보안 오케스트레이션, 자동화 및 대응을 위한 SOAR는 보안 팀이 별도의 보안 도구를 통합 및 조정하고 반복적인 작업을 자동화하며 인시던트 및 위협 대응 워크플로를 간소화할 수 있도록 지원하는 소프트웨어 솔루션입니다.
대규모 조직에서 보안 운영 센터(SOC)는 사이버 위협을 추적하고 대응하기 위해 수많은 도구를 사용하며, 종종 수동으로 대응합니다. 이러한 위협에 대한 수동 조사로 인해 전반적인 위협 대응 시간이 느려집니다.
SOAR 플랫폼은 SOC가 이러한 도구를 최적화된 위협 대응 워크플로에 통합하고 해당 워크플로의 낮은 수준의 반복적인 작업을 자동화할 수 있는 중앙 콘솔을 제공합니다. 또한 이 콘솔을 통해 SOC는 이러한 도구에서 생성된 모든 보안 경고를 하나의 중앙 위치에서 관리할 수 있습니다.
SOAR은 경고 분류를 간소화하고 다양한 보안 도구가 함께 작동하도록 함으로써 SOC가 평균 탐지 시간(MTTD) 및 평균 대응 시간(MTTR)을 줄여 전반적인 보안 태세를 개선하는 데 도움이 됩니다. 보안 위협을 더 빠르게 탐지하고 대응하면 사이버 공격의 영향을 완화할 수 있습니다. IBM의 최신 데이터 침해 비용 보고서에 따르면 데이터 침해 라이프사이클이 짧을수록 침해 비용이 낮아지는 것으로 나타났습니다. 200일 이내에 침해 사고가 해결된 기업은 평균적으로 미화 102만 달러의 비용을 절감하여 23%의 차이를 보였습니다.
SOAR 기술은 이전의 세 가지 보안 도구를 통합하여 탄생했습니다. 2015년 'SOAR'라는 용어를 처음 사용한 Gartner에 따르면 SOAR 플랫폼은 보안 인시던트 대응 플랫폼, 보안 오케스트레이션 및 자동화 플랫폼, 위협 인텔리전스 플랫폼의 기능을 하나의 제품에 결합합니다.
최신 SOAR 솔루션의 작동 방식을 이해하려면 보안 오케스트레이션, 보안 자동화 및 인시던트 대응과 같은 핵심 기능으로 분류하는 것이 도움이 될 수 있습니다.
"보안 오케스트레이션"은 SOAR 플랫폼이 기업의 보안 시스템에서 하드웨어 및 소프트웨어 도구를 연결하고 조정하는 방법을 의미합니다.
SOC는 방화벽, 위협 인텔리전스 피드 및 엔드포인트 보호 도구와 같은 다양한 솔루션을 사용하여 위협을 모니터링하고 이에 대응합니다. 간단한 보안 프로세스에도 여러 도구가 포함될 수 있습니다. 예를 들어 피싱 이메일을 조사하는 보안 분석가는 위협을 식별, 이해, 해결하기 위해 보안 이메일 게이트웨이, 위협 인텔리전스 플랫폼, 안티바이러스 소프트웨어가 필요할 수 있습니다. 이러한 도구는 서로 다른 공급업체에서 제공하는 경우가 많으며 쉽게 통합되지 않을 수 있으므로 분석가는 작업할 때 도구 간에 수동으로 이동해야 합니다.
SOR을 통해 SOC는 일관되고 반복 가능한 보안 운영(SecOps) 워크플로에서 이러한 도구를 통합할 수 있습니다. SOAR은 애플리케이션 프로그래밍 인터페이스(API), 사전 빌드된 플러그인 및 사용자 지정 통합을 사용하여 보안 도구(및 일부 비보안 도구)를 연결합니다. 이러한 도구가 통합되면 SOC는 플레이북을 사용하여 활동을 조정할 수 있습니다.
