제 목 | 기업 보안이 플랫폼으로 진화한다 |
---|---|
등록일 | 2021-11-02 |
첨부파일 | |
SOAR 대두되다 매년 가을 초입이 되면 가트너에서는 기업을 위한 신기술 로드맵1)을 발표한다. 올해 역시 9월에 6가 지 큰 주제를 갖고 각각의 상세 신기술의 동향을 발표했는데, 대상이 대기업과 중소기업으로 나누어 있 음에도 공통점을 갖는 부분이 있다. 단순하게 신기술 항목이 기업의 크기와 상관없이 겹치는 것이 아니 라, 중요도에 비해 단기간 내에 성취하기 어려운 기술로 크게 분류된 ‘사이버 보안’이 그 영역이 된다. 아래 [그림 1]에서 파란색 네모로 구분한 기술이다. 보안 영역의 SOAR (Security Orchestration, Automation and Response) 라는 기술과 자동화 기술 에서 네트워크 자동화로 나누어져 있긴 하나 모두 도구의 모음을 조직화하고 일련화 하는 기술을 의미 한다. 보안 오케스트레이션, 자동화 및 응답을 의미하는 SOAR 플랫폼은 다양한 소스에서 데이터를 검색하 고 수집하는 보안 소프트웨어 솔루션 및 도구의 모음을 말하고 SOAR 솔루션은 사고 대응 조치를 이해 하고 우선순위를 정하기 위해 인간과 기계 학습의 조합을 사용하여 다양한 데이터를 분석한다. 최근 매킨지의 사이버 보안 성숙도 보고서2)는 금융과 헬스케어 부문을 제외한 전체 산업부문의 보안 성숙도는 매우 기초적인 수준이었고, 오늘날 비즈니스의 환경 특히 팬데믹 상황에서 원격 근무가 일상화 되고 있는 상황이 요구하는 보안관리 수준에 못 미치는 ‘사고 발생 후 대응’ 수준임을 보여주고 있다. SOAR 시스템의 장점 일반적으로 SOAR 솔루션을 통해 팀은 중요한 보안 데이터를 수집하고, 서로 다른 소스에서 기존 및 잠재적 위협과 취약성을 식별, 분석 및 해결할 수 있다. 기업이나 단체에 보안 사고에 더 빠르고 효율적이며 일관되게 대응할 수 있는 가시성을 동반한 정보를 제공한다. 하지만 현재, 기업에서의 보안 운영 팀은 서로 다른 시스템에서 발생하는 상호 정보를 연결하는 데 많은 어려움이 있다. 이로 인해 오류가 발생하기 쉬운 수동 프로세스가 너무 많고 이 모든 것을 해결할 높은 수준의 기술력은 부족하다. 현재의 문제 해결 접근 방법의 결과는 다음의 세 가지 문제로 요약할 수 있다. ① 문제가 되는 경고를 놓칠 확률 증가 ② 수동 프로세스로 인한 시간 및 리소스 낭비 ③ 표준화된 대응 능력 부족으로 인한 응답 시간 저하 좋은 SOAR 시스템은 모든 유형의 보안 사고가 미치는 영향을 최소화하고, 기존 보안 투자의 가치를 극대화하며, 법적 책임 및 비즈니스가 멈추는 중단 시간의 위험을 전반적으로 줄여 다음과 같은 목표를 달성할 수 있다. ① 프로세스 관리, 기술 및 전문 지식 통합 ② 자산 모니터링의 중앙 집중화 ③ 상황별 인텔리전스를 통해 경고 알림 강화 ④ 응답 자동화 위에서 제시한 네 가지 목표를 달성하기 위해 SOAR 플랫폼/솔루션이 가져야 할 기능요건은 다음과 같이 정리할 수 있다. · 다양한 보안 시스템에서 정보 및 경고를 수집하고 분석한다 · 보안 경고 식별, 우선순위 지정, 조사 및 대응에 필요한 워크플로우를 정의, 구축 및 자동화한다. · 운영 개선을 위해 여러 가지 툴을 조직화하고 통합한다. · 사고가 있었다면, 분석작업을 수행하고 팀이 프로세스를 개선하고 유사한 문제를 방지할 수 있는 포렌식 기능을 보유한다. · 대부분의 보안 작업을 자동화하고, 반복 작업을 없애고 팀이 시간을 절약하고 사용자 입력이 필요한 보다 복잡한 작업에 집중하게 한다. 기업에서 매일 300개의 피싱 이메일을 체크하는 경우 SOAR 시스템 도입 전 90분이 걸리던 작업이 40초로 줄었으며, 비용으로 환산하는 경우 1년에 약 90만 불의 절약 효과가 있었다. 이런 SOAR 시스템은 인공지능, 기계 학습, 증강 분석에 기반하여 정보 수집, 데이터 강화 및 상호 관계 등과 같은 직업을 반복적으로 자동화한다. 이러한 접근 방식을 통해 팀은 광범위한 보안 문제에 보다 빠르고 규모에 맞으면서 학습되고 최적화된 방법으로 대응할 수 있다. 또한 대부분의 SOAR 시스템에는 입증된 순서와 절차에 기초한 지침을 제공하는 지침서가 있다. 