보안 자동화란 무엇인가요?

조직은 취약점 스캔부터 ID 기반 액세스 제어 적용에 이르기까지 보안 라이프사이클의 모든 단계에 걸쳐 자동화를 임베딩함으로써 대응 시간을 단축하고 전반적인 보안 및 거버넌스 태세를 강화할 수 있습니다.

적대적 도메인 차단, 노출된 기밀 스캔, 일반적인 위협 조사와 같이 시간이 많이 소요되고 반복적인 작업을 자동화하면 팀이 위협에 더 빠르고 정확하게 대응할 수 있습니다. 보안 팀은 사전 예방적인 위협 탐지와 정책 최적화 등의 보다 전략적인 이니셔티브에 집중하면서 경고 피로도를 줄일 수 있습니다.

IBM 데이터 유출 비용(CODB) 보고서에 따르면 보안 자동화를 사용하는 조직은 침해 시간을 평균 80일 단축하고 평균 침해 비용을 190만 달러 절감할 수 있습니다.

조직은 일반적으로 하이브리드 환경 전반에서 가시성, 오케스트레이션 및 지속적인 보호를 제공하기 위해 협력하는 여러 보안 자동화 플랫폼을 배포합니다.

최신 구현에서는 코드형 정책 프레임워크와 기밀 스캔 기능을 통해 이러한 보안 자동화 솔루션을 점점 더 보완하고 있습니다.

코드형 정책은 하이브리드 환경 전반에 일관된 보안 및 규정 준수 표준을 적용하는 데 도움이 되며, 기밀 스캔은 개발 파이프라인 초기에 노출된 자격증명을 식별하는 데 도움이 됩니다. 이러한 관행은 민감한 자산의 수명 주기 전반에 걸쳐 이러한 자산의 보호, 검사, 관리를 강조하는 보안 라이프사이클 관리 원칙과 일치합니다.

1.  사용자가 비정상적인 위치에서 로그인합니다.  
   
   
2. EDR은 IP 주소에 대한 지리적 위치 조회를 수행하고 결과를 SOAR 플랫폼으로 전달합니다.  
   
   
3. SOAR 플랫폼은 플레이북을 실행하여 사용자의 신원과 인증을 검증합니다.
   
   
4. SIEM은 규정 준수를 위해 인시던트를 기록합니다.

보안 자동화 워크플로는 일반적으로 대응 플레이북 작성, 위협 탐지 및 분석, 자동 대응, 인시던트 문서화의 네 가지 주요 단계를 따릅니다. 

XDR이나 차세대 SIEM과 같은 플랫폼은 이러한 워크플로 내의 여러 단계를 처리할 수 있지만 모든 단계를 포괄하는 경우는 드뭅니다. 대신, 조직은 일반적으로 IT 환경 내에서 애플리케이션 프로그래밍 인터페이스(API)와 통합 대시보드를 통해 데이터를 공유하는 몇 가지 핵심 도구를 배포합니다. 

점점 더 많은 조직이 초기 구성에서 자격 증명 교체 및 폐기에 이르기까지 전체 보안 라이프사이클을 지원하는 자동화 워크플로를 설계하고 있습니다.

또한 일부 팀은 기밀 스캔을 파이프라인에 통합하여 개발 프로세스 초기에 노출된 자격 증명이나 API 키를 탐지하고 프로덕션에 도달하기 전에 취약점을 해결하기도 합니다.

일반적인 보안 자동화 배포 구성은 다음과 같은 요소들이 결합될 수 있습니다.

• SOAR - 시스템 전반의 워크플로우와 플레이북을 오케스트레이션합니다. 
   
• EDR - 실시간으로 엔드포인트 위협을 탐지하고 대응합니다. 
   
  
• SIEM - 규정 준수를 위한 로그를 수집합니다.
  
  
• XDR - 클라우드, 네트워크, 엔드포인트 전반에 걸쳐 대응을 조정합니다.  

AI 및 ML기반 파이프라인이 점점 더 보편화됨에 따라 강력한 기밀 위생을 유지하는 것이 필수적입니다. 자격 증명이나 토큰이 의도치 않게 모델 학습 데이터 세트에 흡수되어 새로운 노출 위험이 발생할 수 있습니다.

플레이북은 위협 탐지, 조사 및 인시던트 대응과 같은 표준 보안 프로세스를 간략하게 설명하는 프로세스 맵입니다. 플레이북은 조직의 보안 인프라 전반에 걸쳐 여러 도구, 앱 및 방화벽을 아우르며 수동 프로세스를 워크플로로 대체할 수 있습니다.

