2021.07.16

최고의 SIEM를 선택하는 방법과 공급업체 TOP 9

Tim Ferrill | CSO
기업은 SIEM(Security Information & Event Management)를 사용해 기업 전체의 이벤트 및 위협에 대한 명확하고 통합된 가시성을 확보한다. 기업마다의 고유한 요구사항에 따라 최고의 SIEM 솔루션을 선택하는 방법과 SIEM을 공급하는 최고의 업체 9개를 선정했다. 
 
ⓒ Getty Images Bank

보안 위협으로부터 기업을 보호하려면 최대한의 가시성이 필요하다. 이는 SIEM이 갖고 있는 기본 개념으로, 대부분의 대기업과 중견기업의 보안 방어에 필수적인 요소로 자리잡았다. 

SIEM은 다양한 네트워크 장비, 서버, 시스템 소프트웨어 및 기타 인프라에서 실시간으로 이벤트 및 로그 데이터를 집계해 패턴을 식별하고, 이상 징후를 표시하고, 잠재적 위협이 탐지되면 경고를 전송한다. SIEM은 사고 대응에서도 중요한 역할을 할 수 있다. 

SIEM은 현재 온프레미스에서 클라우드로 전환하고, 위협 인텔리전스 시스템과 통합하고, 분석 기능이 축적되고, 머신러닝과 같은 다른 새로운 기능이 추가됨에 따라 빠르게 진화하고 있다. 자사에 적합한 SIEM을 선택하는 것은 중요한 결정이다. 투자는 매우 중요하며, 구성 프로세스는 한번만 수행해야 하기 때문이다. 


SIEM의 11가지 주요 기능과 기업의 고려사항 

- 클라우드인가, 온프레미스인가 
대부분의 최신 SIEM 솔루션은 기능을 더 빠르게 추가하기 위해 SaaS 모델로 전환했다. 또한 클라우드의 무한 확장은 공급업체가 비정상적 행위를 식별하기 전에 많은 양의 참조 데이터를 필요로 하는 머신러닝 기능을 더 쉽게 통합할 수 있도록 한다. 전반적으로 SaaS가 SIEM을 더 좋게 만들었다는 데에는 의견이 일치한다. 

그럼에도 불구하고 일부 기업은 SIEM을 온프레미스로 유지해야 한다. 로컬 인프라에 상주하는 로그 또는 관련 데이터 규정을 준수해야 하기 때문이다. 몇 가지 옵션을 통해 기업은 SIEM을 온프레미스에 배포할 수 있다. 

- 분석 역량(Analytics capabilities)을 판단하는 기준   
SIEM 솔루션은 해당 솔루션에서 얻을 수 있는 정보만큼만 유용하다. 인프라에서 모든 로그 및 이벤트 데이터를 수집하는 것은 문제를 식별하고 정보에 입각한 결정을 내리는 데 도움이 되지 않으면 아무런 가치가 없다. 

오늘날 SIEM 시스템의 분석 기능에는 머신러닝 기능이 포함되어 실시간으로 비정상적인 동작을 식별하고 잠재적인 공격이나 새로운 애플리케이션 또는 네트워크 오류를 자세히 살펴보도록 안내하는 등의 좀 더 정확한 조기 경고 시스템을 제공한다. 
 
SIEM 분석 요구사항은 다양한 요인에 따라 달라진다. 어떤 종류의 시스템을 모니터링하고 있는가? 대시보드 및 보고서를 작성하거나 조사를 수행하는 데 사용할 수 있는 기술은 무엇인가? 기존 분석 플랫폼을 활용하고 싶은가? 이런 질문은 플랫폼 옵션을 결정하는 데 도움이 될 수 있다. 

결정을 내릴 수 있는 기존 솔루션이나 기술이 없는 경우, 가장 좋은 방법은 광범위한 대시보드 라이브러리 또는 매니지드 서비스가 포함된 SIEM 솔루션을 선택하는 것이다. 

- 로그 수집(Log ingestion), 외부 이벤트를 제대로 식별하는가 
또 다른 실질적인 고려 사항은 수집, 즉 SIEM에서 데이터를 사용하는 방법과 연관이 있다. 일반적으로 여기에는 푸시(Push)와 풀(Pull)의 조합이 함께 수반된다. 소프트웨어 에이전트는 일부 시스템(특히 온프레미스 또는 프라이빗 클라우드에 있는 시스템)에서 로그 및 이벤트 데이터를 가져오는 반면, 네트워크 하드웨어 및 클라우드 애플리케이션은 통합 또는 API를 통해 이벤트 데이터를 SIEM으로 직접 보낸다. 

