‘정중동’ SIEM…세대교체 시작됐다
상태바
‘정중동’ SIEM…세대교체 시작됐다
  • 김선애 기자
  • 승인 2021.07.21 10:07
  • 댓글 0
이 기사를 공유합니다

가트너 ‘SIEM MQ 2021’…IBM‧스플렁크 다소 밀리고 엑사빔 급등
포티넷‧MS, 비저너리 기업 선정…차세대 SIEM, 클라우드‧위협 탐지 및 대응 기술 요구돼

[데이터넷] SIEM 시장의 현재는 ‘정중동(靜中動)’이라고 있다. 코로나19 클라우드 도입이 활발해지면서 이를 지원하는 SIEM 수요가 급증할 것으로 예상했으나 시장은 예상만큼 성장을 보이지 못했다. 그러나 전통적인 강자가 물러나고 새로운 강자가 등장하는 본격적인 세대교체가 진행되고 있으며, XDRSOAR 새로운 기술과 결합되면서 진화하고 있다.

가트너의보안 정보 이벤트 관리(SIEM) 위한 매직 쿼드런트 2021’ 따르면 SIEM 시장은 2019 355000 달러에서 2020 358000 달러로 소폭 성장하는데 그쳤다. 그러나 시장의 리더 그룹의 위치를 살펴보면 의미있는 자리 이동이 있었다는 것을 있다. 2020 리더 그룹의 가장 앞선 위치에 스플렁크와 IBM 있었는데, 2021 보고서에서는 리더 그룹 이지만 비전 완성도에서 밀려난 위치에 놓였다.

엑사빔이 실행력 측면에서 상당한 평가를 받아 가장 높은 위치에 자리했으며, 2020 틈새시장에 있던 포티넷과 2019 11 ‘애저 센티넬 발표한 마이크로소프트가 비저너리 그룹에 새롭게 진입하면서 존재감을 과시했다.

▲ 가트너 ‘보안 정보 및 이벤트 관리를 위한 매직 쿼드런트 2021’
▲ 가트너 ‘보안 정보 및 이벤트 관리를 위한 매직 쿼드런트 2021’

통합자동화, SIEM 필수 기능

포티넷은포티SIEM’, ‘포티SOAR’, ’포티 어낼라이저 포티넷 보안 제품군이 시큐리티 패브릭을 통해 긴밀하게 통합된다는 점이 강점이다. 이를 통해 복잡한 위협 탐지대응을 자동화단순화 있으며, 단일 벤더에서 지능적인 위협에 효과적으로 대응할 있다.

포티SIEM’에는포티인사이트 AI’ 엔진과엔드포인트 텔레메트리 콜렉터 내장돼 있어 강력한 사용자 엔티티 행위 분석(UEBA) 구현할 있다. 또한 보안 팀이 빠르게 변화하는 보안의 다양성, 성능 규정 준수 요구사항을 보다 효과적으로 관리할 있도록 중앙 집중적인 가시성을 제공한다. 또한, 네트워크운영센터(NOC) 보안운영센터(SOC) 분석을 실시간으로 상호 연관시키는 특허 받은 업계 최고의 위협 탐지 기능을 제공하며, 이를 통해 보안 팀은 보안 환경을 보다 전체적인 시각에서 이해할 있다.

분리된 네트워크 세그먼트와 가상 논리적 환경에 대한 리포팅을 통해 멀티테넌트 아키텍처를 지원한다. 모든 기능을 통합 콘솔을 통해 관리하고 모니터링함으로써 위협을 탐지하는데 걸리는 시간을 단축한다. 또한, 고확장성 설계를 통해 기업들이 업무 중단 없이 지속적으로 증가하는 로그 이벤트 데이터를 원활히 처리할 있도록 보장한다.

FortiSIEM 엔드포인트, 액세스 계층, 애플리케이션, 네트워크, 데이터센터 클라우드에 대한 보안 모니터링 관리를 단일 협업 보안 솔루션으로 통합하여 포티넷 보안 패브릭) 보안 인텔리전스 계층으로서의 역할을 수행한다. 이를 통해 가장 까다로운 SOC 환경에서도 어댑티브(adaptive) 가시성, 제어 분석을 제공한다.

마이크로소프트의애저 센티넬 클라우드 네이티브 SIEM으로, 조직 전체에 걸쳐 클라우드 규모로 데이터를 수집하고 상관관계 분석해 보안 분석과 대응의 효율성을 높인다. 마이크로소프트 디펜더, 애저 디펜더 마이크로소프트와 애저에서 제공하는 보안 기술과 클라우드에서 통합돼 중앙집중화자동화된 운영이 가능하다. 클라우드로 섹옵스(SecOps) 이전하게 보안 팀이 민첩하게 위협에 대응할 있도록 지원한다.

애저 센티넬 다양한 ITSM‧클라우드를 포함한 50개 이상 커넥터를 지원해 모든 보안 자산과 플랫폼‧클라우드 전반에서 가시성을 확보할 수 있도록 하며, 더 많은 사용사례와 플레이북 등을 하나의 패키지로 배포할 수 있어 보안팀의 업무를 더 효과적으로 진행할 수 있게 한다.

클라우드 SIEM 수요 증가

한편 보고서에서는 SIEM 시장의 변화에 대해작지만 빠르게 증가하는 고객 기반을 가진 벤더가 시장 수익의 상당부분을 차지하고 있으며, 서비스로 제공되는 클라우드 기반 SIEM 대한 관심이 높다 분석했다.

그러면서 SIEM 시장이 성장하기 위해서는 표적공격과 침해를 효과적으로 탐지하고 대응하는 기술이 필요하다고 설명했다. 이에 SIEM 벤더들은 위협 인텔리전스, 행동 프로파일링과 분석 기술, IaaS 환경과 워크로드, SaaS 애플리케이션 모니터링을 추가하면서 성숙도를 높이고 있다. 더불어 다양한 사용 사례와 많은 이벤트 소스, EDRNDRSOAR 보완기술과 통합해 분산 환경에서 빠르게 위협에 대응할 있도록 지원하고 있다.

SIEM의 확장성이 떨어지는 요인 중 하나가 실시간 경고를 모니터링하고 분석할 전문가와 전문지식이 부족하다는 것이다. 그래서 SIEM 벤더들은 SaaS로 SIEM을 배포해 고객이 직접 플랫폼을 관리‧운영하지 않아도 되도록 하고 있으며, 관리형 서비스도 제안해 보안 분석가가 충분하지 않은 조직도 SIEM을 운영할 수 있도록 하고 있다는 점도 특징이다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.