완전 자동화(알려진 악성 IP 차단)부터 반자동(중요 시스템의 연결을 끊기 전에 사람의 승인 필요)까지 다양합니다. SOAR 플랫폼은 여러 툴에서 작업을 자동화하는 복잡한 플레이북을 실행하는 데 탁월한 경우가 많습니다.

자동화된 환경에서 플레이북은 복잡한 작업을 실행하기 위해 여러 보안 도구를 함께 연결하는 워크플로를 정의합니다. 팀은 위협 긴급도의 우선순위를 정하고 각 인시던트 유형에 대한 자동화된 대응을 정의하는 보안 정책을 수립합니다. 

보안 자동화는 진화하는 위협 환경에서 다음과 같은 네 가지 주요 위협 탐지 접근 방식을 사용합니다.

1. 서명 기반 탐지 - 알려진 악성 파일 해시 및 IP 주소에 플래그를 지정합니다.
   
   
2. 이상 징후 기반 탐지 - 예상 패턴에서 벗어나는 부분을 포착합니다.
   
   
3. 행동 기반 탐지 - 시간 경과에 따른 추세와 비교하여 비정상적인 활동을 식별합니다. 
   
   
4. 인텔리전스 기반 탐지 - 외부 위협 인텔리전스 피드를 통합합니다. 

다양한 보안 자동화 툴은 시스템의 다양한 측면에 초점을 맞춰 다양한 위협을 탐지할 수 있습니다.  

• 엔드포인트 탐지 및 대응(EDR) - 의심스러운 프로세스, 파일 변경 및 레지스트리 수정이 있는지 엔드포인트를 모니터링합니다.
  
  
• 네트워크 탐지 및 대응(NDR) - 네트워크 트래픽 패턴을 분석하여 서명에 의존하지 않고 위협을 식별합니다.
  
  
• ID 위협 탐지 및 대응(ITDR) - 사용자 인증 패턴과 권한 에스컬레이션을 추적합니다. 
  
  
• 데이터 탐지 및 응답(DDR) - 온프레미스, 클라우드 및 멀티클라우드 환경 전반에서 데이터를 모니터링합니다.

조직은 비즈니스 요구 사항과 위험 수준에 따라 보안 자동화 툴을 선택하여 보안 태세를 최적화합니다. 민감한 데이터를 취급하는 회사는 피싱 공격으로부터 보호하기 위해 ITDR을 배포하거나 자격 증명 노출 위험을 줄이기 위해 기밀 스캔을 통합할 수 있습니다.

규모가 큰 조직은 XDR을 추가하여 오탐 근절, 대응 조정, 전체 공격 표면에서 일관된 보호 유지와 같은 보다 포괄적인 보안 작업을 수행할 수 있습니다.

이러한 시스템에 코드형 정책을 통합하면 트래픽 차단, 액세스 취소 또는 암호화 적용과 같은 대응 조치를 환경 전체에 자동으로 일관되게 적용할 수 있습니다.

위협이 식별되면 보안팀은 보안 침해 사고를 억제하고 해결하는 프로세스인 보안 인시던트 대응을 자동화합니다. 

자동화 시스템은 플레이북의 우선순위에 따라 사건을 분류합니다. 보안 자동화는 도메인 차단, 패치 배포, 바이러스 백신 소프트웨어 업데이트, 멀웨어 스캔, 데이터 재암호화, 사용자 액세스 권한 변경과 같은 수정 작업을 수행합니다. 

다양한 유형의 플랫폼이 인시던트 대응의 다양한 측면을 자동화할 수 있습니다. XDR 플랫폼은 일반적으로 영향을 받는 디바이스의 연결을 끊고, 사용자를 네트워크에서 로그오프하고, 프로세스를 중단하고, 데이터 소스를 오프라인 상태로 전환하는 등 가장 포괄적인 대응 기능을 제공합니다. 

보안 운영 센터(SOC)에 충분한 인력을 갖추지 못한 조직은 관리형 탐지 및 대응(MDR) 제공업체를 활용하여 외부 SOC 직원을 통해 실시간으로 위협을 모니터링하고 탐지하며 대응할 수 있습니다. 

조직은 위치와 업종에 따라 보안 인시던트에 대한 특정 로깅 및 문서화를 요구하는 법률 또는 규정이 적용될 수 있습니다. 보안 자동화는 이 프로세스를 간소화하는 데 도움이 될 수 있습니다.

결제 카드 산업 데이터 보안 표준(PCI-DSS), 일반 데이터 보호 규정(GDPR), 건강 보험 양도 및 책임에 관한 법률(HIPAA), 사베인즈-옥슬리(Sarbanes-Oxley)법은 조직이 고려해야 할 표준 중 일부에 불과합니다.

