2018.10.11

스플렁크, 컨퍼런스 2018에서 사이버보안 비전 제시

Jon Oltsik | CSO
스플렁크 컨퍼런스 2018(Splunk .Conf 2018)에서 스플렁크는 사이버보안 영역을 지속적으로 확장하고 협력업체와 함께 고객 성공을 위해 어떻게 노력하는지를 보여줬다.


Credit: Getty Images Bank

필자는 미국 올랜도에서 개최되는 스플렁크 컨퍼런스 2018에 참석했다. 스플렁크는 2020년 10개 영역을 포함한 보안 분석/ 운영에 대한 비전을 제시했다.

1. 데이터 수집: 보안 원격 측정 장치의 수집과 처리
2. 탐지: 알려진 위협 발견과 차단
3. 예측: 고급 분석을 사용해 새로운 공격을 식별한 다음, 연결된 모든 고객에게 경고를 전파
4. 자동화: 모든 지루한 작업을 자동화하고 좀 더 복잡한 작업을 가속화
5. 오케스트레이션: API를 사용해 조사, 복구 작업을 위해 보안 제어를 함께 연결
6. 권고: 보안 작업을 모니터링하고 기록한 다음, 입증된 실행안을 SOC 팀에게 권장
7. 조사: 사이버 공격 발생 원인과 발생 원인을 파악할 수 있는 직관적인 도구를 제공
8. 협업: 슬랙(Slack)과 같은 협업 도구에 연결하면서 보안 작업을 위한 워크벤치 제공
9. 사례 관리: 보안 사고 관리 라이프사이클에 걸친 보안 중심 추적 시스템을 제공
10. 보고: 보고의 모든 측면을 측정할 수 있는 중심적 장소를 제공

필자는 앞서 언급한 10가지 이외에 통합(예를 들어, 데이터 관리 서비스, 소프트웨어 서비스 등을 위한 SOAPA 기능)과 아웃소싱(파트너에게 위임할 보안 작업을 선택)을 추가하겠지만 스플렁크가 제시한 목록은 상당히 완벽하다.

스플렁크는 팬텀(Phantom)을 추가함에 따라 OODA(observe, orient, decide, and act)에 대해 많은 이야기를 나눴다. OODA는 데이터 분석에 기반한 의사 결정을 위한 군사 기술로, 스플렁크, 카스피다(Caspida), 팬텀에 이르는 훌륭한 프레임워크다.

팬텀 또는 다른 보안 자동화/오케스트레이션 도구를 사용해 스플렁크 고객은 최대한 많은 보안 프로세스를 자동화하고 있다. 평범하고 지루한 업무를 자동화하는데 단기간에 중점을 두고 있다. 한 발표자는 일주일에 한번 한 시간의 작업을 자동화하고 싶지 않다고 말했지만, 필자는 매주 수백 번 하는 작업을 자동화해 10분 만에 해냈으면 한다. 팬텀 인수를 통해 스플렁크는 이전보다 보안 운영 프로세스와 모범 사례에 훨씬 더 중점을 뒀다.

이제 스플렁크는 보안 아키텍처를 데이터 레이어, 분석 레이어, 운영 레이어 등 세 가지 레이어로 제공한다. 이 모델은 ESG의 보안 분석 및 운영 플랫폼 아키텍처(Security Analytics and Operations Platform Architecture, SOAPA)와 유사하다. 보안 데이터를 수집하고, 분석하며, 처리한다. 스플렁크 보안은 스트림 처리, 데이터 패브릭 검색, 스플렁크 모바일, 스플렁크 TV 등 일부 다른 핵심 기능을 활용한다.

스플렁크 경쟁업체를 제외한 다른 모든 보안업체도 스플렁크 애플리케이션을 갖고 있거나 스플렁크와 통합되어 있는 것처럼 보인다. 팔로알토 네트웍스, 시만텍 등은 사용자 주도 세션에서 스플렁크와 가치있는 통합을 이뤘다. 스플렁크는 해당 업계의 협업을 장려하고 환영한다.

기업 고객들이 스플렁크 위에 새로운 사용 사례를 구축하는 방법을 확인하는 것은 상당히 흥미롭다. 필자는 위험 평가, MITRE ATT&CK 프레임워크를 사용한 상대방의 에뮬레이션 테스트, 아파치 카프카와의 통합 등을 위해 스플렁크를 사용한 세션에 참여한 바 있다. 스플렁크는 자사의 머신러닝 도구를 공개해 기업 고객이 자체 알고리즘을 작성하거나 스플렁크에서 제공하는 알고리즘을 조정할 수 있도록 했다.

