2018.10.05

글로벌 칼럼 | 엄청난 양의 보안 데이터를 처리하는 2가지 옵션과 보안 분석의 미래

Jon Oltsik | CSO
보안 분석과 운영에 대해 생각할 때, SIEM(Security Information and Event Management)과 같은 기술은 무척 중요하다. SIEM 기술은 2002년 필자가 사이버보안에 초점을 맞추기 시작한 때부터 오늘날 주요 보안 운영 플랫폼으로 남아 있다. 현재 이 분야의 대표 공급업체에는 AT&T가 인수한 에얼리언볼트(AlienVault), IBM의 큐레이더(QRadar), 로그리듬(LogRhythm), 맥아피(McAfee), 스플렁크(Splunk) 등이 있다.


Credit: Getty Images Bank 

지난 16년 동안 SIEM은 크게 변화를 거듭했지만, 근본적인 아키텍처는 유사하다. SIEM은 원시 보안 데이터(raw security data)를 수집하고 처리하도록 설계된 데이터 관리 계층으로 구성된다. 데이터를 처리하면 이는 데이터 분석을 위한 스택의 상위 계층에서 자동화/통합된 프로세스와 같은 작업을 할 수 있게 된다.

이 아키텍처는 네트워크 관리, 시스템 관리, 서비스 관리 등 과거의 다른 유형의 관리 플랫폼에 공통적으로 사용되는 것으로, 모두 클라이언트 서버 컴퓨팅을 기반으로 한다. 2018년에 빠른 변화가 있었는데, SIEM 아키텍처의 근본적인 문제, 즉 데이터 볼륨의 급격한 증가가 있었다. 이 이야기는 다음과 같이 진행된다.

SIEM은 로그 관리와 함께 발전했으며, 기본 데이터 소스는 로그 파일이었다. SIEM은 여전히 로그를 수집, 처리, 분석하지만, 기업 조직은 현재 넷플로우(NetFlow), PCAP, 위협 정보, 취약점 데이터 등과 같은 다른 보안 원격 측정과 동일한 데이터 관리 서비스를 원했다.

이로 인해 관리중인 보안 데이터 양이 급격히 증가했다. ESG 조사에 따르면, 기업 조직 가운데 28%는 2년 전에 비해 훨씬 많은 데이터를 수집하고 분석하며, 49%는 2년 전보다 조금 많은 데이터를 수집, 분석한다. 필자는 페타바이트 단위의 보안 데이터를 수집, 처리, 분석, 저장하는 기업들을 알고 있다. 또한 이들은 과거보다 더 오랜 시간 동안 이 데이터를 유지하는 경향이 있다.


엄청난 양의 보안 데이터를 처리하는 2가지 옵션
보안 데이터 양이 기하 급수적으로 증가하면 조직은 다음과 같은 두 가지 선택을 할 수 있다.

1. 대대적인 온프레미스 보안 분석 아키텍처를 만들고 관리한다. 보안 분석은 약 5년 전부터 대용량 데이터 애플리케이션이 됐다. 온프레미스 보안 분석을 관리하려면 테라바이트에서 페타바이트까지의 데이터를 수집, 처리, 중복 제거, 압축, 암호화 할 수 있는 방대한 분산 데이터 관리 계층이 필요하다.

2. 보안 분석을 클라우드로 이동한다. 이 경우 보통 온프레미스에 있는 일부 데이터 수집기를 포함해 프로세스 및 분석을 위해 모든 보안 데이터를 클라우드로 이동한다.

옵션 1은 점점 복잡해지고 유지 보수 비용이 많이 들고, 일상적인 작업에 많은 오버 헤드가 필요하다. 옵션 2는 데이터 수집, 처리, 분석 시 클라우드 기반 리소스, 예를 들어 스토리지 프로세스 등을 제공할 수 있으므로 온프레미스 인프라와 관련된 비용과 운영 오버 헤드가 필요하지 않다.

필자는 현재 기업 보안 전문가들이 민감한 보안 데이터를 서드파티 클라우드로 옮기는 것보다 통제권을 유지하고 전체를 소유하고 운영하려는 것을 알고 있다. 그럼에도 불구하고 지속적인 글로벌 보안 기술 부족은 CISO가 자신이 하는 일과 앞으로 나아갈 일이 무엇인지에 대해 좀더 선택과 집중을 해야 한다.