한 가지 기본적인 문제는 SIEM이 외부 이벤트의 주요 정보를 제대로 식별할 수 있는지 여부다. 이상적으로는 SIEM은 커스터마이징 없이 대부분의 일반적인 시스템에서 이벤트 데이터를 구문 분석할 때, 높은 수준의 충실도를 제공할 수 있을 만큼 성숙해야 한다. 또한 이벤트 데이터를 캡처한 후, 처리하는 방식을 조정할 때, 유연성을 제공하는 SIEM을 찾아야 로그 항목이 제대로 구문 분석되지 않는 상황을 해결할 수 있다. 

- 경고 구성, 관리 가능 상태로 적절히 유지되는가 
최신 SIEM을 사용하는 주된 이유는 시스템의 정교한 실시간 모니터링 때문이다. 그러나 사람이 경고 또는 알림(이메일, 문자 또는 모바일 기기에 대한 푸시 알림의 형태)을 모니터링하지 않으면 아무런 가치가 없다. 

모든 이메일 사용자가 알고 있듯이 경고 및 알림 문제는 볼륨을 관리 가능한 상태로 유지하는 것이다. 사용자가 너무 많은 알림을 받으면 비활성화하거나 무시한다. 너무 적으면 중대한 위협을 놓칠 수 있다. 규칙, 임계값(예, 15분 동안 시스템 다운, 10분 동안 분당 20개 오류) 및 경고 방법(문자, 이메일, 푸시 알림 및 웹북)을 포함해 경고를 유연하게 구성할 수 있는지 확인한다. 

- 자동화된 수정(Automated remediation)이 가능한가 
완벽한 세상에서는 컴퓨터 시스템이 공격이나 애플리케이션 문제를 탐지하고 자동으로 문제를 해결하기 위한 조치를 취한다. 완전히 불가능한 경우도 있지만, 특정 이벤트에서 자동 응답(사용자 계정 잠금, 블랙리스트에 IP 주소 추가 등)을 트리거하도록 하는 것이 적절하다. 

찾아야 할 주요 자동화 기능은 모니터링 및 경고(조건을 미세 조정하고 오탐지를 제한하기 위해)부터다. 이를 시작으로 규칙 조건에 대한 완전한 신뢰가 구축되면 완전히 자동화된 수정으로 기능을 확장, 진행해야 한다. 

- 역할 기반 접근(role-based access), 필수적일 수 있다 
다양한 비즈니스 부문, 여러 애플리케이션 팀 또는 지리적 위치가 분산된 대기업의 경우, 역할 기반 접근이 필수적이다. 관리자, 개발자 및 분석가가 필요한 로그 이벤트에만 접근할 수 있도록 하는 것은 편의성의 문제일 뿐만 아니라 최소 특권의 원칙과 특정 산업의 경우, 규제 요구사항이다. 

SIEM에서 캡처한 이벤트는 애플리케이션 및 서비스 기능이나 네트워크 장치의 구성 방식에 대한 심층적인 세부 정보를 제공하는 경우가 많다. 이런 이벤트 데이터에 불법적으로 접근하면 시스템에 침투하려는 악의적인 행위자에게 도움이 될 수 있다. 이는 도둑이 목표물을 강탈하기 전에 추적을 통해 이득을 얻는 것과 같다. SIEM 이벤트 데이터에 대한 사용자 접근을 제한하는 것이 모범 사례인 이유는 해킹당한 계정의 영향을 제한하고 궁극적으로 전체 네트워크를 보호하는 데 도움이 되기 때문이다. 

- 규정 준수(Regulatory compliance) 관련 확인 사항
HIPAA 또는 국방부 STIG(Security Technical Implementation Guides)와 같은 많은 규정은 SIEM 또는 유사한 유틸리티 사용을 요구할 뿐만 아니라 솔루션 구성 방법도 지정한다. 

기업의 관련 요구사항을 자세히 조사한다. 확인해야 할 사항에는 보존 기간, 암호화 요구사항(전송 중인 데이터 및 저장 데이터 모두 해당), 디지털 서명(이벤트 데이터가 어떤 식으로든 수정되지 않도록 하기 위해) 및 보고 의무 등이 있다. 또한 대부분의 규정 준수 계획에는 감사 또는 보고 요소가 포함되어 있으므로 SIEM 솔루션이 감사인을 만족시키기 위해 적절한 문서 또는 보고서를 작성할 수 있는지 확인한다. 
 
- SIEM 구현 이유, 이벤트 상관관계(Event correlation) 
아마도 SIEM을 구현하는 가장 큰 이유는 이기종 및 통합 시스템의 로그를 단일 보기로 상호 연관시키는 기능일 것이다. 예를 들어, 네트워크의 단일 애플리케이션은 데이터베이스, 애플리케이션 서버 및 애플리케이션 자체와 같은 다양한 구성요소로 이뤄진다. 

