정보보안 - 보안관제, 침해사고 대응 - SOAR

SOAR(Security Ochestration, Automation, Response)

SOAR를 도입하면 이기종의 보안 솔루션을 하나의 플랫폼으로 통합해 반복 업무를 자동으로 실시간 처리해줄 뿐만 아니라 복잡한 대응도 한 번에 처리 가능

SOAR는 애플리케이션프로그래밍인터페이스(API)나 구성도구를 제공해 수백 개 단위의 보안 솔루션과 통합하고 제어할 수 있게 지원한다. 또 공격 이벤트 분석부터 대응까지 일련의 과정을 자동화한다.

“통상 공격 이벤트가 탐지되면 분석가들은 특정 IP가 공격 이력이 있는지, 어떠한 공격 방식을 사용했고 얼마나 위협적인지, 공격 대상에 영향을 미칠만큼 실제 위험한 공격인지 분석하는데 10분에서 30분까지 걸린다. 이 정도도 빠른 거라 할 수 있다. 만일 한 건 당 10분 걸린다고 보면 필요한 분석가 수는 400여명이라는 얘기다. 결국 자동화밖에 답이 없다.”

SOAR 도입시 고려해야 할 세 가지 사항으로는

▲현재 업무를 명확하게 분석하고

▲보안 솔루션과 어떻게 연동하는지 확인하고

▲시스템을 구성

연동할 솔루션이 어떠한 인터페이스를 제공하는지도 파악해야 한다. 제각각이다. 만일 특정 솔루션이 자동화하는 기능 을 제공하지 않는다면 미리 방법을 마련해야 한다. 로보틱프로세스자동화(RPA)를 통해 별도 개발해 구현할 수 있다

SOAR 도입 후 효과…이벤트 분석시간 획기적 개선

이벤트당 분석 시간은 기존 10~30분에서 1~5분,으로 이벤트 처리시 평균 접속하는 보안 솔루션은 5~8개에서 1개로 줄었다고 했다.

이벤트 당 분석시간이 무려 90%나 효율화됐다.

https://byline.network/2020/09/10-126/