코드로서의 탐지 이점: 차세대 SOC를 위한 사이버 방어의 미래 수용
목차:
지난 10년 동안 우리는 수동 위협 탐지 프로세스가 현재의 보안 요구를 따라잡을 수 없다는 주장을 현장에서 테스트했습니다. Everything as Code (EaC) 시대가 새로운 현실임이 확고히 입증되었고, 혁신을 추구하는 보안 팀들은 그 새로운 접근법을 실제로 적용하고 있습니다. 정보 보안 전문가들은 높은 기준을 세우며 신흥 위협을 식별하고 코드로 관리할 수 있는 노출 기반 솔루션을 찾고 있습니다. 이 글에서는 최고의 소프트웨어 개발 관행을 구현하여 사이버 복원력을 강화할 수 있는 방법을 전체적으로 살펴보겠습니다. Detection-as-Code 접근 방식을 통해, 유연한 탐지로 위협 헌팅을 최신 상태로 유지합니다.
Detection as Code란 무엇인가?
Detection as Code (DaC)는 소프트웨어 기반 위협 탐지를 촉진하며, 소프트웨어 엔지니어링의 검증된 관행과 절차를 사이버 보안에 적용하여 확장 가능한 효과적인 위협 탐지를 제공합니다. 이 접근법의 기초를 맞출 때, Anton Chuvakin 은 Infrastructure as Code (IaC)가 코드로 인프라를 제공하는 것을 목표로 하는 것처럼, DaC도 체계적인 학문으로 인식되어야 하며, 소프트웨어 개발에서 영감을 받은 보다 체계적이고 유연하며 포괄적인 위협 탐지 접근법을 추구해야 한다고 강조했습니다.
간단히 말해, Detection as Code는 보안 로그 분석의 전체론적 접근법을 따르며, 공격자의 행동 패턴을 연구하고 코드로 이상 행동 탐지를 관리합니다.
Detection as Code가 사이버 보안의 미래인 이유?
위협 탐지를 코드로 관리하는 중요한 결정은 여러 가지 이점을 제공합니다. 코드 중심의 탐지 콘텐츠 접근 방식은 보안 전문가가 철저한 품질 관리를 거치고, 소스 제어에 체크인되며, 동료들에 의해 검토될 수 있는 신뢰성 있는 탐지를 제공하는 데 기여합니다. Detection-as-Code 접근 방식으로 조직이 얻는 구체적인 이점을 자세히 살펴보겠습니다.
테스트 주도 개발 (TDD)
테스트 주도 개발은 코드 관련 문제에 적시에 대응하고 전체적인 산출물의 품질을 크게 향상시키는 소프트웨어 개발 접근법입니다.
탐지를 구축하는 TDD 접근법은 탐지 코드의 품질을 향상시키며, 보다 적응력 있는 탐지를 생성할 수 있도록 합니다. 개발자는 탐지기를 수정하면서 루틴 보안 운영을 방해하지 않아도 됩니다.
재사용 가능한 코드
탐지가 쌓이면서 보안 팀은 뚜렷한 경향을 보게 됩니다. 결국, 처음부터 시작하지 않고도 여러 탐지에서 기존 코드를 활용하여 동일하거나 매우 유사한 기능을 수행할 수 있습니다.
코드 재사용성은 코드 중심 워크플로우의 향상을 위한 필수 접근법으로 구현되어야 하며, SOC 구성원이 탐지를 작성하고, 탐지 효율성을 높이고, 신흥 위협에 더 빠르게 대응할 수 있도록 합니다. 탐지에서 다음으로 코드를 재사용합니다.
신뢰할 수 있는 탐지
현대 보안 환경의 다양한 특성은 그 복잡성을 가능한 한 효율적으로 관리할 수 있는 적절하고 신뢰할 수 있는 솔루션을 요구합니다. 인기 있고 유연한 언어로 탐지를 작성하면 보다 적응력 있고 실용적인 탐지를 얻을 수 있습니다. SOC Prime는 Sigma 를 여러 플랫폼 형식에서 탐지 콘텐츠를 작성하고 공유하기 위한 범용 언어로 홍보합니다. 사이버 보안에 한 가지 일반적인 언어를 활용함으로써 도메인 별 언어(DSL)의 제한된 사용성과 적용 범위에 비해 이점을 얻습니다.
모든 개발 단계에 대해 지속적 통합/지속적 배포 (CI/CD)를 자동화함으로써, 회사는 팀의 민첩성을 확보하여 미세 조정된 탐지를 전달할 수 있습니다. CI/CD 파이프라인의 진정한 가치는 자동화를 통해 실현됩니다. 정제되고 자동화된 프로세스로 지원받아 개발자들은 로그의 풍부한 흐름 속에서 유용하고 맞춤형이며 비용 효과적인 솔루션을 출시하게 됩니다.
Detection-as-Code 접근 방식의 구현
어느 정도까지 탐지는 항상 코드였습니다. 바이러스 백신 알고리즘, 파일로 저장된 쿼리 – 그러나 코드는 특정 전문가에게만 독점적으로 제공되었으며, 소수의 공급자가 소유하며 제한된 조직 풀에 영향을 미쳤습니다. SOC Prime 는 혁신적인 Detection-as-Code 접근 방식에 획기적인 혁신을 도입하여 공급자에 구애받지 않는 오픈소스 위협 탐지를 MITRE ATT&CK® 프레임워크에 매핑하여 업계 표준과 적을 행동을 정렬할 수 있게 합니다.
막대한 힘에는 막중한 책임이 따르며, 코드 중심 접근 방식의 과정에서 콘텐츠의 높은 품질을 추구하는 본질적인 노력과 함께 유연성, 가용성, 다용도를 통합하는 것이 중요합니다. 전문가 집단 맞춤 서비스를 제공하여 Threat Bounty Program 으로 관리하며 600명 이상의 개발자의 산업 전문성을 수확하여 리소스를 신중하게 할당하고, 생산 속도를 가속화하여 Sigma 기반 콘텐츠 를 현장에 맞춰 적응시키며 공격자와 속도를 맞추고 있습니다. 우리는 업계 최초의 검색 엔진 으로 CTI 및 최신 위협 컨텍스트로 강화된 Detection-as-Code 운영을 제공하며, 위협 사냥, 위협 탐지 및 사이버 위협 인텔리전스를 지원합니다. SOC Prime의 코드 중심 위협 탐지 솔루션은 155개국 이상의 7,500개 이상의 조직이 보안 태세를 성숙하게 만듭니다. 우리의 성공 공식은 지원되는 보안 분석 도구 및 기술의 수를 늘리고 차세대 클라우드 네이티브 SIEM, EDR 및 XDR 플랫폼을 위한 탐지 기능을 풍부하게 하여 협업을 보안 혁신으로.
전환하는 데 기반을 두고 있습니다. 제로 트러스트 보안 모델 원칙에 기반한 Detection-as-Code 솔루션의 유일한 제공업체인 SOC Prime는 철저하고 유연한 위협 탐지 접근 방식을 제공합니다. 우리는 사이버 보안이 인류의 주요 도전 과제 중 하나이며 오픈 소스, 지식 공유 및 성과 중심 문화에 의해 개선될 수 있다고 강력히 믿습니다. 28,000명 이상의 사용자의 피드백을 바탕으로 전 세계 커뮤니티가 주도하는 보다 성숙한 사이버 방어에 SOC Prime와 함께 하십시오. Threat Bounty Program 연구자 및 Threat Hunter
