새로운 공격 급증하며 SOAR 도입 요구 높아져
코로나19로 원격·재택근무가 늘어나며 클라우드 전환 가속화 등과 같은 현상이 발생하고 있다. 이전과 다른 양상의 보안 이벤트가 대량으로 발생하게 되었고 기존 보안 방어 체계(인력, 시스템)로는 제대로 된 대응이 어려운 상황이다. 이로 인해 최근 ‘SOAR(Security Orchestration, Automation Response)’에 대한 관심이 더 높아지고 있다.
SOAR는 보안 시스템이 제 역할을 할 수 있도록 지원하여 ‘보안관제센터, SOC(Security Operation Center)’ 운영을 효율화 할 뿐만 아니라, 다양한 보안 위협에 대한 대응 프로세스를 자동화한다. 낮은 수준의 보안 이벤트는 사람의 도움 없이 처리하고, 보안 사고가 발생한 경우 표준화된 업무 프로세스에 따라 쉽고 더 빠르고 정확하게 대응할 수 있도록 도와주는 SOC 플랫폼이다.
<SOAR 구성>
SOAR는 여러가지 강점이 있는 플랫폼이지만, 충분한 준비 없이 도입할 경우 충분한 효과는 누리지 못하고 SOC의 어려움을 한층 가중시킬 수 있다.
SOAR 도입 전 두 가지 준비 사항
우선 기본적인 사고 대응 프로세스가 정의되어야 한다. 보안 사고 발생시 어떤 방식으로 진행할 것인지 미리 정리가 되어야 한다는 것이다. 예를 들어, SOC가 랜섬웨어의 감염을 탐지했을 때나 SQL 인젝션 공격을 탐지했을 때, 어떤 조치를 취하고 대응할 것인지 사전에 업무 프로세스를 수립해야 한다.
두 번째는 정의된 업무 프로세스 가운데 자동화 시킬 수 있는 부분을 찾아야 한다. 보안 사고가 발생하면 사전에 정의한 업무 프로세스에 맞춰 이행하게 되는데, 이 가운데 특정 보안 솔루션과 연계하는 작업이 있을 것이다. 예를 들어, 샌드박스(Sandbox)를 통해 악성코드의 유입 여부를 확인하거나, 또는 LDAP(Lightweight Directory Access Protocol)에서 감염된 단말의 사용자가 누구인지 확인하거나, 관계자에게 이메일을 보내거나 등 여러가지 업무가 진행될 수 있다. 이때 업무 프로세스 성격에 따라 해당 업무를 사람이 할 지 혹은 툴간 자동화된 프로세스에 의해 진행할지 정해야 한다. 따라서, 해당 업무 중 자동화 기술이 적용될 부분을 확인해야 한다.
성공적인 SOAR 운영 핵심은 ‘Playbook’의 구현
앞서 설명한 SOAR 도입의 준비 사항이 곧 ‘Playbook’ 구현을 위해 필요한 준비 사항이다. Playbook은 공격 유형에 따른 대응 방안을 표준화한 일종의 매뉴얼인데, 실시간으로 탐지되는 공격을 정확하게 분류하고 적절한 대응이 이뤄지도록 자동화하는 과정이 필요하다. Playbook을 만들고 정의하는 것에 따라 SOAR 운영 효율성의 기준이 달라진다. 현재 보유 솔루션들의 목록이 포함되어 있으며, 명확하게 정의된 ‘워크 플로우, 다이어그램, 플로우 차트’를 보유한 조직은 SOAR 솔루션의 효율적인 운영 효과를 극대화할 가능성이 더 높다.
Playbook의 역할
보안관제 측면에서 Playbook은 위협 이벤트가 발생할 경우 이와 연계된 이벤트를 찾아 공격이 어떻게 진행되고 있는지 파악하고, 이전에 발생한 공격과의 유사성을 확인한다. 더하여, 공격이 어떤 목적으로 진행되고 있는지 분석한 후 대응 방안을 마련하여 각 조직과 시스템에 내려 보내는 일련의 절차를 표준화하는 것이다.
즉, 기본적으로 기존에 진행된 보안관제 업무를 정형화 및 프로세스화하여 정의할 수 있다. 단순 반복 업무와 의사결정이 필요한 업무 또는 공유해야 할 업무나 단계를 우선 정의하고 Playbook으로 구축한다. 그리고 공격 유형별 대응 방법을 플로우 차트로 정리하고, 카테고리 별로 분류 및 축적함으로써 자동화된 프로세스를 만들 수 있도록 한다.
|
[Playbook]
- 모든 사건 또는 위협에 성공적으로 대응하는 데 필요한 단계와 조치의 목록
- Playbook은 다른 Playbook을 호출하거나, 직렬/병렬 작동할 수 있고, 상황과 조건에 따라 워크플로우를 시작할 수 있음
|
<Playbook 예시– 악성코드 탐지>
출처 : IACD(iacdautomate.org/playbook-and-workflow-examples)
<Playbook, Workflows, Local Instance 개념도 - 취약점 조치 단계 사례로 개념 설명>
출처: IACD, Introduction to IACD Playbook
Playbook 구현을 위한 준비 사항
신뢰할 수 있는 업무 프로세스와 Activity별 상세명세서는 Playbook 구현에 필수적인 자료이다. Playbook을 구성하는 각각의 테스크가 어떤 흐름으로 연결되고, 또 어떤 작업을 수행하는지 테스크 간에 주고받은 데이터를 확인해야 한다. 또한, 테스크 수행에 필요한 분석 솔루션은 어떤 것이 있고, Playbook으로 자동화할 업무는 몇 가지인지 테스크 별 활동을 정리하여 상세명세서로 문서화한다. 추가적으로, 연동할 솔루션이 어떠한 인터페이스를 제공하는지 파악하고, 만일 특정 솔루션이 자동화하는 기능을 제공하지 않는다면 미리 방법을 마련해야 한다.
