검출을 코드로 쉽게 활용하여 즉각적인 위협 탐지 성공
목차:
SOC Prime는 고객 맞춤형 주문형 콘텐츠로 위협 탐지를 가속화하기 위한 새로운 구독 계획을 출시합니다
일반적으로 탐지 엔지니어링은 지속적으로 공격적이고, 해로운, 현재 진행 중이며 장기적으로 영향을 미치는 사이버 위협을 사냥하는 필요성으로 고통받고 있습니다. 자동화되고, 체계적이며, 반복 가능하고, 예측 가능하며, 공유 가능한 접근 방식의 필요성이 두드러집니다. 특히 위협 헌터, SOC 분석가, 탐지 콘텐츠 작성자, 관리자, 완화자로서 기능해야 하는 대부분의 탐지 엔지니어에게 말입니다. 그리고 일부분은 지휘자, 예술가, 전략가, 전술가로서 활동해야 합니다.
게다가 위협을 탐지하려면 능력뿐만 아니라 도구와 콘텐츠도 필요합니다. 조직은 구축하거나, 구매하거나, 아웃소싱하거나 아니면 무지나 회피로 인해 벌금, 수익 손실, 고객 손실, 브랜드 손상이 일반적으로 발생하는 결과를 감내할 수 있습니다. 많은 조직들이 이러한 영향을 견디지 못합니다. SOC Prime은 실현 가능하고 비용 효율적인 솔루션 을 제공하여 혁신적인 사이버 보안 접근 방식을 통해 조직이 위협 탐지 능력을 강화할 수 있게 합니다.
Detection-as-Code 패러다임
안톤 추바킨 은 “코드로서의 탐지”라는 전제를 개척하여 보안 운영을 소프트웨어 개발이 유사한 기능으로 성공을 거둔 다른 데브옵스 부서와의 정렬을 시도합니다(따라서 “as code” 태그). 이 전제는 탐지 엔지니어링을 현대적이고 효과적인 위협 탐지를 제공하며 다른 IT에서 성공적으로 사용된 현대 원칙을 기반으로 한 “진짜” 실천으로 성장시키기 위한 더 나은 장비를 갖춘 관행과 시스템으로 유도하려는 것입니다(예: 애자일, 또는 데브옵스). 궁극적으로, “코드로서의 탐지”는 더 나은 협업, 테스트, 배포 및 위협 탐지 라이프사이클 관리를 가능케 함으로써 위협 탐지 운영을 진화시키기 위한 체계적이고, 탄력적이며, 포괄적인 접근 방식으로 의도되었습니다.
SOC Prime은 코드로서의 탐지에 대한 개념을 수용하는 최초의 혁신가입니다. 오늘날 SOC Prime 플랫폼은 180K+ Sigma 기반 규칙, 쿼리, 파서, SOC 준비 대시보드, YARA 및 Snort 규칙, 머신러닝 모델과 CVE 및 MITRE ATT&CK® 프레임워크에 매핑된 Incident Response Playbook을 제공합니다.
SOC Prime의 Detection-as-Code 플랫폼을 활용한 성과는 놀랍습니다. 약 $800의 비용으로 하나의 탐지 규칙을 개발하기 위해 하루를 할애할 필요가 없어짐으로써 $3M 이상의 비용을 절감할 수 있습니다. 대기업 조직은 탐지 콘텐츠 작성에서 연간 최대 5,000시간을 절약합니다.
SOC Prime은 또한 탐지 콘텐츠가 오픈 소스, 표준 기반 및 공급자 중립적임을 보장하기 위해 Sigma를 수용하였습니다. 규칙은 구조화된 YAML 형식으로 작성되어 있어 인간과 시스템이 쉽게 소비할 수 있고 다음을 보장합니다:
- 스케일러빌리티: Sigma 규칙은 25곳 이상의 SIEM, EDR, XDR 통합을 통해 배포할 수 있습니다.
- 공유: Sigma 규칙은 모든 보안 수단과의 통합을 위한 번역과 공유를 위해 작성되었습니다.
- 단순성: 위협 탐지 엔지니어는 모든 보안 기능 전반에 걸쳐 탐지 콘텐츠를 생성하기 위한 단일 표준을 숙달해야 합니다.
주문형 구독 계획
코드로서의 탐지 개념에 대한 접근과 적용을 더욱 간소화하기 위해 SOC Prime은 코드로서의 탐지를 주문형으로 사용할 수 있게 하였습니다. 주문형 구독 은 개별 조직의 조사에 가장 중요한 공격 벡터에 맞춘 맞춤형 검색 기준을 기반으로 한 비용 효율적이고 즉각적인 탐지 코드 콘텐츠에 대한 액세스를 제공합니다. Sigma 번역 엔진은 유연성을 보장하고 모든 SIEM, EDR 또는 XDR 환경에 콘텐츠를 사용할 수 있게 합니다.
이렇게 함으로써 위협 헌터는 모든 탐지 코드 구문을 검색하여 사용할 수 있는 탐지 콘텐츠를 발견하고 보안 인프라에 관련 탐지 코드를 빠르게 배포할 수 있습니다. 의도는 조직의 위협 엔지니어링 능력 성장을 빠르고 비용 효율적으로 확장하고 위협 헌터가 자신들의 고유 환경에서 문제로 식별되거나 우선순위화된 취약점에 즉시 집중할 수 있게 하는 것입니다.
“끊임없이 변화하는 위협 환경 속에서 조직의 탐지 콘텐츠를 최신 상태로 유지하고 효과적이며 관련성 있게 유지하는 것은 보안 전문가에게 커다란 과제입니다.”라고 SOC Prime의 창업자이자 CEO인 안드리 베즈버키는 말했습니다. “SOC Prime의 주문형 탐지 코드를 통해 보안 전문가들은 필요한 정확한 시기에 관련 콘텐츠를 받을 수 있으며 중요한 위협 탐지 콘텐츠가 절대 놓치지 않도록 계속해서 보장할 수 있습니다.”
