“보안, 문제 대응에 초점을 맞춘다” – SOAR의 효과와 도입 선택 기준

전세계 3,600명 이상의 보안 및 IT 전문의를 대상으로 포네몬 연구소와 IBM이 연구한 ‘2019년 기업 사이버공격 대응 실태’ 보고서에 따르면, 조직 한가운데 절반 이상이 사이버보안 문제에 적절하게 대응할 수 있는 역량을 갖추지 못한 것으로 밝혀졌다. 조직의 57퍼.센트는 사이버 공격을 확인하고 대응하기까지 걸리는 시간이 증가하고 있다고 응답했으며 60퍼.센트가 넘는 조직이 보안문제의 피해와 심각성이 점점 더 커지고 있다고 우려했읍니다.​조직에서 문제 대응이 제대로 이뤄지지 이유는 어느일까? 우선, 조직의 77퍼.센트가 보안 전문의를 고용하고 유지하는데 어려움을 겪고 있다는 점, 지속적으로 계속 증가하는 공격 빈도와 위험성 및 복잡해지는 SOC 운영 환경 등을 들 수 있다. ​일반적으로 사이버보안의 프레임은 크게 (Prevention), 탐지(Detection), 대응(Response)으로 본인눌 수 있다. 보안 위협을 사전에 예방하고 탐지하는 노력만으로는 위협으로부터 친국어날 수 없음을 인지하면서 등장한 것이 바로 보안 운영 자동화 대응(Security Orchestration, Automation and Response, SOAR)이었다

>

SOAR는 보안 오케스트레이션 및 자동화(Security Orchestration and Automation, SOA), 보안 사고 대응 (Security Incident Response Platform, SIRP), 위협 인텔리전스 (Threat Intelligence Platform, TIP)의 세 가지 보안 대응 영역을 제공합니다. 가트형씨는 2020년까지 5명 이상의 보안 전문가를 보유한 보안 조직 복판 15%가 SOAR를 채택할 것으로 예측했습니다. ​IBM의 리질리언트 SOAR (Resilient SOAR Platform)은 가트형씨의 SOAR 핵심 요소 3가지를 모두 갖춰 SOC에서 특정 이벤트가 사이버보안 사고가 확인되면 정확하고 빠르게 처리, 대응할 수 있는 환경을 제공합니다. 리질리언트 SOAR 플랫폼의 오케스트레이션 기능은 차후과 같다.

– 동적 플레이북(Dynamic playbooks): 복잡한 공격에 대응하는 데 필요한 민첩성과 정교함을 재공합니다. 동적 플레이북은 문제 귀취을 실시간으로 자동 대응하고 분석가가 문제를 접하기 전에 반복적인 초기 단계가 완료되도록 합니다.- 때때로적 워크플로우(Visual workflows): 복잡 다난한 워크플로우를 때때로적으로 보여줌으로써 분석가가 문제 대응을 잘 조율할 수 있도록 도와준다.- 문제 때때로화(Incident visualization): 조직 환경에서 생성한 보안 이벤트(문제) 사이의 관계 역시는 IoC(Indicators of Compromise) 등을 때때로적으로 표시합니다.- 타이머(Timers): 팀이 시기 적절한 대응을 보장하고 병목 현상을 식별하며 SLA를 준수 할 수 있도록 워크플로우에서 시간 기반의 규칙을 적용합니다.- 아티팩트 워크플로우(Artifact workflows): 툴 간 자동화 워크플로우를 구현하는 동시에 사람 가운데의 작업 및 승인을 허용합니다.- 작업 및 스크립트(Tasks and scripts): 워크플로우에서 스크립팅 기능을 추가해 플랫폼 내 자동화를 가능케 합니다.

>

SOAR에서 가장 중요한 요소는 자동화다. 하지만 가트자네에 따르면, 자동화는 오케스트레이션의 일부분이며 같은 의미로 사용될 수는 없다. SOAR 도입의 가장 큰 효과는 사람, 기술, 프로세스를 1쁘지않아로 만드는 것이었다 이를 통해 조직은 개인 직원에 대한 의존도를 낮추고 보안 기술 과제 측면에서 가장 중요한 신입 분석가를 교육하는 데 필요한 시간을 단축해 실무 처리에 대한 일관성을 높일 수 있다. 플레이북을 통해 직원 자신이 어 떤 업무 프로세스를 거쳐야 하는지 리질리언트 시스템을 통해 확인할 수 있으며, 사고 대응 업무 프로세스를 발생 활 때 컴플라이언스에 준하게 업무 프로세스를 발생했습­니다면, 대응업무 역시 규정에 위배되지 않고 자연스럽게 컴플라이언스를 준어느면서 업무를 처리할 수 있게 된다. 역시 SOAR를 통해 관리자는 조직 내 모두 보안 사고에 대한 과거/현재 사고 대응 현황을 빠르게 파악할 수 있다. ​SOAR를 도입하기 전에 조직은 기본적인 사고 대응 프로세스가 정의되어야 하며, 정의된 업무 프로세스 한가운데 자동화시킬 수 있는 부분을 찾아야 합니다. 조직의 보안 전략은 사고가 발생합니다는 전제를 기반으로 수립해야 하며, 이런 이유로 SOAR의 도입은 필연적이었다 ​​—본 포스팅은 대한민국IDG에서 배포한 자료를 요약하여 작성되었읍니다. 자세한 스토리을 확인하고 싶으신 분께서는 아래 링크에서 원문 자료를 확인하실 수 있읍니다. ​원문 : “보안, 사고 대응에 초점을 맞춘다” – SOAR의 효과와 도입 선택 기준​