기업은 실제로 보안 분석 및 운영을 위해 복잡하고 값비싼 데이터 관리 시스템을 구축, 유지, 운영하길 원하거나 단순히 실제 보안 분석 및 운영에 집중하고자 한다. 필자는 향후 12개월에서 36개월 동안 보안 분석 인프라가 클라우드로 마이그레이션할 것이라고 예상한다. 보안 전문가와 기술 공급업체는 이에 대해 준비해야 한다. editor@itworld.co.kr
 


2018.10.05

글로벌 칼럼 | 엄청난 양의 보안 데이터를 처리하는 2가지 옵션과 보안 분석의 미래

Jon Oltsik | CSO
보안 분석과 운영에 대해 생각할 때, SIEM(Security Information and Event Management)과 같은 기술은 무척 중요하다. SIEM 기술은 2002년 필자가 사이버보안에 초점을 맞추기 시작한 때부터 오늘날 주요 보안 운영 플랫폼으로 남아 있다. 현재 이 분야의 대표 공급업체에는 AT&T가 인수한 에얼리언볼트(AlienVault), IBM의 큐레이더(QRadar), 로그리듬(LogRhythm), 맥아피(McAfee), 스플렁크(Splunk) 등이 있다.


Credit: Getty Images Bank 

지난 16년 동안 SIEM은 크게 변화를 거듭했지만, 근본적인 아키텍처는 유사하다. SIEM은 원시 보안 데이터(raw security data)를 수집하고 처리하도록 설계된 데이터 관리 계층으로 구성된다. 데이터를 처리하면 이는 데이터 분석을 위한 스택의 상위 계층에서 자동화/통합된 프로세스와 같은 작업을 할 수 있게 된다.

이 아키텍처는 네트워크 관리, 시스템 관리, 서비스 관리 등 과거의 다른 유형의 관리 플랫폼에 공통적으로 사용되는 것으로, 모두 클라이언트 서버 컴퓨팅을 기반으로 한다. 2018년에 빠른 변화가 있었는데, SIEM 아키텍처의 근본적인 문제, 즉 데이터 볼륨의 급격한 증가가 있었다. 이 이야기는 다음과 같이 진행된다.

SIEM은 로그 관리와 함께 발전했으며, 기본 데이터 소스는 로그 파일이었다. SIEM은 여전히 로그를 수집, 처리, 분석하지만, 기업 조직은 현재 넷플로우(NetFlow), PCAP, 위협 정보, 취약점 데이터 등과 같은 다른 보안 원격 측정과 동일한 데이터 관리 서비스를 원했다.

이로 인해 관리중인 보안 데이터 양이 급격히 증가했다. ESG 조사에 따르면, 기업 조직 가운데 28%는 2년 전에 비해 훨씬 많은 데이터를 수집하고 분석하며, 49%는 2년 전보다 조금 많은 데이터를 수집, 분석한다. 필자는 페타바이트 단위의 보안 데이터를 수집, 처리, 분석, 저장하는 기업들을 알고 있다. 또한 이들은 과거보다 더 오랜 시간 동안 이 데이터를 유지하는 경향이 있다.


엄청난 양의 보안 데이터를 처리하는 2가지 옵션
보안 데이터 양이 기하 급수적으로 증가하면 조직은 다음과 같은 두 가지 선택을 할 수 있다.

1. 대대적인 온프레미스 보안 분석 아키텍처를 만들고 관리한다. 보안 분석은 약 5년 전부터 대용량 데이터 애플리케이션이 됐다. 온프레미스 보안 분석을 관리하려면 테라바이트에서 페타바이트까지의 데이터를 수집, 처리, 중복 제거, 압축, 암호화 할 수 있는 방대한 분산 데이터 관리 계층이 필요하다.

2. 보안 분석을 클라우드로 이동한다. 이 경우 보통 온프레미스에 있는 일부 데이터 수집기를 포함해 프로세스 및 분석을 위해 모든 보안 데이터를 클라우드로 이동한다.

옵션 1은 점점 복잡해지고 유지 보수 비용이 많이 들고, 일상적인 작업에 많은 오버 헤드가 필요하다. 옵션 2는 데이터 수집, 처리, 분석 시 클라우드 기반 리소스, 예를 들어 스토리지 프로세스 등을 제공할 수 있으므로 온프레미스 인프라와 관련된 비용과 운영 오버 헤드가 필요하지 않다.

필자는 현재 기업 보안 전문가들이 민감한 보안 데이터를 서드파티 클라우드로 옮기는 것보다 통제권을 유지하고 전체를 소유하고 운영하려는 것을 알고 있다. 그럼에도 불구하고 지속적인 글로벌 보안 기술 부족은 CISO가 자신이 하는 일과 앞으로 나아갈 일이 무엇인지에 대해 좀더 선택과 집중을 해야 한다.

기업은 실제로 보안 분석 및 운영을 위해 복잡하고 값비싼 데이터 관리 시스템을 구축, 유지, 운영하길 원하거나 단순히 실제 보안 분석 및 운영에 집중하고자 한다. 필자는 향후 12개월에서 36개월 동안 보안 분석 인프라가 클라우드로 마이그레이션할 것이라고 예상한다. 보안 전문가와 기술 공급업체는 이에 대해 준비해야 한다. editor@itworld.co.kr
 


X