플레이북은 보안 분석가가 위협 탐지, 조사, 대응과 같은 표준 보안 프로세스의 단계를 간략하게 설명하는 데 사용할 수 있는 프로세스 맵입니다. 플레이북은 여러 도구와 앱에 걸쳐 사용할 수 있습니다. 완전 자동화, 완전 수동 또는 자동 작업과 수동 작업의 조합이 가능합니다.
SOAR 보안 솔루션은 지원 티켓 열기 및 닫기, 이벤트 강화, 경고 우선순위 지정과 같은 낮은 수준의 시간 소모적이고 반복적인 작업을 자동화할 수 있습니다. SOAR은 통합 보안 도구의 자동화된 작업을 트리거할 수도 있습니다. 즉, 보안 분석가는 플레이북 워크플로를 사용하여 여러 도구를 연결하고 보다 복잡한 보안 운영 자동화를 수행할 수 있습니다.
예를 들어, SOAR 플랫폼이 침해된 노트북에 대한 조사를 자동화하는 방법을 생각해 보세요. 노트북에서 의심스러운 활동을 탐지하는 엔드포인트 탐지 및 대응(EDR) 솔루션이 무언가 잘못되었다는 첫 번째 징후를 포착합니다. EDR이 SOAR에 경고를 보내면 SOAR이 미리 정의된 플레이북을 실행하도록 트리거합니다. 먼저 SOAR은 인시던트에 대한 티켓을 엽니다. 통합 위협 인텔리전스 피드 및 기타 보안 도구의 데이터로 경보를 보강합니다. 그런 다음 SOAR는 네트워크 탐지 및 대응(NDR) 도구를 트리거하여 엔드포인트를 격리하거나 안티바이러스 소프트웨어가 멀웨어를 찾아서 폭파하도록 하는 등 자동화된 대응을 실행합니다. 마지막으로 SOAR는 보안 분석가에게 티켓을 전달하여 인시던트가 해결되었는지 또는 사람의 개입이 필요한지 여부를 결정합니다.
일부 SOAR에는 보안 도구의 데이터를 분석하고 향후 위협을 처리하는 방법을 권장하는 인공 지능(AI) 및 머신 러닝이 포함됩니다.
SOAR의 오케스트레이션 및 자동화 기능을 통해 보안 인시던트 대응(IR)을 위한 중앙 콘솔 역할을 할 수 있습니다. IBM의 데이터 유출 비용 보고서에 따르면 IR 팀과 IR 계획 테스트를 모두 수행하는 조직은 둘 다 없는 조직보다 54일 더 빠르게 유출을 식별하는 것으로 나타났습니다.
보안 분석가는 SOAR을 사용하여 여러 도구 간에 이동하지 않고도 인시던트를 조사하고 해결할 수 있습니다. 위협 인텔리전스 플랫폼과 마찬가지로 SOAR은 외부 피드 및 통합 보안 도구의 메트릭과 경고를 중앙 대시보드에 집계합니다. 분석가는 다양한 소스의 데이터를 상호 연관시키고, 오탐을 필터링하고, 경고의 우선순위를 지정하고, 처리 중인 특정 위협을 식별할 수 있습니다. 그런 다음 분석가는 적절한 플레이북을 트리거하여 대응할 수 있습니다.
또한 SOC는 인시던트 후 감사 및 보다 사전 예방적인 보안 프로세스를 위해 SOAR 도구를 사용할 수 있습니다. SOAR 대시보드는 보안 팀이 특정 위협이 네트워크를 침해한 방법과 향후 유사한 위협을 방지하는 방법을 이해하는 데 도움이 될 수 있습니다. 마찬가지로 보안팀은 SOAR 데이터를 사용하여 눈에 띄지 않는 지속적인 위협을 식별하고 적절한 곳에 위협 헌팅 노력을 집중할 수 있습니다.
SOAR 플랫폼은 보안 도구를 통합하고 작업을 자동화함으로써 사례 관리, 취약성 관리, 인시던트 대응과 같은 일반적인 보안 워크플로를 간소화할 수 있습니다. 이러한 간소화의 이점은 다음과 같습니다.
