정보보안 - 보안관제 - SOAR

[개념] SOA, SIRP, TIP를 폭넓게 포함하는 개념

SOAR 솔루션이란?

2018년 Gartner 정의에 따르면, SOAR는 SOA, SIRP, TIP를 폭넓게 포함하는 개념으로 보안 운영에 있어 유입되는 위협에 대해 대응 레벨을 자동으로 분류하고, 표준화된 업무 프로세스에 따라 사람과 기계가 유기적으로 협력할 수 있도록 지원하는 대응 플랫폼을 말합니다.

Gartner에 따르면 "2020 년 말까지 5 명 이상의 보안 팀을 보유한 조직의 15 %가 오케스트레이션 및 자동화를 위해 SOAR 도구를 활용할 것이며, 현재는 1 % 미만"이기 때문에 앞으로 성장 가능성이 높은 시장으로 주목하고 있습니다.

SOAR 솔루션을 활용하면, 수집된 모든 로그 및 이벤트를 바탕으로 위협 인텔리전스와 능동적 탐지를 통해 침해정보와 영향도를 도출하고 이를 개선하기 위한 시스템 변경을 자동화할 수 있습니다.

SOAR 솔루션의 핵심 기능

 

• - 다양한 솔루션을 연동하여 전체 대응 프로세스의 효율성을 높여주는 오케스트레이션
• - 반복적으로 행해지는 태스크의 자동화
• - 체계적인 운영 프로세스 구축을 통한 보안 운영 가시성 향상
• - 재사용 가능한 Playbook
• - 보안 전문가간의 협업
• - API 기반의 표준화된 연결 진행으로 효율적인 Case 처리

 

(https://www.ahnlab.com/kr/site/product/productView.do?prodSeq=127

Sefinity AIR | AhnLab

 

SOAPA와 SOAR, 차이점

SOAR 도구는 SOAPA의 구성 요소 가운데 하나

 

SOAPA(Security Operations and Analytics Platform Architecture)

SOAR(Security Orchestration, Automation, and Response)

 

SOAPA는 다음과 같은 내용을 특징으로 하는 상향식 아키텍처다. 
- 공통 분산 데이터 서비스(Common distributed data service) 
SOAPA는 대량의 배치 및 스트리밍 데이터를 위한 공통 데이터 파이프 라인을 만든다. 이런 방식으로 SOAPA는 실시간 위협 탐지에서 수개월 또는 수년에 걸친 장기적인 보안 데이터 조사에 이르기까지 분석을 위한 방대한 양의 보안 데이터를 수용할 수 있다.  

- 소프트웨어 서비스 및 통합 계층(Software services and integration layer)
이 계층은 보안 데이터와 데이터를 사용하는 분석 엔진을 연결하는 역할을 한다. 간단히 말해 소프트웨어 서비스 및 통합 계층은 보안 데이터를 원하는 시기에 원하는 형식으로 분석 엔진에 제공한다. 

- 분석 계층(Analytics layer) 
보안 데이터는 엔드포인트 프로세스, 네트워크 행위, 위협 인텔리전스 패턴, 또는 이런 모든 영역을 한 번에 모니터링하는 다양한 보안 도구를 통해 조사된다. SOAPA 분석 계층은 모든 보안 데이터를 효율적으로 모니터링하고 분석하도록 설계되어 SOC 팀이 위협 탐지, 문제 파악, 실행의 우선 순위를 빠르게 정할 수 있도록 한다.  

- 보안 운영 플랫폼 계층(Security operations platform layer)
보안 분석 과정에서 문제를 발견하면 치료 작업을 보안 운영 플랫폼 계층으로 이관할 수 있다. SOAPA의 최상위 계층은 프로그래밍이 가능하며, 조사를 위한 데이터 수집, 네트워크 연결 차단, 관리 시스템에서 문제 티켓 열기와 같은 기능을 자동적으로 실행할 수 있도록 도와준다. 보안 교정 운영은 방화벽, 네트워크 프록시, 웹 또는 DNS 게이트웨이 등과 같은 여러 보안 제어에서 조치를 취하도록 조율할 수 있다. 마지막으로 보안 운영 계층은 수동 개입이 필요한 복잡한 작업을 위한 SOC 분석가용 워크벤치 역할을 한다.
 
SOAPA는 보안 데이터에 대한 수집, 프로세스, 분석, 그리고 실행하는 등의 보안 운영 전체를 얘기한다. 따라서 SOAPA는 서로 다른 보안 도구들을 연결할 수 있는 일반적인 건축 접착제를 제공하며, 위협 예방, 탐지 및 대응을 위한 기술 협업을 배가시킨다.

SOAR란 

SOAR은 용어 그대로 보안 오케스트레이션, 자동화 및 대응을 의미한다. 이 분야 공급업체는 D3, DFLabs, 데미스토(Demisto, 현재 팔로알토네트웍스의 일부), 인보타스(Invotas, 현재 파이어아이의 일부), 코맨드(Komand, 현재 래피드7의 일부), 팬텀(Phantom, 현재 스플렁크의 일부), 레질런트(Resilient, 현재 IBM의 일부), 서비스나우(ServiceNow), 시엠플리파이(Siemplify), 스윔레인(Swimlane) 등이 있다. 

SOAR 도구는 조직이 보안 운영 프로세스를 자동화하는 것을 돕도록 고안됐다. 오늘날 대부분의 보안 운영 프로세스 작업은 완전히 또는 부분적으로 수동으로 되어있다. 

SOAPA와 SOAR의 차이점

SOAR는 제품 범주이고 SOAPA는 많은 제품으로 구성된 아키텍처다. SOAPA는 효율적이고 효과적인 데이터 수집, 처리, 공유 및 분석을 용이하게끔 설계됐다. 보안 분석 도구와 분석가가 어느 순간에 도달하면 SOAPA 내에 보안 운영 플랫폼 계층, 즉 SOAR 도구는 추가 조사, 작업 위임, 수정 작업 자동화, 조정 등 다양한 보안 제어를 가능케 하는 보안 운영 워크벤치로 사용할 수 있다. 

간단히 말해 SOAR은 SOAPA 아키텍처 내 계층이다. 



http://www.itworld.co.kr/news/131103

IDG 블로그 | SOAPA와 SOAR, 차이점을 아시나요