이 지침서를 잘 숙지하면 일관성, 규정 준수, 빠르고 안정적인 식별 및 인시던트를 해결하는데 도움이 된다. <사진 출처 : www.freepik.com> 시장 흐름 SOAR 시장은 꾸준히 성장하고 있지만 크게 두 가지 큰 흐름을 찾을 수 있다. 다른 보안 기술 및 서비스와 통합 연계 SOAR 시장은 다양한 보안 운영 기능(예 : 취약성 관리, 규정 준수 관리 및 클라우드 보안)을 위한 통합 제어 모듈로 성장하고 있다. SOAR 기술은 운영자가 프로그래밍 해야 하는 기능을 제공하므로, 자동화를 위한 준비가 덜 된 조직에서는 사용이 복잡할 수 있다. 이런 이유로 보안 공급업체가 특정 기술에 대해 사전 프로그래밍이 되고 최적화된 SOA 관리 기능을 제품에 내장하도록 하고 있다. 보안 정보와 이벤트 관리 기술에 대한 수요는 여전히 많고 위협 관리가 주요 이유가 된다. 거의 모든 SIEM 공급업체는 기본 기능 또는 타사 솔루션과의 통합을 통해 조사 기능을 향상하고 대응 조치를 위한 방법을 도입하고 있다. SIEM은 몇 년 동안 기업에서 현실적으로 사용했지만, SOAR솔루션은 사고 대응을 위해 SIEM을 보완하는 기술이다. SIEM은 다양한 소스에서 보안 데이터를 집계하고 분석을 적용하여 잠재적인 보안 사고를 감지하고 이벤트 또는 사고를 생성합니다. SOAR는 그런 데이터를 기반으로 경고 알림을 설정하고 결정하는 데 도움이 되는 대응방법을 개발한다. 조사 경로를 결정하는 것은 보안 책임자의 역할이지만 SOAR는 더 나은 결정과 더 빠른 응답을 제공한다. 따라서 사건/사고에 대응할 수 있는 최상의 워크풀로우 선택을 지원한다. 또한 잠재적으로 사고에 대응할 워크플로우의 실행을 자동화하여 대응 시간을 크게 단축할 수 있다. 보안 서비스 제공업체가 자체 서비스 품질, 대응 능력을 개선하기 위해 SOAR를 사용 관리형 보안 서비스 공급자(MSSP: Managed Security Services Provider) 및 관리형 탐지와 대응 (MDR: Managed Detection and Response) 서비스 공급자의 사고 대응 수요가 매우 빠르게 늘고 있다. 고객의 환경에서 공격이 진행될 수 있는 속도를 고려할 때 잠재적인 위협이 감지되었을 때 고객에게 경고하고 알림을 보내는 것만으로는 더 이상 충분하지 않다. 고객은 환경과 비즈니스 운영에 대한 피해를 최소화 하기 위해 위협을 억제하거나 방해할 수 있는 능력을 제공하는 서비스 제공업체에 의존한다. 보안 서비스 제공업체는 다양한 테넌트를 통해 고객에게 커스터마이즈 된 워크플로우를 제공할 수 있지만 고객의 전반적인 비즈니스 위협에 대한 이해를 파악하는 게 우선이다. 공급자는 분석을 위해 데이터를 수집하고 사고 조사 및 대응 활동을 강화하기 위해 고객 또는 자체 기술과 양방향 통합이 필요하다. SOAR 솔루션 선택의 기준 마지막으로, 기업이나 단체에서 보안 관리 리더는 운영 효율성과 효율성을 개선하기 위해 보안 SOAR 플랫폼이나 솔루션 서비스를 선택할 때 다음과 같은 기준을 고려해 보는 것을 추천한다. · 조직 환경에 이미 설치 운영되는 제품과의 호환성을 검증해 본다. 또한 SOAR 솔루션은 커스텀 개발이 많으므로, 내부 개발팀의 스킬 셋을 확장 업데이트할 계획을 함께 갖고 제품 도입을 검토 · 기업 내 보안 운영 기능을 효율화하기 위해 SOAR 솔루션을 보완하는 데 필요한 사용 사례를 준 비한다. 예를 들어, 경우에 따라 솔루션에 포함된 케이스 관리 서비스 대신 기존의 기업이 가진 티켓 시스템을 사용하는 것이 필요할 수도 있음 · SOAR 솔루션 구매는 대응 최적화, 위협 모니터링, 위협 조사 및 해결, 위협 인텔리전스 관리, 피싱 이메일에 응답, 잘못 구성된 클라우드 보안 구성 수정과 같은 기존 프로세스를 이해한 후 시행 · 직관적인 UI를 통해 도구가 자동화할 수 있는 조직의 기존 플레이북을 쉽게 업데이트할 수 있는 기능을 제공(로우 코드/노 코드 모델 사용) · 조직의 보안 정책 및 개인 정보 보호 고려 사항 또는 조직의 클라우드 우선 이니셔티브를 수용할 수 있도록 클라우드, 온프레미스 또는 이들의 하이브리드에서 솔루션의 베포 및 호스팅에 유연성을 제공 <자료 출처 : 한국인터넷 진흥원 KISA Library 김영욱 / Senior Program Manager, SAP FRANCE> |