SIEM 시스템은 범용 보안 자동화 툴로 자리 잡았지만, 원래 목적은 규정 준수를 위해 보안 데이터를 추적하는 것이었습니다. 자동화된 보고는 규정 준수에 필요한 리소스를 줄이고 인적 오류의 위험을 완화하는 데 도움이 될 수 있습니다.

문서화 툴은 이상 징후 기반 위협 탐지를 수행하는 AI 및 ML 툴을 위한 데이터 집계에도 도움이 될 수 있습니다. 예를 들어, 데이터 유출이 발생하는 동안 SIEM은 사용자, 시간, IP 주소를 기록하여 추가 분석을 위해 이 정보를 데이터 레이크에 저장할 수 있습니다. 이를 통해 기존 탐지 규칙을 개선하거나 새로운 탐지 규칙을 구현할 수 있습니다. 

감사 준비를 발전시키는 조직은 규정 준수 규칙을 자동화된 가드레일로 변환하기 위해 코드형 정책을 사용하는 경우가 점점 더 많아지고 있습니다. 이 접근 방식을 사용하면 코드로 작성, 배포 및 관리되는 정책을 통해 인프라가 기본적으로 항상 규정을 준수하도록 보장하고 정책 시행에 대한 버전 제어 감사 추적을 제공할 수 있습니다.

보안 자동화 툴은 보안 위협을 탐지하고 대응하여 조직의 사이버 보안의 핵심 요소인 위협 헌팅, 취약점 관리 및 위험 점수를 최적화하는 데 도움을 줍니다.

보안 자동화는 위협 헌팅을 시간 집약적인 수동 프로세스에서 지속적이고 확장가능한 운영으로 전환하는 데 도움이 될 수 있습니다. 보안 분석가가 수십 개의 시스템에서 로그를 수동으로 검토하는 대신, 자동화된 툴이 수백만 개의 이벤트를 지속적으로 분석하여 사람의 개입이 필요한 이상 징후를 표시할 수 있습니다.  

예를 들어, NDR은 현재 네트워크 동작을 과거 패턴과 비교하여 지능형 지속 위협을 나타낼 수 있는 미묘한 편차를 식별할 수 있습니다. 이러한 비교를 통해 조사 시간을 며칠에서 몇 시간으로 단축할 수 있습니다. 또한 보안 자동화 툴은 반복적인 워크로드를 자동화하고 보안 팀원들이 사이버 위협을 직접 조사할 수 있도록 함으로써 SOC의 위협 헌팅 능력을 향상시킬 수 있습니다. 

조직 인프라의 보안 취약성을 지속적으로 발견하고 해결하는 프로세스인 취약점 관리는 자동화의 이점을 누릴 수 있습니다. 

취약점 스캐너 소프트웨어는 보안 시스템의 결함이나 약점을 자동으로 평가합니다. 스캐너는 종종 SIEM 및 EDR과 같은 보안 자동화 도구와 통합되어 문제 해결의 우선순위를 지정합니다.

예를 들어, 스캐너가 인트라넷에 액세스하는 알 수 없는 디바이스를 식별하면 해당 정보를 EDR로 전달하고, EDR은 플레이북을 실행하여 인증 보류 중인 디바이스의 연결을 끊을 수 있습니다. 

많은 플랫폼이 자동으로 패치를 다운로드하고 테스트합니다. EDR 플랫폼은 새로운 패치를 자동으로 배포하지만, 통합 엔드포인트 관리(UEM) 시스템은 패치가 사용자 디바이스에 도달하고 설치되도록 도와줍니다.

고급 관행에는 기밀 노출을 줄이고 하이브리드 클라우드 및 멀티클라우드 확장을 지원할 수 있는 토큰 및 키의 자동 교체와 같은 자격 증명 위생도 포함됩니다.

자동화는 위협과 취약점에 숫자 값을 할당하여 위험 점수를 향상합니다. 

SIEM은 머신 러닝 알고리즘을 사용하여 침해와 가장 밀접하게 관련된 이벤트를 식별함으로써 보안 팀이 위험 점수를 결정하는 데 도움이 되는 방대한 양의 데이터를 수집합니다. 이러한 점수는 SOAR 대시보드에 통합되어 툴 및 사용자가 위협의 우선순위를 정할 수 있도록 도와줍니다. 

위험 점수는 자동화가 전체가 아닌 보완적인 영역임을 나타내는 예입니다. 조직의 보안 우선순위에 따라 점수를 조정하는 의사 결정에는 여전히 사람의 판단이 필수적인 경우가 많습니다.