SIEM은 여러 호스트에 분산되어 있는 경우에도 이런 각 구성요소의 로그 이벤트를 사용할 수 있어야 하며, 이런 이벤트를 단일 스트림으로 상호 연관시킬 수 있어야 한다. 이를 통해 한 구성요소 내의 이벤트가 다른 구성요소의 이벤트로 연결되는 방식을 확인할 수 있다. 

엔터프라이즈 네트워크 전체에도 동일한 원칙이 적용된다. 대부분의 경우 상관 이벤트 로그를 사용해 의심스러운 권한 상승을 식별하거나 네트워크의 다양한 세그먼트에 영향을 미치는 공격을 추적할 수 있다. 기업이 클라우드로 전환하거나 쿠버네티스(Kubernetes)와 같은 컨테이너 기반 인프라를 구현함에 따라 이런 광범위한 시야는 점점 더 중요해지고 있다. 

- SIEM 생태계 
SIEM은 본질적으로 다양한 공급업체의 다른 시스템과의 연결에 의존한다. 물론 텍스트 기반 로그 파일에서 SNMP(Simple Network Monitoring Protocol) 또는 시스로그(Syslog)와 같은 프로토콜에 이르기까지 데이터 교환 표준이 있다. 

SIEM이 다른 시스템과 직접 또는 플러그인을 통해 통합할 수 있다면 작업이 훨씬 쉬워진다. 강력하고 성숙한 생태계를 갖춘 SIEM을 통해 이벤트 수집, 분석, 경고 및 자동화와 같은 기능을 향상시킬 수 있다. 

SIEM 생태계를 통해 시스템 개선 외에도 고려해야 할 다른 비즈니스 이점도 있다. 예를 들어, 성숙한 SIEM은 교육에 대한 수요를 창출하고 커뮤니티 기반 지원을 추진하며 채용 프로세스를 간소화하는 데 도움이 된다. 

- API를 통한 상호작용
확장성을 제공하는 생태계는 훌륭하지만, 모든 비즈니스의 다양한 요구를 모두 충족하지는 못한다. 자사의 비즈니스가 소프트웨어 개발과 관련된 경우, 특히 데브옵스(devops)에 시간과 노력을 투자한 경우에는 SIEM과 프로그래밍 방식으로 상호작용하는 기능이 큰 차이를 만들 수 있다. SIEM은 보안 또는 디버깅을 위해 로깅 기능에 개발 시간을 들이지 않고, 사용자 지정 코드에서 이벤트 데이터를 수집, 상호 연관 및 분석할 수 있다. 

- SIEM 비용, 기능 선택 이후 고려  
물론 비용은 SIEM 선택 결정의 한 요소다. 하지만 비용 계산에는 미묘한 차이가 있다. 클라우드 서비스로 제공되는 SIEM 플랫폼은 거의 구독을 통해 제공된다. 그러나 청구서에는 이벤트 데이터 볼륨 또는 모니터링되는 엔드포인트 수와 같은 사용 요금이 포함될 수 있다. 

결론적으로 SIEM 후보를 필요한 기능을 갖춘 SIEM 후보로 압축한 후, 발생할 수 있는 구독 및 사용 요금을 자세히 비교한다. 더 비싼 제품을 선호한다면 효율성을 높이거나 규모를 조금 줄일 수 있는 방법을 고려한다. 


SIEM 공급업체 TOP 9

수십 개의 SIEM 공급업체가 있지만 제공하는 기능들은 거의 동일하다. 가장 최근의 포레스터 웨이브(Forrester Wave) 또는 가트너 매직 쿼더런트(Gartner Magic Quadrant) 분석 보고서에서 9개 공급업체를 선정해 알파벳 순으로 정렬했다. 이번 기사에 나온 제품은 권장 사항이 아니며 제외된 제품이라고 해서 비판하는 것은 아니다. 
 
- 엑사빔(Exabeam): 엑사빈의 퓨전 SIEM(Fusion SIEM)은 SIEM 분석과 XDR(eXtended Detection and Response)을 결합한 클라우드 전용 솔루션으로, 다양한 보안 기능을 간소화하고 통합하려고 시도한다. SIEM의 핵심 가운데 하나는 기술 도구와 마찬가지로 분류, 진단 및 수정과 관련된 프로세스가 중요하다는 것이다. 이처럼 프로세스와 보안 태세를 관리하는 사람에게 초점을 맞추면 기술이 훨씬 더 중요해진다. 