스플렁크는 클라우드 구현에 대해 많은 이야기를 하지 않았지만, 비즈니스에서 점차 증가하는 부분이다. 대부분의 고객은 향후 3년 이내에 클라우드에서 핵심 스플렁크를 실행할 것으로 보인다. 

스플렁크는 수백 개의 MSSP로 작동하며, 이 분야에서 성장하는 비즈니스를 보유하고 있다. 액센츄어, PWC와 같은 시스템 통합 업체는 스플렁크 비즈니스를 함께하고 있지만, 필자는 이들이 현재 기본적인 기회에 대한 겉 표면만 긁고 있다고 생각한다. 이 시스템 업체들이나 다른 업체는 기업 고객이 보안 프로세스를 평가하고, 모범 사례를 수립하고, 자원이 제한적인 고객이 주요 고객과 마찬가지로 스플렁크를 사용할 수 있도록 지원할 수 있는 기회를 갖고 있다.

강력한 스플렁크 커뮤니티
스플렁크를 단순히 IT 업체로만 본다면 큰 그림을 놓치는 것이다. 사용자 기반의 스플렁크는 자체 언어, 문화, 의식을 갖고 있는 커뮤니티가 됐다. 스플렁크는 이런 역동성을 창출하고 촉진시키는 데 많은 노력을 들였으며, 이는 하루아침에 사라지지 않는다. 스플렁크의 고객 관계는 정통한 마케팅, 신앙보다 더 끈끈하다. 스플렁크는 다른 공급업체가 이해하지 못하고 실행할 가능성이 없는 수준에서 고객의 말을 경청하고 고객과의 협력을 지속하고 있다.

올해 컨퍼런스에서 스티브 워즈니악이 기조 연설을 맡은 것은 적절했다. 워즈니악은 애플의 공동 설립자로 잘 알려져 있지만, 공동체와 IT와의 통합을 장려하는 1980년 대 음악 행사인 "US" 페스티발의 배후이기도 하다. editor@itworld.co.kr  


2018.10.11

스플렁크, 컨퍼런스 2018에서 사이버보안 비전 제시

Jon Oltsik | CSO
스플렁크 컨퍼런스 2018(Splunk .Conf 2018)에서 스플렁크는 사이버보안 영역을 지속적으로 확장하고 협력업체와 함께 고객 성공을 위해 어떻게 노력하는지를 보여줬다.


Credit: Getty Images Bank

필자는 미국 올랜도에서 개최되는 스플렁크 컨퍼런스 2018에 참석했다. 스플렁크는 2020년 10개 영역을 포함한 보안 분석/ 운영에 대한 비전을 제시했다.

1. 데이터 수집: 보안 원격 측정 장치의 수집과 처리
2. 탐지: 알려진 위협 발견과 차단
3. 예측: 고급 분석을 사용해 새로운 공격을 식별한 다음, 연결된 모든 고객에게 경고를 전파
4. 자동화: 모든 지루한 작업을 자동화하고 좀 더 복잡한 작업을 가속화
5. 오케스트레이션: API를 사용해 조사, 복구 작업을 위해 보안 제어를 함께 연결
6. 권고: 보안 작업을 모니터링하고 기록한 다음, 입증된 실행안을 SOC 팀에게 권장
7. 조사: 사이버 공격 발생 원인과 발생 원인을 파악할 수 있는 직관적인 도구를 제공
8. 협업: 슬랙(Slack)과 같은 협업 도구에 연결하면서 보안 작업을 위한 워크벤치 제공
9. 사례 관리: 보안 사고 관리 라이프사이클에 걸친 보안 중심 추적 시스템을 제공
10. 보고: 보고의 모든 측면을 측정할 수 있는 중심적 장소를 제공

필자는 앞서 언급한 10가지 이외에 통합(예를 들어, 데이터 관리 서비스, 소프트웨어 서비스 등을 위한 SOAPA 기능)과 아웃소싱(파트너에게 위임할 보안 작업을 선택)을 추가하겠지만 스플렁크가 제시한 목록은 상당히 완벽하다.

스플렁크는 팬텀(Phantom)을 추가함에 따라 OODA(observe, orient, decide, and act)에 대해 많은 이야기를 나눴다. OODA는 데이터 분석에 기반한 의사 결정을 위한 군사 기술로, 스플렁크, 카스피다(Caspida), 팬텀에 이르는 훌륭한 프레임워크다.

팬텀 또는 다른 보안 자동화/오케스트레이션 도구를 사용해 스플렁크 고객은 최대한 많은 보안 프로세스를 자동화하고 있다. 평범하고 지루한 업무를 자동화하는데 단기간에 중점을 두고 있다. 한 발표자는 일주일에 한번 한 시간의 작업을 자동화하고 싶지 않다고 말했지만, 필자는 매주 수백 번 하는 작업을 자동화해 10분 만에 해냈으면 한다. 팬텀 인수를 통해 스플렁크는 이전보다 보안 운영 프로세스와 모범 사례에 훨씬 더 중점을 뒀다.

이제 스플렁크는 보안 아키텍처를 데이터 레이어, 분석 레이어, 운영 레이어 등 세 가지 레이어로 제공한다. 이 모델은 ESG의 보안 분석 및 운영 플랫폼 아키텍처(Security Analytics and Operations Platform Architecture, SOAPA)와 유사하다. 보안 데이터를 수집하고, 분석하며, 처리한다. 스플렁크 보안은 스트림 처리, 데이터 패브릭 검색, 스플렁크 모바일, 스플렁크 TV 등 일부 다른 핵심 기능을 활용한다.

스플렁크 경쟁업체를 제외한 다른 모든 보안업체도 스플렁크 애플리케이션을 갖고 있거나 스플렁크와 통합되어 있는 것처럼 보인다. 팔로알토 네트웍스, 시만텍 등은 사용자 주도 세션에서 스플렁크와 가치있는 통합을 이뤘다. 스플렁크는 해당 업계의 협업을 장려하고 환영한다.

기업 고객들이 스플렁크 위에 새로운 사용 사례를 구축하는 방법을 확인하는 것은 상당히 흥미롭다. 필자는 위험 평가, MITRE ATT&CK 프레임워크를 사용한 상대방의 에뮬레이션 테스트, 아파치 카프카와의 통합 등을 위해 스플렁크를 사용한 세션에 참여한 바 있다. 스플렁크는 자사의 머신러닝 도구를 공개해 기업 고객이 자체 알고리즘을 작성하거나 스플렁크에서 제공하는 알고리즘을 조정할 수 있도록 했다.

스플렁크는 클라우드 구현에 대해 많은 이야기를 하지 않았지만, 비즈니스에서 점차 증가하는 부분이다. 대부분의 고객은 향후 3년 이내에 클라우드에서 핵심 스플렁크를 실행할 것으로 보인다. 

스플렁크는 수백 개의 MSSP로 작동하며, 이 분야에서 성장하는 비즈니스를 보유하고 있다. 액센츄어, PWC와 같은 시스템 통합 업체는 스플렁크 비즈니스를 함께하고 있지만, 필자는 이들이 현재 기본적인 기회에 대한 겉 표면만 긁고 있다고 생각한다. 이 시스템 업체들이나 다른 업체는 기업 고객이 보안 프로세스를 평가하고, 모범 사례를 수립하고, 자원이 제한적인 고객이 주요 고객과 마찬가지로 스플렁크를 사용할 수 있도록 지원할 수 있는 기회를 갖고 있다.

강력한 스플렁크 커뮤니티
스플렁크를 단순히 IT 업체로만 본다면 큰 그림을 놓치는 것이다. 사용자 기반의 스플렁크는 자체 언어, 문화, 의식을 갖고 있는 커뮤니티가 됐다. 스플렁크는 이런 역동성을 창출하고 촉진시키는 데 많은 노력을 들였으며, 이는 하루아침에 사라지지 않는다. 스플렁크의 고객 관계는 정통한 마케팅, 신앙보다 더 끈끈하다. 스플렁크는 다른 공급업체가 이해하지 못하고 실행할 가능성이 없는 수준에서 고객의 말을 경청하고 고객과의 협력을 지속하고 있다.

올해 컨퍼런스에서 스티브 워즈니악이 기조 연설을 맡은 것은 적절했다. 워즈니악은 애플의 공동 설립자로 잘 알려져 있지만, 공동체와 IT와의 통합을 장려하는 1980년 대 음악 행사인 "US" 페스티발의 배후이기도 하다. editor@itworld.co.kr  


X