https://zerotrust.tistory.com/18
[보안이야기#7]정보보안 직무-보안관제(3)
안녕하세요 보안코치 제로썬이에요 :) 보안관제(2)에서는 보안관제 법적근거, 원칙, 업무내역에 대해서 알아봤어요~ https://zerotrust.tistory.com/17 [보안이야기#6]정보보안 직무-보안관제(2) 안녕하세
zerotrust.tistory.com
퍼온 내용 입니다.
안녕하세요 보안코치 제로썬이에요 :)
보안관제(2)에서는 보안관제 법적근거, 원칙, 업무내역에 대해서 알아봤어요~
보안관제는 사이버 공격으로부터 정보자산 보호를 365일 24시간 실시간 모니터링, 탐지, 분석, 대응하는 서비스라고 했었죠? 잊으신거 아니죠?!......... 네?!........... 계속 보셔야합니다~~ ㅎㅎ
시스템(서비스 등)
자~ 보안관제를 통해 정보자산을 보호하기 위해 대상이 있어야겠죠? 보호하고자 하는 대상에 따라 보안 시스템, 대응체계 등가 달라지게 되는데요.
정보자산 보호하는 대상으로는 시스템(서비스), 정보자산(PC, 노트북, 문서 등)이 있어요.
보안관제 보호대상은 보통 서비스를 제공하는 시스템(서버 등)을 보호하게 됩니다.
서비스 제공자 입장에서 서비스 사용자들에게 "가용성, 안전성, 무결성"을 보장할 수 있도록 노력하는 것이죠
보안관제센터 / 사람, 기술, 절차
보안관제팀 또는 규모가 있는 곳은 보안관제 센터(SOC)를 통해 보안관제 운영 및 관리하게 되는데요. 보안관제 센터에서 필요한 요소는 "사람", "기술", "절차"입니다. 보안관제도 결국 사람이 아닌 AI가 대처할 수 있다 없다를 말하시는 분들도 계시지만 AI를 활용한 보안 솔루션이 개발되고 있지만 아직까진 사람의 기술이 필요한 상태라고 생각해요~!
시간 = 피해 최소화
보안관제를 하기 위해 365일 24시간 실시간 모니터링과 탐지, 분석, 대응을 한다는 것은 어렵습니다. 이유는 간단하게 말하면 보안관제가 초기 발견부터 사건 이관까지 기록과 초동 대응에 따라 피해 규모를 최소화할 수 있기 때문이에요. 결국 빠른 시간내에 초동 대응을 잘 할 수록 피해를 최소화할 수 있다는 거죠.
초동 대응이란 원인을 가능한 한 정확하게 특정하고, 피해를 최소한으로 하기 위해 취하는 첫 대응을 의미해요
스트레스, 긴장감 고조
보안관제는 상시적으로 공격이 발생이 되기 때문에 긴급한 상황이 발생에 대비해야 하기 때문에 몸은 긴장한 상태가 되고, 문자로 상황전파, 상황보고 공유를 받게 됩니다.
초동 대응을 해보신 분들은 아시겠지만 긴박한 상황이라 더 정신이 없어요... 당황도 하고 멍한 상태가 되기도 하죠.....(긴장감 상승되면서 식은 땀 주르륵...) 초동 대응을 못하면 피해가 엄청 크게 확산 된다고 생각해보세요....끔찍하겠죠?? 으윽!
보안관제 센터과 비슷한 모습
비상 대응팀이 올때까지 보안관제가 선제적으로 대응해야 피해를 최소화할 수 있게 되고, 초동대응 완료 후 보안사고가 발생하기 이전의 상태로 시스템을 원상복구하고 재발 방지책도 세우기 위해 발생한 보안사고의 대응 기록을 작성하는 것을 복구와 사후 대응단계에서 합니다.
단순한 공격일 경우에는 어렵지 않게 초동 대응할 수도 있겠지만 처음 보는 공격이거나 자신이 알지 못하는 공격에 대해서 대응할 경우는 스스로 대응하는데 어려움을 느끼겠죠. 그렇기 때문에 보안관제는 쉽지 않은 업무이기도 합니다.
간혹 보안관제 업무가 쉽다, 배울게 없다 등 말하시는 분들도 계시는데요. 그분들께서 잘 모른다고 말씀 드리고 싶진 않으나, 단순 반복적으로 이벤트를 기계적(?) 처리만 하거나, 그 이상적으로 업무를 하지 않는다고 생각할 경우에는 그렇게 생각할 수 있다고 생각하고 말할 수 있다고는 충분하게 생각합니다.
다만 보안관제가 실시간 모니터링, 분석 및 대응까지 다양한 업무를 하는 만큼 쉽지 않은건 사실이고, 사이트(운영 기관)마다 보호대상 범위, 규모, 관리체계 등에 따라 보안관제 경험하는게 너무 다릅니다.
실제적으로 더 하고 싶어도 못하는 경우가 있고, 금전적인 문제 등 보안을 해야하는데 못하도록 하는 경우를 보거나 막히면 내가 이럴려고 보안을 했나... 괴리감도 들기도 한답니다....그래도 책임감을 가지신 여러분들이라면 다시 일어나실 수 있다고 생각해요!! 화이팅!!
정보보안 전문가라면 그럼에도 불구하고 보안의 필요성을 끊임 없이 이야기하고 개선하고 고도화하고 대응체계, 전략 등을 만들어야 하는 것이죠!
지금도 보안관제 업무를 하시는 분들에게 정말 고생이 많고 수고가 많으시다고 전하고 싶네요!!
오늘도 봐주셔서 감사하고 남은 시간 좋은 하루 되세요 :)
출처 : Building a World-Class Security Operations Center: A Roadmap”. SANS™ Institute, 2015.
'[컨설팅] 시나리오 개발 - SIEM' 카테고리의 다른 글
| 정보보안 / 보안관제(4/4) - 이벤트 처리절차 (0) | 2023.06.12 |
|---|---|
| 정보보안 / 보안관제(2/4) - 법적근거, 원칙, 업무내역 (0) | 2023.06.12 |
| 정보보안 / 보안관제(1/4) - 정의 및 업무절차 (0) | 2023.06.12 |
| 관제 시나리오 컨설팅 수행 가이드 (0) | 2021.05.14 |
| 시나리오 컨설팅 이력 (0) | 2021.03.25 |