*업무분석 Checklist
1) 보안관제 업무 매뉴얼 준비
- 사고대응 업무 프로세스에 대한 정의, 업무 프로세스 수립
2) Activity에 대한 상세 명세서 작성
- 업무 정의, In/Output data, 연동 솔루션 등
3) Task 수행 시간 및 투입 리소스 확인
- SOAR 적용 대상 업무의 우선순위 판단 및 효과 검증
<activity 상세 명세서>
<인터페이스 체크리스트>
자동화 업무 선택과 적용
SOAR 도입의 목적이 ‘자동화’에 있지만, 모든 업무에 자동화를 적용하는 것은 불가능하다. 즉, 한번의 작업으로 만족할 만한 자동화를 이룰 수 없는 것이다. 따라서, 자동화 Risk에 대해서도 충분히 고려하여 워크플로우에 반영해야 한다.
지속적인 유지 관리를 위해서는 도입 후 운영 방안에 대한 충분한 준비가 필요하다. 기업의 업무 프로세스는 지속해서 변화하며, 그 변화에 따라 적용한 Playbook도 수정되어야 한다. 그리고 연계된 보안 장비의 기능 변경에 따라 API 수정 개발도 필요하다. 결론적으로, 발생하는 변동 사항을 반영하기 위해 주기적인 업데이트가 진행될 수 있는 프로세스를 갖춰야 한다.
<Playbook 적용 및 자동화 프로세스>
보안 사고 문제의 해결사, 보안관제&보안SI 전문 ‘ADT캡스・인포섹’
발견된 위협을 연계하여 업무 프로세스에 맞춰 자동화하는 것은 Playbook에 필수적인 작업이다. 이때, 시스템이 이벤트 종류에 적절한 처리 방법을 선택 및 매칭해야 일관된 프로세스로 작업을 처리할 수 있다. 작업자 역량에 따른 대응 품질의 편차를 줄일 수 있도록 자동화 기능을 제공하는 Playbook을 설계해야 한다는 것이다. 다만, 이렇게 성숙도 높은 업무 프로세스를 만드는 것은 결코 쉬운 일이 아니다. 또한, 전문가의 도움 없이 완성된 SOAR를 즉시 적용하는 것은 현실적으로 어려운 일이므로 표준화 단계부터 차근차근 진행해야 한다.
인포섹은 다년간 쌓아온 보안관제 서비스의 노하우와 다양한 분야에서의 통합 보안SI 사업 경험을 바탕으로 신뢰할 수 있는 서비스를 제공한다. 아울러, 검증된 보안관제 방법론을 바탕으로 침해사고 대응 경험이 축적된 매뉴얼과 다양한 현장(고객)이 반영된 시나리오 기반 Best Practice(사례) 등을 활용하여 효율적 방안을 제시하고 최적의 효과를 제공한다.
인포섹은 SOAR의 체계적인 구축을 위해 모든 프로세스를 분석하여 재정립 및 정규화 하는 프로세스 표준화 가이드(컨설팅) 서비스를 제공한다. 이미 인포섹의 보안관제 프로세스는 정확하게 정의되고, 표준화되어 있다. 또한, 실제 현장에서 사용 가능한 Playbook이 충분히 확보되어 있다. 다양한 환경 속에서 도입된 SOAR 플랫폼에 빠르게 적용할 수 있도록 맞춤 서비스를 제공한다.
<보안관제 업무 절차도 - 인포섹 보안관제방법론>
<침해대응 단계의 악성코드 분석 프로세스 – 인포섹 보안관제방법론>
보안은 상품이 아니다. 그것은 사람, 정책 그리고 기술로 구성된다.
Security is not a product, consists of policies, people and technology.
- 케빈 미트닉(Kevin Mitnick)-
보안위협 대응 프로세스를 구축하는데 있어 솔루션은 보조 역할에 지나지 않는다. 실질적으로 탐지하고 대응수준을 결정하는 것은 보안관제를 운영하는 보안 전문가의 지식과 기술력에 기반한다는 것을 시사한다.
보안관제센터(SOC)에 SOAR를 적용할 때 역시 마찬가지다. 효율적인 활용을 위해서는 기업의 비즈니스 분석과 적용되어 있는 보안 솔루션 목록 및 기능, 운영 프로세스 등의 현행화가 선행되어야 한다. 그리고 이를 토대로 자동화된 탐지 및 대응 프로세스를 적용할 수 있다. 보다 신속한 대응을 위하여 보안관제 서비스 행위 자체를 자동화할 수 있지만, 그와 관련된 수많은 중요 결정에는 결국 보안 전문가가 필요하다.
마치며
코로나19 확산 이후 사이버 공격자들은 점점 더 복잡한 공격을 수행하고 있다. 재택근무 플랫폼을 통한 공격을 시도하는 등 공격 기법은 계속해서 새로워지고 지능화되고 있다. 이처럼 빠르게 변화하는 기술과 Trend 등을 대비하려면, 방어자도 ‘SOC운영 + SOAR도입’과 같은 새로운 보안 전략을 통해 위협을 빠르게 탐지 및 제거하고 피해를 최소화해야 한다.
'[컨설팅] Playbook 개발 - SOAR' 카테고리의 다른 글
| 정보보안 / 침해대응(2/2) - CERT 정의 및 목적, 보안사고, CERT가 갖춰야 할 능력 (0) | 2023.06.12 |
|---|---|
| 정보보안 / 침해대응(1/2) - CERT 업무와 대응 프로세스 (1) | 2023.06.12 |
| SOAR로 관제 업무 효율화 (0) | 2020.07.22 |
