통합 보안

SIEM 시스템은 빅데이터 처리 기술 기반으로 식별할 수 있는 범위내 로그를 수집, 저장하고 이에 대한 상관관계 분석을 통해 정보보호 측면에서 포괄적 방어체계를 제공한다.  기업 네트워크 내 다양한 소스에서 정보보호 관련 이벤트를 수집해 분석에 적합한 형태로 가공, 보관한다. 이렇게 보관된 이벤트는 사고 조사를 위한 포렌식 분석이나 보안 관리를 위한 이벤트 간 상관분석에 이용된다.

 

SIEM을 이용한 다양한 정보보호 활동이 가능하여 각종 보안 솔루션을 통합해 ISO 27001이나 NIST SP 53의 통제항목의 30% 정도를 자동화할 수 있으며 그 과정에서 위 그림과 같이 SIEM을 이용할 수 있다.

 

SOAR

다양한 보안 솔루션의 로그를 수집해 분석하는 SIEM은 엄청난 작업량을 요구하기 때문에, 이를 해결하기 위해 최근 SOAR 개념이 소개되었다. 

 

FireEye의 SOAR 정의

"수집된 모든 로그 및 이벤트를 바탕으로 위협 인텔리전스와 능동적 탐지를 통해 침해 정보와 영향도를 도출하고 이를 개선하기 위한 시스템 변경을 자동화 할 수 있게 하는 플랫폼"

 

대부분의 기업이 사이버 보안 목표를 이루지 못하는 이유를 기술이나 도구가 아닌 정책과 사람이라고 판단한다. 이에 금전적/정책적 효율성 측면에서 고도화된 통합보안 관제인 SOAR이 해결책이 될 수 있다. 또한 FireEye에서 소개한 기존 통합보안관제의 문제점들을 아래와 같이 정리하였다.

 

기존 통합보안관제의 문제점

구분	내용
가시성 부족	침해사실을 발견하기까지 172일 소요
쏟아지는 경보	매일 10,000여견의 보안 경보 발생
전문인력 부족	2020년까지의 보안전문 일자리 150만 공석
상황정보 부재	침해발견 후 대응하기까지 32일 소요
너무 많은 솔루션	기업당 85개의 보안 솔루션 도입

 

SOAR의 보안 대응 영역

보안대응 영역	내용
SOA	(Security Orchestration and Automation) - SOAR의 핵심기능으로 단조롭고 반복적인 프로세스를 자동화시크는 영역임 - 다양한 이기종의 솔루션을 연동하여 전체 대응 프로세스의 효율성이 증대함
SIR	(Security Incident Response) - 보안 사고의 유형별로 보안 사고 대응 정책에 의해 미리 정해진 절차(Playbooks)를 관리하는 영역임 - 사고를 상황에 맞게 파악하고 정해진 절차에 따라 업무를 수행함으로서 사고 감지 및 대응을 가속화함
TIP	(Threat Intelligence Platforms) - 다양한 유형의 위협 데이터를 실시간으로 수집 및 상관 분석하는 영역임 - 위협 데이터를 활용한 추론 및 정오탐 분석 자동화로 분석가의 의사 결정에 도움을 주어 업무 효율을 높임