- IBM: 포레스터와 가트너가 모두 리더로 인정한 IBM은 ‘지능형 보안 분석(intelligent security analytics)’이라는 기치 아래 온프레미스와 클라우드 모두에서 시큐리티 큐레이더 SIEM(Security QRadar SIEM)을 제공한다. SIEM 솔루션은 IBM의 시큐리티 큐레이드 어드바이저 위드 왓슨(Security QRadar Advisor with Watson)과 함께 작동해 이상 징후 및 기타 보안 작업의 조사를 자동화한다. 

- 로그리듬(LogRhythm): SIEM 솔루션에서 스플렁크(Splunk)를 필적할만한 것은 없지만, 로그리듬은 거의 따라잡았다. 로그리듬은 수백 대의 다른 IT 시스템과의 통합, 다양한 업계 표준 준수를 평가하기 위한 모듈 라이브러리, 기본 SIEM에서 고급 SOAR 기반의 자동화 및 대응에 이르는 다양한 기능을 제공한다. 

- 마이크로소프트: 새로운 제품인 애저 센티넬(Azure Sentinel)은 마이크로소프트 클라우드에서만 사용할 수 있으며, 온프레미스 시스템에 대한 가시성도 제공한다. 주요 차이점은 마이크로소프트 365 또는 윈도우 디펜더(Windows Defender)와의 간편한 통합과 함께 다양한 소스에서 로그를 수집할 수 있다는 것이다. 애저 센티넬은 AI, 자동화 및 협업 도구를 추가하는 SIEM 및 SOAR 플랫폼으로서 입지를 굳히고 있다. 

- 레피드7(Rapid7): 공격과 손상된 리소스를 식별한 다음, 대응을 간소화하는 것이 레피드7의 탁월한 부분이다. 위협 패턴을 선별해 선택하거나, 커뮤니티에서 일부를 선택하거나, 직접 만들 수도 있다. 래피드7을 사용하면 추가 조기 경고 시스템을 제공하는 허니팟 또는 가짜 허니 자격증명, 또는 파일을 배포할 수도 있다. 래피드7은 위협이 식별되면 사용자 또는 자산에 영향을 미치는 관련 이벤트 타임라인을 구축해 조사 범위를 확장하거나 손상된 ID로 인해 발생하는 위험을 평가할 수 있도록 지원한다. 

- RSA: 소개가 필요 없는 공급업체인 RSA는 정부 기관을 비롯한 대부분의 대기업을 보호하는 역할을 수행한다. RSA의 SIEM 플랫폼은 이벤트 볼륨, 지리적 확산, 아키텍처 복잡성 및 리소스 이동(신규 애플리케이션, 서비스 또는 리소스 변경) 측면에서 이런 규모를 염두에 두고 구축됐다. 또한 RSA는 비즈니스 컨텍스트를 통합해 위협이 발생할 때 우선 순위를 지정할 수 있는 중요하거나 가치있는 리소스를 식별하도록 권장한다. 

- 시큐로닉스(Securonix): 시큐로닉스는 데이터 강화(data enrichment)를 통해 로그 및 이벤트 데이터를 향상시킨다. 경고 및 분석 기능의 상관 관계와 컨텍스트를 설정하기 위해 여러 유형의 이벤트 간에 관계를 추가할 수 있다. 추가적으로 시큐로닉스는 개방형 아키텍처인 하둡(Hadoop)에서 실행되므로 다양한 서드파티 분석 도구를 사용할 수 있다. 

- 스플렁크(Splunk): 포레스터와 가트너가 선호하는 또 다른 SIEM 공급업체인 스플렁크는 로그 파일 분석에서 금을 발견한 최초의 공급업체 가운데 하나다. 스플렁크 ES(Splunk Enterprise Security)는 자사의 성숙한 데이터 분석 및 시각화 기능을 활용해 위협 인텔리전스와 통합되고 클라우드 또는 온프레미스에서 사용할 수 있는 SIEM 솔루션을 제공한다. IDC는 스플렁크가 SIEM 시장 점유율 1위를 차지하고 있다고 말했다. 

- 파이어아이(FireEye): 파이어아이의 평판은 전설적이며, 최근 콜로니얼 파이프라인 및 솔라윈즈 공격에 대한 대응으로 다시 한번 강화됐다. 파이어아이는 화이트 글러브 프로 서비스(white glove professional services)와 함께 힐릭스 보안 운영 플랫폼(Helix security operations platform)의 SIEM 기능을 비롯한 다양한 보안 도구를 제공한다. 힐릭스는 경쟁 제품과 거의 동일한 기능을 제공하지만, 실제 판매 포인트는 추가 전문 지식이 필요할 경우, 파이어아이의 컨설팅 역량을 활용할 수 있다는 것이다. editor@itworld.co.kr


2021.07.16

최고의 SIEM를 선택하는 방법과 공급업체 TOP 9

Tim Ferrill | CSO
기업은 SIEM(Security Information & Event Management)를 사용해 기업 전체의 이벤트 및 위협에 대한 명확하고 통합된 가시성을 확보한다. 기업마다의 고유한 요구사항에 따라 최고의 SIEM 솔루션을 선택하는 방법과 SIEM을 공급하는 최고의 업체 9개를 선정했다. 
 
