[차세대 보안 비전 2018] 비즈니스 연계된 위협 탐지로 실제 공격 차단
상태바
[차세대 보안 비전 2018] 비즈니스 연계된 위협 탐지로 실제 공격 차단
  • 데이터넷
  • 승인 2018.03.08 13:40
  • 댓글 0
이 기사를 공유합니다

델EMC RSA, 엔드포인트·로그·패킷 심층분석으로 표적공격 탐지…수 분 내에 공격 전체 범위 파악

“차세대 SIEM은 알려진/알려지지 않은 위협 정보와 비즈니스를 연결해 비즈니스에 피해를 입히기 전에 공격을 탐지하고 차단할 수 있도록 하며, 유관 부서와 공유하고 협업해 대응할 수 있어야 한다.”

조남용 한국델EMC RSA 보안사업본부 이사는 이같이 말하며 “차세대 SIEM은 엔드포인트부터 네트워크, 로그, 패킷 등 모든 IT 시스템을 포괄하는 가시성을 확보해야 하고, 실제 위협을 탐지할 수 있어야 한다”고 덧붙였다.

SIEM는 IT 시스템 로그를 분석해 경계보안 솔루션이 탐지하지 못한 위협을 찾아내는 시스템으로 각광받아왔지만, 로그분석에만 국한돼 있어 전체적인 공격을 파악하지 못하고 제한적인 탐지만을 제공하며, 분석과 사고대응이 미흡하다. 그리고 실제로 99%의 공격은 로그를 통해 발견되지 않아 침해사고 탐지에도 많은 한계를 보여 왔다.

조남용 이사는 8일 열린 ‘차세대 보안비전’에서 B트랙 첫번째 세션 ‘차세대 SIEM 발전방향’ 발표를 통해 차세대 SIEM이 갖춰야 할 필수 조건으로 모든 프로세스와 네트워크 세션, 엔드포인트에 대한 가시성을 확보해 공격기회를 제거해야 한다는 점을 강조했다.

엔드포인트부터 클라우드까지 위협 탐지·대응

차세대 SIEM은 새로운 표적공격과 알려지지 않은 위협을 탐지하기 위해 실시간 연관성 분석과 데이터 사이언스, 머신러닝 기술을 접목하는 추세에 있으며, 보안팀의 능력을 향상시키고 조사속도를 높이기 위해 실제 발생한 사건을 빠르게 재현할 수 있다. 또한 위협 데이터와 정황정보를 연계해 수 분 내에 공격 전체 범위를 파악하고 대응할 수 있다.

차세대 SIEM의 요건을 모두 만족시키는 RSA의 ‘넷위트니스’는 엔드포인트부터 클라우드에 이르기까지 전반의 위협을 탐지하고 대응을 가속화한다. 보안분석 인력과 사고대응 인력의 능력을 배가시키고, 비즈니스 드리븐 보안 전략으로 합리적인 대응 우선순위를 지정할 수 있다.

넷위트니스는 로그, 패킷, 넷플로우, 엔드포인트에 대한 통합 뷰를 제공해 공격의 모든 과정을 춱하고 가시성을 제공한다. 실시간 파싱과 정교한 IOC를 제공하는 한편, 비즈니스 정보와 연계해 실제 비즈니스에 피해를 입힐 수 있는 중요한 위협에 먼저 대응할 수 있도록 도와준다.

넷위트니스는 1990년대부터 네트워크 포렌식 기술을 제공해 온 전용 솔루션으로, 업계에서 가장 높은 수준의 포렌식 분석을 보장한다. 더불어 엔드포인트 행위기반 탐지 기술을 연계해 네트워크와 로그 분석을 보완할 수 있다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.