티스토리 뷰
보안 관제과 효과적인 대응을 위해 현장에서는 다양한 솔루션을 활용하고 있습니다.
그 중에서도 관제의 대표적인 오른팔 SIEM과 차세대 SOAR에 대해 알아보겠습니다.
보안관제의 가장 큰 어려움은 방대한 데이터입니다. 실제로 다양한 장비에서는 수 천만 건의 무한한 로그가 발생하고, 이 모든 로그를 보안담당자가 일일히 확인하고 위협 분석을 하는 것은 불가능한 일입니다. 이 이벤트 중에서도 "위협이벤트"로 분류되는 것들마저도 너무나 많고, 항상 그렇듯 시간은 없고 사람은 부족합니다.
이런 고질적인 보안 관제의 문제를 해결하기 위해 새로운 장비와 솔루션을 통해 효과적으로 데이터를 분석하려는 시도가 계속되고 있습니다.
그 중에서도 SIEM과 SOAR는 공통적으로 여러 이기종간의 보안 장비에서 대량의 데이터를 수집하여 분석하는 솔루션입니다.
SIEM Security Information & Event Management
다양한 보안 장비에서 대용량의 실시간 보안 경고 및 로그 데이터를 수집하고 분석하는 통합 솔루션입니다.
로그 수집, 분류, 분석을 통해 대시보드를 구성하며, 보안 전문가는 이 대시보드를 참고해 실시간으로 보안 정보 및 이벤트에 대한 상세 분석을 진행할 수 있습니다.
최근에는 기존 SIEM과 EDR(엔드포인트 탐지 및 대응 솔루션)을 보완하고 모든 보안 계층을 '통합'하는 XDR(eXtended Detection & Response)이 새로운 보안솔루션의 진화형으로 주목받고 있습니다.
SOAR Security Orchestration, Automation & Response
SIEM이 수집한 결과에 대해 대응을 포함한 솔루션입니다. 대응과 운영 프로세스 기능이 조금 더 확장된 SIEM의 일종이라고 생각하면 쉽습니다. 24시간 위협 분석 대응을 자동화하여 "보안의 복잡성을 푸는 열쇠"로 차세대 보안 관제 시스템으로도 불립니다.
플레이북을 기반으로 탐지된 이벤트에 대한 위협 우선순위를 정하고, 레벨을 분류해 대응 절차를 자동으로 진행합니다.
SOAR는 SIEM과 상호보완적인 관계로, 유기적 연동을 구축하는 것이 가장 이상적입니다. SIEM으로부터 탐지된 이벤트에 대한 대응체계를 SOAR가 갖고 있고, 이를 기반으로 운영을 자동화하기 때문입니다.
| SIEM | 대용량의 데이터 수집, 위협 탐지(대시보드), 기업 전반에 걸쳐 대량의 로그 데이터를 종합 수집, 분석 |
| SOAR | SIEM이 탐지한 데이터를 일련의 절차를 통해 대응 |
SOAR는 확실한 장점이 있습니다. 대응 절차를 자동화했기 때문에 적은 보안 인력이 근무하는 보안 조직도 보안 역량을 쉽게 높일 수 있다는 것입니다. 소규모 조직 보안 대응 속도를 보완할 수 있는 기술이지만, 현실의 벽은 생각보다 높습니다. 실제 SOAR를 기존의 시스템에 도입하는 것이 굉장히 어렵기 때문입니다.
여타 장비나 솔루션처럼 소프트웨어를 제공하거나 단순 판매로 그치는 것이 아니고, 해당 사이트에 적합한지 현장에서 기존 체계를 분석해야 하기 때문입니다. 보안 관제와 대응 프로세스 자체를 바꾸는 것이기 때문에, 현장마다 다양한 제약사항에 대해 충분히 고려해야 합니다.
게다가 플레이북의 제작 난이도도 높습니다. 기존의 수동 체계를 단순히 옮기는 것은 오히려 혼란을 가중시키고 효과적이지 않을 수 있습니다. 그렇기에 관제 경험이 있고 전문성 있는 컨설팅을 통해 조직에 맞는 플레이북 제작과 도입이 중요합니다.
기존 시스템의 성능 저하나 장애를 초래하지 않으면서 모든 범위를 커버할 수 있는 통합 보안 솔루션 올리기 .. 어렵네요. 그래서 더 보안 제품은 유연성이 중요해지는 것 같습니다. 생성형 AI 같은 최신 기술의 위협 분석에만 그치지 않고 적극적으로 활용해 앞으로 많은 문제를 해결할 수 있도록 ! 노력해야겠습니다 !
출처
- Ahnlab ISF 2023 https://youtu.be/W7Q_gAkZjnY?si=5rg0eWoa6dZ5cjoh
- IGLOO Solution Guide
SIEM, AI, SOAR 구축부터 운영까지
01. SOC 운영의 트렌드 SOC 운영을 위해 필수 구성 요소는 전문적인 보안 관제 시스템과 이를 운영할 수 있는 전문 인력과 프로세스로 볼 수 있다. 국내에서도 SOC 센터가 본격적으로 도입된 지 20년
www.igloo.co.kr
'Security' 카테고리의 다른 글
| Stateful/Stateless 방화벽 이해하기 (0) | 2024.01.29 |
|---|
- Total
- Today
- Yesterday
- aws cli
- kubernetes
- k8s
- VPC
- Route53 비용 정책
- github
- vsphere
- 클라우드 DNS 서비스
- 에티버스러닝
- Azure DNS
- Window Server Manager
- Route53
- ycampus
- rocky9
- kubectl
- Local Zones
- EKS
- IAM
- Linux
- VM Tools
- Ansible
- Docker
- Windows Server
- IAC
- redhat
- Vmware
- RECA
- Git
- AWS
- Google Cloud DNS
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |