2019.09.16

IDG 블로그 | SOAPA와 SOAR, 차이점을 아시나요

Jon Oltsik | CSO
SOAPA(Security Operations and Analytics Platform Architecture)와 SOAR(Security Orchestration, Automation, and Response)은 동일하게 보이지만 이 용어들은 많이 다르다. SOAR 도구는 SOAPA의 구성 요소 가운데 하나다.   
 
ⓒ Getty Images Bank 

SOAPA는 다음과 같은 내용을 특징으로 하는 상향식 아키텍처다. 
- 공통 분산 데이터 서비스(Common distributed data service) 
SOAPA는 대량의 배치 및 스트리밍 데이터를 위한 공통 데이터 파이프 라인을 만든다. 이런 방식으로 SOAPA는 실시간 위협 탐지에서 수개월 또는 수년에 걸친 장기적인 보안 데이터 조사에 이르기까지 분석을 위한 방대한 양의 보안 데이터를 수용할 수 있다.  

- 소프트웨어 서비스 및 통합 계층(Software services and integration layer)
이 계층은 보안 데이터와 데이터를 사용하는 분석 엔진을 연결하는 역할을 한다. 간단히 말해 소프트웨어 서비스 및 통합 계층은 보안 데이터를 원하는 시기에 원하는 형식으로 분석 엔진에 제공한다. 

- 분석 계층(Analytics layer) 
보안 데이터는 엔드포인트 프로세스, 네트워크 행위, 위협 인텔리전스 패턴, 또는 이런 모든 영역을 한 번에 모니터링하는 다양한 보안 도구를 통해 조사된다. SOAPA 분석 계층은 모든 보안 데이터를 효율적으로 모니터링하고 분석하도록 설계되어 SOC 팀이 위협 탐지, 문제 파악, 실행의 우선 순위를 빠르게 정할 수 있도록 한다.  

- 보안 운영 플랫폼 계층(Security operations platform layer)
보안 분석 과정에서 문제를 발견하면 치료 작업을 보안 운영 플랫폼 계층으로 이관할 수 있다. SOAPA의 최상위 계층은 프로그래밍이 가능하며, 조사를 위한 데이터 수집, 네트워크 연결 차단, 관리 시스템에서 문제 티켓 열기와 같은 기능을 자동적으로 실행할 수 있도록 도와준다. 보안 교정 운영은 방화벽, 네트워크 프록시, 웹 또는 DNS 게이트웨이 등과 같은 여러 보안 제어에서 조치를 취하도록 조율할 수 있다. 마지막으로 보안 운영 계층은 수동 개입이 필요한 복잡한 작업을 위한 SOC 분석가용 워크벤치 역할을 한다.
 
SOAPA는 보안 데이터에 대한 수집, 프로세스, 분석, 그리고 실행하는 등의 보안 운영 전체를 얘기한다. 따라서 SOAPA는 서로 다른 보안 도구들을 연결할 수 있는 일반적인 건축 접착제를 제공하며, 위협 예방, 탐지 및 대응을 위한 기술 협업을 배가시킨다.


SOAR란 

SOAR은 용어 그대로 보안 오케스트레이션, 자동화 및 대응을 의미한다. 이 분야 공급업체는 D3, DFLabs, 데미스토(Demisto, 현재 팔로알토네트웍스의 일부), 인보타스(Invotas, 현재 파이어아이의 일부), 코맨드(Komand, 현재 래피드7의 일부), 팬텀(Phantom, 현재 스플렁크의 일부), 레질런트(Resilient, 현재 IBM의 일부), 서비스나우(ServiceNow), 시엠플리파이(Siemplify), 스윔레인(Swimlane) 등이 있다. 

SOAR 도구는 조직이 보안 운영 프로세스를 자동화하는 것을 돕도록 고안됐다. 오늘날 대부분의 보안 운영 프로세스 작업은 완전히 또는 부분적으로 수동으로 되어있다. 


SOAPA와 SOAR의 차이점

SOAR는 제품 범주이고 SOAPA는 많은 제품으로 구성된 아키텍처다. SOAPA는 효율적이고 효과적인 데이터 수집, 처리, 공유 및 분석을 용이하게끔 설계됐다. 보안 분석 도구와 분석가가 어느 순간에 도달하면 SOAPA 내에 보안 운영 플랫폼 계층, 즉 SOAR 도구는 추가 조사, 작업 위임, 수정 작업 자동화, 조정 등 다양한 보안 제어를 가능케 하는 보안 운영 워크벤치로 사용할 수 있다. 

간단히 말해 SOAR은 SOAPA 아키텍처 내 계층이다. 

필자는 정보보안 전문가들 사이에 SOAR이라는 용어가 잘못 합의됐다는 생각이 들었다. 보안 전문가인 브루스 슈나이어는 “보안은 제품이 아니라 프로세스”라고 말한다. SOAR 용어는 프로세스 자체보다는 보안 운영 프로세스의 기술 지시서에 중점을 두고 있다. 필자에게 SOAR은 망치, 못을 보면서 주택 건설 작업을 말하는 것과 같이 전체 큰 그림을 놓치고 있는 것처럼 보인다. editor@itworld.co.kr 


2019.09.16

IDG 블로그 | SOAPA와 SOAR, 차이점을 아시나요

Jon Oltsik | CSO
SOAPA(Security Operations and Analytics Platform Architecture)와 SOAR(Security Orchestration, Automation, and Response)은 동일하게 보이지만 이 용어들은 많이 다르다. SOAR 도구는 SOAPA의 구성 요소 가운데 하나다.   
 
ⓒ Getty Images Bank 

SOAPA는 다음과 같은 내용을 특징으로 하는 상향식 아키텍처다. 
- 공통 분산 데이터 서비스(Common distributed data service) 
SOAPA는 대량의 배치 및 스트리밍 데이터를 위한 공통 데이터 파이프 라인을 만든다. 이런 방식으로 SOAPA는 실시간 위협 탐지에서 수개월 또는 수년에 걸친 장기적인 보안 데이터 조사에 이르기까지 분석을 위한 방대한 양의 보안 데이터를 수용할 수 있다.  

- 소프트웨어 서비스 및 통합 계층(Software services and integration layer)
이 계층은 보안 데이터와 데이터를 사용하는 분석 엔진을 연결하는 역할을 한다. 간단히 말해 소프트웨어 서비스 및 통합 계층은 보안 데이터를 원하는 시기에 원하는 형식으로 분석 엔진에 제공한다. 

- 분석 계층(Analytics layer) 
보안 데이터는 엔드포인트 프로세스, 네트워크 행위, 위협 인텔리전스 패턴, 또는 이런 모든 영역을 한 번에 모니터링하는 다양한 보안 도구를 통해 조사된다. SOAPA 분석 계층은 모든 보안 데이터를 효율적으로 모니터링하고 분석하도록 설계되어 SOC 팀이 위협 탐지, 문제 파악, 실행의 우선 순위를 빠르게 정할 수 있도록 한다.  

- 보안 운영 플랫폼 계층(Security operations platform layer)
보안 분석 과정에서 문제를 발견하면 치료 작업을 보안 운영 플랫폼 계층으로 이관할 수 있다. SOAPA의 최상위 계층은 프로그래밍이 가능하며, 조사를 위한 데이터 수집, 네트워크 연결 차단, 관리 시스템에서 문제 티켓 열기와 같은 기능을 자동적으로 실행할 수 있도록 도와준다. 보안 교정 운영은 방화벽, 네트워크 프록시, 웹 또는 DNS 게이트웨이 등과 같은 여러 보안 제어에서 조치를 취하도록 조율할 수 있다. 마지막으로 보안 운영 계층은 수동 개입이 필요한 복잡한 작업을 위한 SOC 분석가용 워크벤치 역할을 한다.
 
SOAPA는 보안 데이터에 대한 수집, 프로세스, 분석, 그리고 실행하는 등의 보안 운영 전체를 얘기한다. 따라서 SOAPA는 서로 다른 보안 도구들을 연결할 수 있는 일반적인 건축 접착제를 제공하며, 위협 예방, 탐지 및 대응을 위한 기술 협업을 배가시킨다.


SOAR란 

SOAR은 용어 그대로 보안 오케스트레이션, 자동화 및 대응을 의미한다. 이 분야 공급업체는 D3, DFLabs, 데미스토(Demisto, 현재 팔로알토네트웍스의 일부), 인보타스(Invotas, 현재 파이어아이의 일부), 코맨드(Komand, 현재 래피드7의 일부), 팬텀(Phantom, 현재 스플렁크의 일부), 레질런트(Resilient, 현재 IBM의 일부), 서비스나우(ServiceNow), 시엠플리파이(Siemplify), 스윔레인(Swimlane) 등이 있다. 

SOAR 도구는 조직이 보안 운영 프로세스를 자동화하는 것을 돕도록 고안됐다. 오늘날 대부분의 보안 운영 프로세스 작업은 완전히 또는 부분적으로 수동으로 되어있다. 


SOAPA와 SOAR의 차이점

SOAR는 제품 범주이고 SOAPA는 많은 제품으로 구성된 아키텍처다. SOAPA는 효율적이고 효과적인 데이터 수집, 처리, 공유 및 분석을 용이하게끔 설계됐다. 보안 분석 도구와 분석가가 어느 순간에 도달하면 SOAPA 내에 보안 운영 플랫폼 계층, 즉 SOAR 도구는 추가 조사, 작업 위임, 수정 작업 자동화, 조정 등 다양한 보안 제어를 가능케 하는 보안 운영 워크벤치로 사용할 수 있다. 

간단히 말해 SOAR은 SOAPA 아키텍처 내 계층이다. 

필자는 정보보안 전문가들 사이에 SOAR이라는 용어가 잘못 합의됐다는 생각이 들었다. 보안 전문가인 브루스 슈나이어는 “보안은 제품이 아니라 프로세스”라고 말한다. SOAR 용어는 프로세스 자체보다는 보안 운영 프로세스의 기술 지시서에 중점을 두고 있다. 필자에게 SOAR은 망치, 못을 보면서 주택 건설 작업을 말하는 것과 같이 전체 큰 그림을 놓치고 있는 것처럼 보인다. editor@itworld.co.kr 


X