ⓒ Getty Images Bank

보안 위협으로부터 기업을 보호하려면 최대한의 가시성이 필요하다. 이는 SIEM이 갖고 있는 기본 개념으로, 대부분의 대기업과 중견기업의 보안 방어에 필수적인 요소로 자리잡았다. 

SIEM은 다양한 네트워크 장비, 서버, 시스템 소프트웨어 및 기타 인프라에서 실시간으로 이벤트 및 로그 데이터를 집계해 패턴을 식별하고, 이상 징후를 표시하고, 잠재적 위협이 탐지되면 경고를 전송한다. SIEM은 사고 대응에서도 중요한 역할을 할 수 있다. 

SIEM은 현재 온프레미스에서 클라우드로 전환하고, 위협 인텔리전스 시스템과 통합하고, 분석 기능이 축적되고, 머신러닝과 같은 다른 새로운 기능이 추가됨에 따라 빠르게 진화하고 있다. 자사에 적합한 SIEM을 선택하는 것은 중요한 결정이다. 투자는 매우 중요하며, 구성 프로세스는 한번만 수행해야 하기 때문이다. 


SIEM의 11가지 주요 기능과 기업의 고려사항 

- 클라우드인가, 온프레미스인가 
대부분의 최신 SIEM 솔루션은 기능을 더 빠르게 추가하기 위해 SaaS 모델로 전환했다. 또한 클라우드의 무한 확장은 공급업체가 비정상적 행위를 식별하기 전에 많은 양의 참조 데이터를 필요로 하는 머신러닝 기능을 더 쉽게 통합할 수 있도록 한다. 전반적으로 SaaS가 SIEM을 더 좋게 만들었다는 데에는 의견이 일치한다. 

그럼에도 불구하고 일부 기업은 SIEM을 온프레미스로 유지해야 한다. 로컬 인프라에 상주하는 로그 또는 관련 데이터 규정을 준수해야 하기 때문이다. 몇 가지 옵션을 통해 기업은 SIEM을 온프레미스에 배포할 수 있다. 

- 분석 역량(Analytics capabilities)을 판단하는 기준   
SIEM 솔루션은 해당 솔루션에서 얻을 수 있는 정보만큼만 유용하다. 인프라에서 모든 로그 및 이벤트 데이터를 수집하는 것은 문제를 식별하고 정보에 입각한 결정을 내리는 데 도움이 되지 않으면 아무런 가치가 없다. 

오늘날 SIEM 시스템의 분석 기능에는 머신러닝 기능이 포함되어 실시간으로 비정상적인 동작을 식별하고 잠재적인 공격이나 새로운 애플리케이션 또는 네트워크 오류를 자세히 살펴보도록 안내하는 등의 좀 더 정확한 조기 경고 시스템을 제공한다. 
 
SIEM 분석 요구사항은 다양한 요인에 따라 달라진다. 어떤 종류의 시스템을 모니터링하고 있는가? 대시보드 및 보고서를 작성하거나 조사를 수행하는 데 사용할 수 있는 기술은 무엇인가? 기존 분석 플랫폼을 활용하고 싶은가? 이런 질문은 플랫폼 옵션을 결정하는 데 도움이 될 수 있다. 

결정을 내릴 수 있는 기존 솔루션이나 기술이 없는 경우, 가장 좋은 방법은 광범위한 대시보드 라이브러리 또는 매니지드 서비스가 포함된 SIEM 솔루션을 선택하는 것이다. 

- 로그 수집(Log ingestion), 외부 이벤트를 제대로 식별하는가 
또 다른 실질적인 고려 사항은 수집, 즉 SIEM에서 데이터를 사용하는 방법과 연관이 있다. 일반적으로 여기에는 푸시(Push)와 풀(Pull)의 조합이 함께 수반된다. 소프트웨어 에이전트는 일부 시스템(특히 온프레미스 또는 프라이빗 클라우드에 있는 시스템)에서 로그 및 이벤트 데이터를 가져오는 반면, 네트워크 하드웨어 및 클라우드 애플리케이션은 통합 또는 API를 통해 이벤트 데이터를 SIEM으로 직접 보낸다. 

한 가지 기본적인 문제는 SIEM이 외부 이벤트의 주요 정보를 제대로 식별할 수 있는지 여부다. 이상적으로는 SIEM은 커스터마이징 없이 대부분의 일반적인 시스템에서 이벤트 데이터를 구문 분석할 때, 높은 수준의 충실도를 제공할 수 있을 만큼 성숙해야 한다. 또한 이벤트 데이터를 캡처한 후, 처리하는 방식을 조정할 때, 유연성을 제공하는 SIEM을 찾아야 로그 항목이 제대로 구문 분석되지 않는 상황을 해결할 수 있다. 

- 경고 구성, 관리 가능 상태로 적절히 유지되는가 
최신 SIEM을 사용하는 주된 이유는 시스템의 정교한 실시간 모니터링 때문이다. 그러나 사람이 경고 또는 알림(이메일, 문자 또는 모바일 기기에 대한 푸시 알림의 형태)을 모니터링하지 않으면 아무런 가치가 없다. 

모든 이메일 사용자가 알고 있듯이 경고 및 알림 문제는 볼륨을 관리 가능한 상태로 유지하는 것이다. 사용자가 너무 많은 알림을 받으면 비활성화하거나 무시한다. 너무 적으면 중대한 위협을 놓칠 수 있다. 규칙, 임계값(예, 15분 동안 시스템 다운, 10분 동안 분당 20개 오류) 및 경고 방법(문자, 이메일, 푸시 알림 및 웹북)을 포함해 경고를 유연하게 구성할 수 있는지 확인한다. 

- 자동화된 수정(Automated remediation)이 가능한가 
완벽한 세상에서는 컴퓨터 시스템이 공격이나 애플리케이션 문제를 탐지하고 자동으로 문제를 해결하기 위한 조치를 취한다. 완전히 불가능한 경우도 있지만, 특정 이벤트에서 자동 응답(사용자 계정 잠금, 블랙리스트에 IP 주소 추가 등)을 트리거하도록 하는 것이 적절하다. 

찾아야 할 주요 자동화 기능은 모니터링 및 경고(조건을 미세 조정하고 오탐지를 제한하기 위해)부터다. 이를 시작으로 규칙 조건에 대한 완전한 신뢰가 구축되면 완전히 자동화된 수정으로 기능을 확장, 진행해야 한다. 

- 역할 기반 접근(role-based access), 필수적일 수 있다 
다양한 비즈니스 부문, 여러 애플리케이션 팀 또는 지리적 위치가 분산된 대기업의 경우, 역할 기반 접근이 필수적이다. 관리자, 개발자 및 분석가가 필요한 로그 이벤트에만 접근할 수 있도록 하는 것은 편의성의 문제일 뿐만 아니라 최소 특권의 원칙과 특정 산업의 경우, 규제 요구사항이다. 

SIEM에서 캡처한 이벤트는 애플리케이션 및 서비스 기능이나 네트워크 장치의 구성 방식에 대한 심층적인 세부 정보를 제공하는 경우가 많다. 이런 이벤트 데이터에 불법적으로 접근하면 시스템에 침투하려는 악의적인 행위자에게 도움이 될 수 있다. 이는 도둑이 목표물을 강탈하기 전에 추적을 통해 이득을 얻는 것과 같다. SIEM 이벤트 데이터에 대한 사용자 접근을 제한하는 것이 모범 사례인 이유는 해킹당한 계정의 영향을 제한하고 궁극적으로 전체 네트워크를 보호하는 데 도움이 되기 때문이다. 

- 규정 준수(Regulatory compliance) 관련 확인 사항
HIPAA 또는 국방부 STIG(Security Technical Implementation Guides)와 같은 많은 규정은 SIEM 또는 유사한 유틸리티 사용을 요구할 뿐만 아니라 솔루션 구성 방법도 지정한다. 

기업의 관련 요구사항을 자세히 조사한다. 확인해야 할 사항에는 보존 기간, 암호화 요구사항(전송 중인 데이터 및 저장 데이터 모두 해당), 디지털 서명(이벤트 데이터가 어떤 식으로든 수정되지 않도록 하기 위해) 및 보고 의무 등이 있다. 또한 대부분의 규정 준수 계획에는 감사 또는 보고 요소가 포함되어 있으므로 SIEM 솔루션이 감사인을 만족시키기 위해 적절한 문서 또는 보고서를 작성할 수 있는지 확인한다. 
 
- SIEM 구현 이유, 이벤트 상관관계(Event correlation) 
아마도 SIEM을 구현하는 가장 큰 이유는 이기종 및 통합 시스템의 로그를 단일 보기로 상호 연관시키는 기능일 것이다. 예를 들어, 네트워크의 단일 애플리케이션은 데이터베이스, 애플리케이션 서버 및 애플리케이션 자체와 같은 다양한 구성요소로 이뤄진다. 

