정보보안 - 보안관제, 침해사고 대응 - SOAR (Security Orchestration, Automation and Response)
03.Security 2023. 7. 13. 11:44728x90
반응형
SOAR(Security Ochestration, Automation, Response)
SOAR를 도입하면 이기종의 보안 솔루션을 하나의 플랫폼으로 통합해 반복 업무를 자동으로 실시간 처리해줄 뿐만 아니라 복잡한 대응도 한 번에 처리 가능
SOAR는 애플리케이션프로그래밍인터페이스(API)나 구성도구를 제공해 수백 개 단위의 보안 솔루션과 통합하고 제어할 수 있게 지원한다. 또 공격 이벤트 분석부터 대응까지 일련의 과정을 자동화한다.
“통상 공격 이벤트가 탐지되면 분석가들은 특정 IP가 공격 이력이 있는지, 어떠한 공격 방식을 사용했고 얼마나 위협적인지, 공격 대상에 영향을 미칠만큼 실제 위험한 공격인지 분석하는데 10분에서 30분까지 걸린다. 이 정도도 빠른 거라 할 수 있다. 만일 한 건 당 10분 걸린다고 보면 필요한 분석가 수는 400여명이라는 얘기다. 결국 자동화밖에 답이 없다.”
SOAR 도입시 고려해야 할 세 가지 사항으로는
▲현재 업무를 명확하게 분석하고
▲보안 솔루션과 어떻게 연동하는지 확인하고
▲시스템을 구성
연동할 솔루션이 어떠한 인터페이스를 제공하는지도 파악해야 한다. 제각각이다. 만일 특정 솔루션이 자동화하는 기능 을 제공하지 않는다면 미리 방법을 마련해야 한다. 로보틱프로세스자동화(RPA)를 통해 별도 개발해 구현할 수 있다
SOAR 도입 후 효과…이벤트 분석시간 획기적 개선
이벤트당 분석 시간은 기존 10~30분에서 1~5분,으로 이벤트 처리시 평균 접속하는 보안 솔루션은 5~8개에서 1개로 줄었다고 했다.
이벤트 당 분석시간이 무려 90%나 효율화됐다.
SOAR(Security Orchestration, Automation and Response) 와 SOAPA(Security Operations and Analytics Platform Architecture)
1. 조직의 보안 운영 효율성 강화, 보안 인텔리전스의 개요
- SOAPA는 보안 데이터에 대한 수집, 프로세스, 분석, 그리고 실행하는 등의 보안 운영 전체
ㄴ SOAPA는 서로 다른 보안 도구들을 연결할 수 있는 일반적인 건축 접착제를 제공하며, 위협 예방, 탐지 및 대응을 위한 기술 협업을 배가
- SOAR는 SOAPA 의 한 구성요소로 조직이 보안 운영 프로세스를 자동화위한 도구
2. SOAPA 와 SOAR의 핵심 보안 요소
가. SOAPA와 SOAR의 연관성 기반 SOAPA 핵심 요소
- 공통 분산 데이터 서비스(Common distributed data service)
- 소프트웨어 서비스 및 통합 계층(Software services and integration layer)
- 분석 계층(Analytics layer)
- 보안 운영 플랫폼 계층(Security operations platform layer) <- SOAR
-> SOAPA는 효율적이고 효과적인 데이터 수집, 처리, 공유 및 분석을 관점 설계, 보안 분석 도구와 분석가가 어느 순간에 도달하면 SOAPA 내에 보안 운영 플랫폼 계층, 즉 SOAR 도구는 추가 조사, 작업 위임, 수정 작업 자동화, 조정 등 다양한 보안 제어를 가능케 하는 보안 운영 워크벤치로 사용
나. 보안 운영 자동화, SOAR의 핵심 요소 설명
-> 보안 인텔리전스 환경을 구축, 보안 통합 자동화 실현을 목표
3. Zero Trust 기반 엔터프라이즈 보안 신뢰성 강화 방안
"보안은 제품이 아니라 프로세스” => 보안거버넌스 + 보안 아키텍처 + 보안 Organization => 보안 Automation
=> 보안 운영 프로세스 최적화를 통한 기술 관점이 보안 자동화와 오케스트레이션을 통한 기업의 보안 Defect 즉시적인 대응 중요
주간기술동향 제2099호 SOAR 기반의 차세대 정보보안 관제 동향
728x90
'03.Security' 카테고리의 다른 글
| 해킹 (Hacking) - 퍼징(fuzzing) (0) | 2023.07.13 |
|---|---|
| 해킹 (Hacking) (0) | 2023.07.13 |
| 정보보안 - 보안관제, 침해사고 대응 (0) | 2023.07.13 |
| 정보보안 - 보안관제, 침해사고 대응 - 인공지능 (0) | 2023.07.13 |
| LLM - OWASP LLM 취약점 Top 10 리스트 v0.1 (0) | 2023.07.08 |
