인트는 물론 모든 자산과 워크로드, 중요 데이터를 보호하는 총체적인 플랫폼의 역할을 제공한다”고 말했다.

<김동기 기자>kdk@bikorea.net