“쉽게 사용할 수 있는 SOAR 필요하다”
상태바
“쉽게 사용할 수 있는 SOAR 필요하다”
  • 김선애 기자
  • 승인 2020.05.20 08:53
  • 댓글 0
이 기사를 공유합니다
심플리파이 ‘SOAR 도입 전 고려해야 할 10가지’ 발표
기 구축·향후 도입될 솔루션과의 긴밀한 통합 필요
분석가가 쉽게 사용할 수 있는 플레이북 정의·작성 가능해야

[데이터넷] 코로나19 상황을 이용하는 APT 공격이 한층 더 교묘해지면서 더 정교한 위협 탐지·대응 역량이 시급히 요구되고 있다. 이러한 요구를 충족할 수 있는 새로운 보안운영센터(SOC)가 요구되면서 보안 오케스트레이션, 자동화 및 대응(SOAR) 플랫폼에 대한 관심도 높아지고 있다.

SOAR는 SOC 운영을 효율화하고 보안 시스템이 제 역할을 할 수 있도록 지원하며 더 빠르고 정확하게 위협에 대응할 수 있도록 도와주는 SOC 플랫폼이다. 그러나 충분한 준비 없이 도입하면 SOAR의 도입 효과를 누릴 수 없어 SOC의 어려움을 한층 가중시킬 수 있다.

SOAR 전문기업 심플리파이(Siemplify)는 ‘SOAR 도입 전 고려해야 할 10가지’ 백서를 통해 SOAR 도입 전 반드시 검토해야 할 점을 안내했다. 백서에서 안내한 자세한 내용은 다음과 같다.

SOAR 플랫폼과 보안 솔루션의 통합

SOAR 솔루션은 이미 투자 한 대부분의 보안·IT 도구에 즉시 사용 가능한 연결을 제공해야한다. SOAR 공급 업체는 새로운 기술 또는 사용자 정의 기술에 대한 통합을 신속하게 개발할 수있는 프로세스를 갖춰야한다.

플레이 북 제작·사용자 지정

플레이 북은 프로세스 일관성과 예측 가능성을 만든다. SOAR 솔루션을 사용하면 엔지니어뿐만 아니라 모든 수준의 분석가가 코딩 능력이 필요하지 않은 사용하기 쉬운 플레이 북 빌더를 사용해 표준 플레이 북을 사용자 정의하고 새로운 플레이 북을 쉽게 작성할 수 있다.

플레이 북 중단 시 사례조사

일부 사례는 플레이 북을 사용해 완전히 자동화 될 수 있지만, 사소하지 않은 경우에는 일반적으로 플레이 북이 실행 된 후 숙련 된 분석가의 조사가 필요하다. SOAR 솔루션은 분석가가 더 나은 조치를 취하고 체류 시간을 줄이며 전반적인 보안을 향상시킬 수 있도록 명확하고 사용하기 쉬운 통찰력과 시각적 대화식 이벤트를 제공해야한다.

SOC 워크플로우와 협업 지원

대부분의 SOC는 연중 무휴 운영되며, 분석가들 사이의 원활한 전환 및 의사 소통을 통해 효과적으로 사례를 처리해야한다. SOAR 플랫폼은 협업을 간소화하고 원활한 핸드 오프 및 에스컬레이션을 촉진하며 SOC 관리에 필요한 가시성을 제공해 일상적인 활동에 대한 탭을 유지해야한다.

SOC 성능 추적·측정·개선에 도움

보고는 KPI가 잘 정의 된 경우에도 대부분의 SOC에서 시간이 많이 소요되는 연습이다. 보안 운영 팀은 실시간으로 성능을 추적해 사고 감지 및 대응 효과를 이해하고 지속적인 개선 계획을 수립해야한다.

SOAR 솔루션에 사용자 정의 가능한 KPI 대시 보드와 다양한 이해 당사자에 맞게 조정할 수있는 단순하고 자동화 된보고 기능이 있는지 확인해야 한다.

분석가 작업 관리 지원

보안 운영 팀은 더 힘들지 않고 더 똑똑하게 일해야 한다. SOAR 플랫폼은 사례 부하를 줄이기 위해 경보를 상호 연관시키고 통합해야 할뿐만 아니라 중요도를 기준으로 사례의 우선 순위를 명확하게 지정하고 과거 분석가 성과를 기반으로 사례를 할당하며 분석가가 업무를 관리하는 데 사용하는 허브 역할을 수행해야한다.

플랫폼 그룹의 경보 관리

경고 과부하는 오늘날 모든 SOC 팀이 직면 한 가장 큰 과제다. 이상적인 SOAR 플랫폼은 여러 도구의 관련 경고를 서로 연관시키고 결합해 오탐지를 최소화하고 분석가가 적은 노력으로 전체적으로 위협을 해결할 수 있어야한다.

상황인지·가시성 제공

가시성과 컨텍스트는 분석가가 위협에 대해 효과적으로 이해하고 조치를 취하는 데 중요하다. 영향을받는 엔터티 간의 관계를 명확하게 보여주는 SOAR 솔루션을 통해 SOC 분석가는 이벤트를 명확하게 파악하고 신속하게 결정적인 조치를 취할 수 있다.

플랫폼서 시뮬레이션 실행

플레이북이 모든 공격 사례를 정확하게 규정하지 않는다. 분석가는 플레이북이 제대로 정리돼 있는지 확인하기 위해 위해 테스트하고 개선하고 싶을 것이다. SOAR 솔루션을 사용하면 경보를 시뮬레이션하고 플레이 북을 테스트해 사고 대응 프로세스를 지속적으로 개선 할 수 있다.

가격 모델 예측성

가격 책정 모델은 플랫폼 내에서 수행되는 작업 또는 자동화의 수에 따라 일부 솔루션에 따라 달라진다. 조직이 연간 지출을 효과적으로 이해하고 관리 할 수있는 분석가 또는 좌석 당 가격이있는 솔루션이 권고된다.

Tag
#심플리파이 #SOAR
저작권자 © 데이터넷 무단전재 및 재배포 금지
김선애 기자
김선애 기자 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사