SIEM은 여러 호스트에 분산되어 있는 경우에도 이런 각 구성요소의 로그 이벤트를 사용할 수 있어야 하며, 이런 이벤트를 단일 스트림으로 상호 연관시킬 수 있어야 한다. 이를 통해 한 구성요소 내의 이벤트가 다른 구성요소의 이벤트로 연결되는 방식을 확인할 수 있다. 

엔터프라이즈 네트워크 전체에도 동일한 원칙이 적용된다. 대부분의 경우 상관 이벤트 로그를 사용해 의심스러운 권한 상승을 식별하거나 네트워크의 다양한 세그먼트에 영향을 미치는 공격을 추적할 수 있다. 기업이 클라우드로 전환하거나 쿠버네티스(Kubernetes)와 같은 컨테이너 기반 인프라를 구현함에 따라 이런 광범위한 시야는 점점 더 중요해지고 있다. 

- SIEM 생태계 
SIEM은 본질적으로 다양한 공급업체의 다른 시스템과의 연결에 의존한다. 물론 텍스트 기반 로그 파일에서 SNMP(Simple Network Monitoring Protocol) 또는 시스로그(Syslog)와 같은 프로토콜에 이르기까지 데이터 교환 표준이 있다. 

SIEM이 다른 시스템과 직접 또는 플러그인을 통해 통합할 수 있다면 작업이 훨씬 쉬워진다. 강력하고 성숙한 생태계를 갖춘 SIEM을 통해 이벤트 수집, 분석, 경고 및 자동화와 같은 기능을 향상시킬 수 있다. 

SIEM 생태계를 통해 시스템 개선 외에도 고려해야 할 다른 비즈니스 이점도 있다. 예를 들어, 성숙한 SIEM은 교육에 대한 수요를 창출하고 커뮤니티 기반 지원을 추진하며 채용 프로세스를 간소화하는 데 도움이 된다. 

- API를 통한 상호작용
확장성을 제공하는 생태계는 훌륭하지만, 모든 비즈니스의 다양한 요구를 모두 충족하지는 못한다. 자사의 비즈니스가 소프트웨어 개발과 관련된 경우, 특히 데브옵스(devops)에 시간과 노력을 투자한 경우에는 SIEM과 프로그래밍 방식으로 상호작용하는 기능이 큰 차이를 만들 수 있다. SIEM은 보안 또는 디버깅을 위해 로깅 기능에 개발 시간을 들이지 않고, 사용자 지정 코드에서 이벤트 데이터를 수집, 상호 연관 및 분석할 수 있다. 

- SIEM 비용, 기능 선택 이후 고려  
물론 비용은 SIEM 선택 결정의 한 요소다. 하지만 비용 계산에는 미묘한 차이가 있다. 클라우드 서비스로 제공되는 SIEM 플랫폼은 거의 구독을 통해 제공된다. 그러나 청구서에는 이벤트 데이터 볼륨 또는 모니터링되는 엔드포인트 수와 같은 사용 요금이 포함될 수 있다. 

결론적으로 SIEM 후보를 필요한 기능을 갖춘 SIEM 후보로 압축한 후, 발생할 수 있는 구독 및 사용 요금을 자세히 비교한다. 더 비싼 제품을 선호한다면 효율성을 높이거나 규모를 조금 줄일 수 있는 방법을 고려한다. 


SIEM 공급업체 TOP 9

수십 개의 SIEM 공급업체가 있지만 제공하는 기능들은 거의 동일하다. 가장 최근의 포레스터 웨이브(Forrester Wave) 또는 가트너 매직 쿼더런트(Gartner Magic Quadrant) 분석 보고서에서 9개 공급업체를 선정해 알파벳 순으로 정렬했다. 이번 기사에 나온 제품은 권장 사항이 아니며 제외된 제품이라고 해서 비판하는 것은 아니다. 
 
- 엑사빔(Exabeam): 엑사빈의 퓨전 SIEM(Fusion SIEM)은 SIEM 분석과 XDR(eXtended Detection and Response)을 결합한 클라우드 전용 솔루션으로, 다양한 보안 기능을 간소화하고 통합하려고 시도한다. SIEM의 핵심 가운데 하나는 기술 도구와 마찬가지로 분류, 진단 및 수정과 관련된 프로세스가 중요하다는 것이다. 이처럼 프로세스와 보안 태세를 관리하는 사람에게 초점을 맞추면 기술이 훨씬 더 중요해진다. 

