보안

"이제는 선택 아닌 필수" 성공적인 보안 자동화 팁 4가지

Jon Oltsik | CSO 2022.11.07
ESG가 지난달 발표한 보고서(SOC Modernization and the Role of XDR)에 따르면 기업의 52%가 위험한 위협 환경, 증가하는 공격 표면, 보안 경고의 양과 복잡성 등으로 인해 보안 운영이 2년 전보다 더 어려워졌다고 답했다. 이러한 데이터를 분석할 때 공통적인 주제가 있다. 바로 규모(scale)다. 

보안팀은 증가하는 모든 것을 처리하기 위해 운영을 확장할 수 있어야 한다. 아울러 전 세계적인 사이버 보안 인력 부족에서 벗어날 대안도 필요하다. 여기서 ‘보안 운영 프로세스 자동화’가 해법일 수 있다. ESG 보고서에 의하면 SOC(Security Operations Center) 팀의 46%가 보안 운영 프로세스를 ‘광범위하게’ 자동화하고 있으며, 나머지 44%는 보안 운영 프로세스를 ‘다소’ 자동화하고 있다고 밝혔다. 
 
ⓒ Getty Images Bank


다양한 보안 자동화 접근 방식

보안 운영 프로세스 자동화를 보안 오케스트레이션, 자동화, 대응(SOAR; Security Orchestration, Automation and Response) 기술과 동일시할 수 있다. 기업의 37%가 특정 유형의 상용 SOAR 도구를 사용한다는 점에서 이는 올바른 가정이다. 

흥미롭게도 기업의 절반 이상(53%)은 SOAR 대신 (이를테면) SIEM(Security Information and Event Management), TIP(Threat Intelligence Platform), IT 운영 도구 또는 XDR(Extended Detection and Response) 등 다른 보안 기술 내에서 보안 운영 프로세스 자동화 기능을 사용한다고 말했다. SOAR을 사용하는 기업은 (SOAR이) 쉽지 않다고 언급했다. 80%는 SOAR 사용이 예상보다 더 복잡하고 시간이 오래 걸린다고 답했다. 
 

성공적인 보안 자동화를 위한 팁 

ESG에 따르면 보안 전문가들은 보안 운영 프로세스 자동화가 MTTR 개선, 플레이북을 통한 위협 탐지 향상, 직원 생산성 증대, 경고 처리 속도 향상 등의 이점으로 이어질 수 있다고 전했다. 
 
  • 보안 운영 프로세스 자동화 프로젝트를 기본으로 시작하라. ESG 보고서에 의하면 SOC 관리자들은 매일 수십 번 수행하는 지루한 작업(예: IP 주소 조회, 경고 기능 강화, 바이러스토털(VirusTotal) 또는 기타 맬웨어 샘플의 파일 해시 확인 등)을 자동화하길 원했다. 몇몇은 작업 자동화만으로도 생산성이 크게 향상된다고 언급했다. SOC 팀은 서열과 관계없이 모든 직원에게 질문하고 의견을 구한 다음 자동화 작업 목록을 작성하고 우선순위를 정해야 한다. 진행 상황을 파악하는 데 도움이 될 측정 기준을 정의하면 이 목록을 보완할 수 있다.
  • 기존 기술에서 지름길을 찾아라. 코드를 작성하거나 SOAR 기술에 투자하기 전에 이미 갖추고 있는 프로세스 자동화 기능(예: SIEM, XDR, TIP 또는 서비스나우 등)을 평가할 수 있다. 이밖에 다른 사용 사례를 찾아 공통 기술 내에서 어떤 창의적인 방식으로 SOC 프로세스 자동화를 해결했는지 살펴보는 것도 가치가 있다.
  • 기존 보안 운영 프로세스 템플릿을 검토하라. 자체 보안 운영 프로세스를 평가한 후에는 확립된 베스트 프랙티스 그리고 선도 기업이 이미 수행하고 있는 작업을 확인하는 게 도움이 될 수 있다. 몇몇 SOAR 공급업체는 개별 기업의 요구사항에 맞게 사용자 정의할 수 있는 기본 워크플로우 템플릿(예: 피싱 조사, 위협 추적, 사고 대응 등)을 제공한다.
  • 로우코드/노코드 옵션을 확인하라. 개발 인력 (부족) 문제를 극복할 수 있도록 데미스토(Demisto), 세엠플리파이(Siemplify), 스플렁크 SOAR(Splunk SOAR), 스윔레인(Swimlane) 등의 SOAR은 기업이 자동화된 워크플로우를 만드는 데 도움이 될 드래그앤드드롭 메뉴를 제공한다. 티네스(Tines) 및 토크(Torq) 등 최신 SOAR 제품은 처음부터 로우코드/노코드를 중심으로 설계됐다. 로우코드/노코드 SOAR은 워크플로우 생성을 용이하게 할 뿐만 아니라 주니어 애널리스트부터 노련한 위협 헌터, 연구원, 사고 대응자까지 모든 SOC 직원을 위한 프로세스 자동화를 민주화한다.

ciokr@idg.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.