[데이터넷] 증가하는 사이버 위협에 대한 효과적인 전투방법을 제공하는 새로운 보안 솔루션이 관심을 받고 있다. 그 중 하나가 SOAR(Security Orchestration, Automation and Response)다. SOAR는 다양한 보안 도구과 시스템이 협업을 통해 향상된 결과를 얻을 수 있도록 디자인됐다. 이를 통해 위협에 대한 신속한 대응을 가져올 수 있으며, 보안운영센터(SOC)의 효율성을 증대시킬 수 있다.
SOC에서 SOAR를 통해 최적화된 성능을 이끌어내기 위해서는 컨텍스트 데이터 접근이 필수다. 인포블록스는 DDI(DNS, DHCP, IPAM) 솔루션을 통해 모든 네트워크에서 필수적인 컨텍스트 데이터와 가시성을 제공할 수 있다. SOAR가 등장하게 된 배경을 간략하게 정리하면 다음과 같다.
∙ 보안 장비 및 경고의 홍수: 대다수의 기업과 조직은 수많은 네트워크와 보안 장비을 관리하고 있다. 기업의 보안팀은 이러한 인프라에서 매일 발생하는 엄청난 경고 메시지에 대응해야 한다. 또한 관리 주체가 다른 각각의 사일로로 통칭되는 솔루션을 매뉴얼대로 구분해 접근해야 하므로 대응 시간이 늦어질 수 밖에 없다.
∙ 상호 운영 및 연동의 결여: 오늘날 거대하게 쌓여져 있는 보안 도구는 종종 서로 연동이 안되는 경우가 많다. 이것은 가시성, 민첩성 등 보안 운영의 효율성을 제한하고 있다.
이종 보안 도구 통합 위해 SOAR 등장
SOAR는 2017년 가트너를 통해 처음 소개됐다. 가트너는 ▲종류가 다른 여러 보안 도구와 연동 ▲보안 작업 및 사고 대응의 자동화 ▲SOC의 효율성을 올리기 위한 리포트 및 대시보드를 통합하는 것이 SOAR의 중요 기능이라고 소개했다.
SOAR의 중요한 세 가지 기술은 다음과 같다.
∙ 보안사고 대응: 보안 사고에 대해 어떻게 계획하고 관리하고, 추적하고, 조화롭게 조정해 대응할 수 있는 기술
∙ 위협 및 취약점 관리: 취약점에 대한 조치 및 작업, 리포팅, 협업 도구 을 형상화 하는 기술
∙ 보안운영 자동화 및 오케스트레이션: 작업, 프로세스, 정책 실행 및 리포팅 을 자동화 및 오케스트레이션 할 수 있는 기술
SOAR을 통해 보안팀은 다음과 같은 세 가지 업무상의 장점을 가질 수 있다.
∙ 운영활동에 대해 우선순위 구분: SOAR은 서로 다른 보안 도구와 써드 파티 위협 피드 및 IT 데이터 통합이 가능하며, 보안 이벤트의 가시성을 높여 위협 대응 중요도를 구분해 대응할 수 있다.
∙ 우선순위 및 위협 대응 형상화: 최선의 사례을 기반으로 빠르게 보안 사고를 리뷰하고 평가하며 격리 치료 조치 할 수 있다. 또한 과다한 작업과 부족한 자원의 사이버 보안 작업 환경에서도 빠르게 위협에 대응하고 문제를 해결 할 수 있다.
∙ 작업 프로세스 자동화: 시간이 많이 걸리고 평범한 행위를 자동화해 SOC 엔지니어가 위협 헌팅과 같은 더 높은 수준의 위협 분석에 집중하게 한다.
인포블록스와 함께 강력해지는 SOAR 솔루션
SOAR 기술은 사이버 보안 영역에서 가장 빠르게 발전하는 분야다. 그러나 이 기술을 완전하게 적용하려면 SOAR에서 컨텍스트 데이터에 대한 접근이 필요하다. 인포블록스 DDI를 통해 컨텍스트 데이터와 가시성을 확보할 수 있다.
일반적인 네트워크 토폴리지 상에서나 클라우드, IoT 혹은 최신 유행하는 SD-WAN까지 모든 네트워크 기술은 연결 혹은 접속을 가능하게 한다. 추가로 모든 연결은 장치 타입, 네트워크 위치, 소유자, 접속했거나 방문했던 내·외부의 목적지를 포함한 감사기록 등 디바이스 레벨의 독특하고 유일한 정보를 가지고 있다. 인포블록스와 SOAR은 공동 개발된 데이터 셋과 풍부한 벤더 API을 통해 연동하며, 이러한 접속 데이터 레이어를 실시간으로 모든 보안 도구이 자동으로 사용할 수 있도록 한다.
보안팀은 인포블록스와 함께 SOAR 기술을 향상 시킬 수 있다. 사일로를 제거하고 자동화 및 오케스트레이션을 구축하며, 써드파티, 멀티 벤더 장비를 포함한 전반적인 보안 스택의 ROI를 증가시킨다. 인포블록스는 향상된 자동화와 보안 이벤트 정보의 양방향 데이터 공유 두 가지의 결합을 통해 위협 대응에 대한 비용을 절감시킨다.
인포블록스는 중요한 장치와 보안 이벤트 정보를 SOAR로 자동으로 실시간 제공한다. 인포블록스가 IP 주소와 네트워크 장치, 악성 이벤트 정보를 제공하면 SOAR 플랫폼은 해당 데이터를 이용해 도메인 주소를 차단·해제할 수 있으며 IP, 호스트, 네트워크, 도메인 정보를 체크해 다른 보안 도구에서 해당 정보와 연계해 보다 풍부한 분석을 할 수 있다.
- 다양한 보안 도구를 서로 조정해 모든 장치에 대해 벤더 중립적인 위협 인텔리전스를 제공 한다.
- 위협에 대해 우선순위 구분 위한 컨텍스트 획득해 사용한다
- 완전한 위협 인텔리전스 API 세트와 함께 네트워크 및 악성 이벤트에 대해 더욱 빠른 자동화 및 대응이 가능하다.
- 보안 생태계(Security Eco-System) 전반의 효과성 및 효율성을 증대 시킨다.
지난 8월 라스베이거스에서 열린 ‘블랙햇2019’에서 수많은 새로운 보안 솔루션이 등장했다. 현재 보안 시장에는 4000개 이상 벤더가 경쟁하고 있다. 보안은 하나의 장비나 솔루션이 전담할 수 없는 생태계로 진화하고 있다. SOAR은 여러 보안 솔루션을 자동화하고 연계하며 보안 위협에 대응하는 효과적인 방법을 제시한다.
인포블록스는 다양한 환경의 네트워크 코어 영역에 위치한 솔루션으로 접속을 위한 기초적인 컨텍스트 정보와 양질의 위협 인텔리전스 정보를 통해 보안 생태계를 보다 강력하게 만드는데 기여하고 있다.
글: 심재민 인포블록스코리아 지사장