- IBM: 포레스터와 가트너가 모두 리더로 인정한 IBM은 ‘지능형 보안 분석(intelligent security analytics)’이라는 기치 아래 온프레미스와 클라우드 모두에서 시큐리티 큐레이더 SIEM(Security QRadar SIEM)을 제공한다. SIEM 솔루션은 IBM의 시큐리티 큐레이드 어드바이저 위드 왓슨(Security QRadar Advisor with Watson)과 함께 작동해 이상 징후 및 기타 보안 작업의 조사를 자동화한다. 

- 로그리듬(LogRhythm): SIEM 솔루션에서 스플렁크(Splunk)를 필적할만한 것은 없지만, 로그리듬은 거의 따라잡았다. 로그리듬은 수백 대의 다른 IT 시스템과의 통합, 다양한 업계 표준 준수를 평가하기 위한 모듈 라이브러리, 기본 SIEM에서 고급 SOAR 기반의 자동화 및 대응에 이르는 다양한 기능을 제공한다. 

- 마이크로소프트: 새로운 제품인 애저 센티넬(Azure Sentinel)은 마이크로소프트 클라우드에서만 사용할 수 있으며, 온프레미스 시스템에 대한 가시성도 제공한다. 주요 차이점은 마이크로소프트 365 또는 윈도우 디펜더(Windows Defender)와의 간편한 통합과 함께 다양한 소스에서 로그를 수집할 수 있다는 것이다. 애저 센티넬은 AI, 자동화 및 협업 도구를 추가하는 SIEM 및 SOAR 플랫폼으로서 입지를 굳히고 있다. 

- 레피드7(Rapid7): 공격과 손상된 리소스를 식별한 다음, 대응을 간소화하는 것이 레피드7의 탁월한 부분이다. 위협 패턴을 선별해 선택하거나, 커뮤니티에서 일부를 선택하거나, 직접 만들 수도 있다. 래피드7을 사용하면 추가 조기 경고 시스템을 제공하는 허니팟 또는 가짜 허니 자격증명, 또는 파일을 배포할 수도 있다. 래피드7은 위협이 식별되면 사용자 또는 자산에 영향을 미치는 관련 이벤트 타임라인을 구축해 조사 범위를 확장하거나 손상된 ID로 인해 발생하는 위험을 평가할 수 있도록 지원한다. 

- RSA: 소개가 필요 없는 공급업체인 RSA는 정부 기관을 비롯한 대부분의 대기업을 보호하는 역할을 수행한다. RSA의 SIEM 플랫폼은 이벤트 볼륨, 지리적 확산, 아키텍처 복잡성 및 리소스 이동(신규 애플리케이션, 서비스 또는 리소스 변경) 측면에서 이런 규모를 염두에 두고 구축됐다. 또한 RSA는 비즈니스 컨텍스트를 통합해 위협이 발생할 때 우선 순위를 지정할 수 있는 중요하거나 가치있는 리소스를 식별하도록 권장한다. 

- 시큐로닉스(Securonix): 시큐로닉스는 데이터 강화(data enrichment)를 통해 로그 및 이벤트 데이터를 향상시킨다. 경고 및 분석 기능의 상관 관계와 컨텍스트를 설정하기 위해 여러 유형의 이벤트 간에 관계를 추가할 수 있다. 추가적으로 시큐로닉스는 개방형 아키텍처인 하둡(Hadoop)에서 실행되므로 다양한 서드파티 분석 도구를 사용할 수 있다. 

- 스플렁크(Splunk): 포레스터와 가트너가 선호하는 또 다른 SIEM 공급업체인 스플렁크는 로그 파일 분석에서 금을 발견한 최초의 공급업체 가운데 하나다. 스플렁크 ES(Splunk Enterprise Security)는 자사의 성숙한 데이터 분석 및 시각화 기능을 활용해 위협 인텔리전스와 통합되고 클라우드 또는 온프레미스에서 사용할 수 있는 SIEM 솔루션을 제공한다. IDC는 스플렁크가 SIEM 시장 점유율 1위를 차지하고 있다고 말했다. 

- 파이어아이(FireEye): 파이어아이의 평판은 전설적이며, 최근 콜로니얼 파이프라인 및 솔라윈즈 공격에 대한 대응으로 다시 한번 강화됐다. 파이어아이는 화이트 글러브 프로 서비스(white glove professional services)와 함께 힐릭스 보안 운영 플랫폼(Helix security operations platform)의 SIEM 기능을 비롯한 다양한 보안 도구를 제공한다. 힐릭스는 경쟁 제품과 거의 동일한 기능을 제공하지만, 실제 판매 포인트는 추가 전문 지식이 필요할 경우, 파이어아이의 컨설팅 역량을 활용할 수 있다는 것이다. editor@itworld.co.kr


X