SOC는 매일 수백 또는 수천 개의 보안 경고를 처리해야 할 수 있습니다. 이러한 경고는 피로함으로 이어질 수 있으며 분석가는 이로 인해 위협 활동의 중요한 징후를 놓칠 수 있습니다. SOAR은 보안 데이터를 중앙 집중화하고, 이벤트를 강화하고, 대응을 자동화하여 경고를 보다 쉽게 관리할 수 있도록 합니다. 결과적으로 SOC는 응답 시간을 단축하면서 더 많은 경고를 처리할 수 있습니다.
SOC는 SOAR 플레이북을 사용하여 일반적인 위협에 대한 확장 가능한 표준 인시던트 대응 워크플로를 정의할 수 있습니다. 보안 분석가는 사례별로 위협을 처리하는 대신 효과적인 문제 해결을 위한 적절한 플레이북을 트리거할 수 있습니다.
SOC는 SOAR 대시보드를 사용하여 네트워크와 직면한 위협에 대한 인사이트를 얻을 수 있습니다. 이 정보는 SOC가 오탐을 찾아내고, 경고의 우선순위를 더 잘 지정하고, 올바른 대응 프로세스를 선택하는 데 도움이 될 수 있습니다.
SOAR는 보안 데이터와 인시던트 대응 프로세스를 중앙 집중화하여 분석가가 함께 조사를 수행할 수 있도록 합니다. 또한 SOAR를 통해 SOC는 HR, 법률 및 법 집행 기관과 같은 외부 당사자와 보안 메트릭을 공유할 수 있습니다.
SOAR, SIEM 및 XDR 도구는 몇 가지 핵심 기능을 공유하지만 각각 고유한 기능과 사용 사례가 있습니다.
보안 정보 및 이벤트 관리(SIEM) 솔루션은 내부 보안 도구에서 정보를 수집하여 중앙 로그에 집계하고 이상 징후를 표시합니다. SIEM은 주로 대량의 보안 이벤트 데이터를 기록하고 관리하는 데 사용됩니다.
SIEM 기술은 규정 준수 보고 도구로 처음 등장했습니다. SOC는 SIEM 데이터가 사이버 보안 운영에 정보를 제공할 수 있다는 사실을 깨닫고 SIEM을 채택했습니다. SOAR 솔루션은 오케스트레이션, 자동화, 콘솔 기능 등 대부분의 표준 SIEM에 부족한 보안 중심 기능을 추가하기 위해 탄생했습니다.
확장 탐지 및 대응(XDR) 솔루션은 엔드포인트, 네트워크 및 클라우드에서 보안 데이터를 수집하고 분석합니다. SOAR과 마찬가지로 보안 인시던트에 자동으로 대응할 수 있습니다. 그러나 XDR은 SOAR보다 더 복잡하고 포괄적인 인시던트 대응 자동화가 가능합니다. 또한 XDR은 보안 통합을 단순화할 수 있으므로 SOAR 통합보다 전문 지식이나 비용이 덜 드는 경우가 많습니다. 일부 XDR은 사전 통합된 단일 공급업체 솔루션인 반면, 다른 XDR은 여러 공급업체의 보안 도구를 연결할 수 있습니다. XDR은 실시간 위협 탐지, 인시던트 분류, 자동화된 위협 헌팅에 자주 사용됩니다.
대기업의 SecOps 팀은 이러한 도구를 모두 함께 사용하는 경우가 많습니다. 그러나 공급자는 SIEM과 유사한 데이터 로깅을 통해 위협과 XDR에 대응할 수 있는 SIEM 솔루션을 출시하여 둘 사이의 경계를 모호하게 만들고 있습니다. 일부 보안 전문가들은 SOAR가 이전 도구를 통합했던 것처럼 언젠가 XDR이 다른 도구를 흡수할 수 있다고 생각합니다.
