본문 바로가기
[컨설팅] Playbook 개발 - SOAR

SOAR로 관제 업무 효율화

by milkclub 2020. 7. 22.
728x90

http://www.datanet.co.kr/news/articleView.html?idxno=148245

 

 

SOAR가 보안 탐지·대응을 직접 수행하는 것은 아니다. 이종 보안 장비로부터 보안위협을 수집해 분석장비로 보내고, 위협 인텔리전스와 연계 분석해 도출된 결과를 보안 장비로 다시 보내 대응하도록 하는 일련의 과정을 통제한다. SOAR 도입을 위해서는 보안 관제 프로세스가 정확하게 정의되고 표준화돼야 하며, 실제 현장에서 사용 가능한 플레이북이 충분히 확보돼 있어 야 한다.

SIEM 벤더들은 차세대 SIEM이 SOAR로 발전할 것 으로 보고 있지만, SIEM도 SOAR와 연동되는 시스템의 하나이며, SOAR는 보안관제 플랫폼으로 진화할 것 이라는 전망이 우세하다.

SOAR가 필요한 이유는 보안위협이 급증하고 있으며, 이에 대응하기 위한 보안 솔루션도 급속하게 늘고 있는데, 이로 인해 보안관제 업무가 복잡해지고 있기 때문이다. 탐지되는 이벤트는 많지만 이를 제대로 분석·대응하지 못하며, 관제인력이 단순하고 반복적인 대응업무에 매달려 더 중요한 위협 탐지에 집중하지 못 하는 문제를 해결하기 위한 것이다.

출처 : 데이터넷(http://www.datanet.co.kr)

 

▶ SOAR 구축 프로젝트에는 보안관제 프로세스 정의 및 표준화 컨설팅 + 고객사 환경에 맞는 플레이북 개발 필수

 

 

SOAR 검토 전, 보안관제 표준화부터

SOAR에 요구되는 또 다른 사항은 플레이북이다. 플레이북은 공격 유형에 따른 대응 방안을 표준화한 일종 의 매뉴얼로, 실시간으로 탐지되는 공격을 정확하게 분류하고 적절한 대응이 이뤄지도록 자동화하는 과정이 필요하다.

보안관제 서비스 기업들은 침해사고 대응 경험을 축적한 대응 매뉴얼이 있어 이를 플레이북으로 만들 수 있다. 플레이북은 필요한 정보 선별과 우선 순위에 따라 순차적으로 업무를 처리하기 위한 판단을 시스템이 담당하도록 설계해야 성숙도 높은 자동화 기능을 제공할 수 있다. 이벤트 종류에 맞는 처리 방법을 시스템이 선택해 매칭하고 일관된 프로세스로 작업을 처리 할 수 있어 작업자 역량에 따른 대응 품질의 편차를 줄이도록 해야 한다.

정일옥 이글루시큐리티 관제기술연구팀장은 “플레이북은 발견된 위협을 연계해 보안 관제 프로세스에 맞 춰 자동화하는 것이 필수다. 이렇게 성숙도 높은 관제 프로세스를 만드는 것이 결코 쉬우 일은 아니며, 특히 비표준 보안 솔루션의 연계가 불가능해 자동화된 보안 대응 프로세스를 만들 수 없다”며 “현재 보안관제 프로세스에서 완성된 SOAR를 즉시 도입하는 것은 현실적으로 어려운 일이며, 표준화 단계부터 차근차근 진행 해야 한다”고 말했다.

황원섭 마이크로포커스코리아 부장은 “현재 국내에서 요구하는 SOAR는 자동화된 티켓 관리 시스템 수준으로 파악된다. 관제 요원의 업무를 줄이고 관제 효율 성을 높이는 관점에서의 SOAR라면 차세대 SIEM을 통해 통합·자동화된 보안 탐지를 완성하고, 관제 성숙도 를 높여가면서 SOAR로 발전하는 것이 좋을 것”이라고 조언했다.

출처 : 데이터넷(http://www.datanet.co.kr)

 

 

▶ 현재의 SOAR는 자동화된 티켓관리시스템 수준이다. 관제요원의 업무를 줄이고 관제효율성을 높이는 관점 정도이고

다음 사업에서 좀 더 발전시켜야 할 것이다.

728x90