협력적 사이버 방어를 위한 새로운 SOC 프라임 플랫폼 소개

[post-views]
9월 09, 2021 · 6 분 읽기
협력적 사이버 방어를 위한 새로운 SOC 프라임 플랫폼 소개

위협 탐지 마켓플레이스에서 산업 전반의 협업으로 더 나은 사이버 방어로

SOC Prime를 시작할 때 우리는 전 세계적으로 위협 탐지를 더 쉽고 빠르고 간단하게 만들고자 하는 꿈을 꾸었습니다. 이는 기술 수준에서의 혁신을 요구했으며, 공격 행동에 중점을 두었습니다. 따라서 2016년부터 SOC Prime 팀은 전 세계 커뮤니티에 우리의 접근 방식을 소개하고 이를 실제로 적용하는 방법을 제공하기 위해 MITRE ATT&CK 프레임워크와 로키드 마틴의 사이버 킬 체인을 맞춤화했습니다. 그리고 위협 탐지를 더 효율적이고 효과적으로 만드는 사명은 탐지 알고리즘을 쉽고 공유할 수 있는 방법을 필요로 했습니다. 이것이 SOC Prime이 Sigma 프로젝트를 조기에 지원하고 대부분의 SIEM 및 EDR 백엔드에 기여하는 이유이며, Uncoder.IO를 만들고 우리의 기여를 지속적으로 발전시키고 있는 이유입니다.

더 중요한 것은 SOC Prime을 설립할 때 우리는 업계에서 가장 큰 보안 실무자 커뮤니티를 모으는 꿈을 꾸었습니다. 그러나 이 야심 찬 의도는 사이버 보안 업계의 모든 측면에 실질적인 가치를 지닌 제품 없이 달성할 수 없습니다. 그리고 이것이 바로 위협 탐지 마켓플레이스를 통해 우리가 관찰한 것입니다.

우리의 SaaS 제품을 지속적으로 개선하면서 우리는 Detection as Code를 개념에서 MVP로, 그리고 생산 단계로 발전시키며 수천 개의 회사에서 널리 받아들여지도록 도왔습니다. 이 조직들은 전 세계 150개국 이상에서 왔으며, 대규모 및 소규모 기업, 전통적인 기업, 정부 기관, 기술 기업, 보안 기술 벤더, MSSP 및 MDR 공급업체를 포함합니다. 우리가 함께 작업하고, 실습에서 효과가 있는 것과 개선이 필요한 점에 대해 피드백을 교환하면서 우리의 비전은 매우 명확해졌습니다. — 우리는 사이버 보안 산업에서 글로벌 협업을 가능하게 하는 올바른 방향으로 나아가고 있습니다.

오늘날, 우리는 다음 단계로 나아갑니다 전 세계 협업을 위해 새로 출시된 플랫폼에 위협 탐지 마켓플레이스를 추가하고 있습니다. 이를 통해 SOC Prime은 기존 컨텐츠를 직접 배포하는 것에서 벗어나 지난 10년 동안 업계가 직면했던 실질적인 문제를 해결하고 있으며, 동시에 비용을 절감하고, 속도를 높이고, 품질을 향상시키고 있습니다.

새로운 플랫폼에서는 숙련된 정보 보안 전문가와 사이버 보안 분야의 신참자 모두를 위한 더 나은 도구들이 포함되어 있으며, 위협 사냥꾼, 탐지 엔지니어, IR, 레드 및 퍼플 팀, DevSecOps 팀, SOC 및 CTI 분석가, 그리고 물론 보안 관리자와 CISO를 위한 도구들이 있습니다. 이러한 모든 도구, 즉 플랫폼 요소라고 부르는 것들은 협업, 피드백 교환, 동적 보안 메트릭, 스마트 자동화 및 데이터 공유의 프라이버시에 밀접하게 연관되어 있습니다.

SOC Prime의 잘 확립된 전통에 따라, 이러한 모든 기능은 커뮤니티에서도 프리미엄 레벨과 풀 스케일에서 상용 접근 및 지원과 함께 제공됩니다.

속담대로, 백문이 불여일견이라고 하니, 여러분 모두를 플랫폼의 라이브 모습을 살펴보시라고 환영합니다. https://tdm.socprime.com/login/platform.

FAQ

아래에서 새로 출시된 협력 사이버 방어 플랫폼에 대해 가장 자주 받는 질문에 대한 답변을 찾을 수 있습니다.

Q: 위협 탐지 마켓플레이스에 정확히 어떤 변화가 있나요?

A: 위협 탐지 마켓플레이스는 새 SOC Prime 플랫폼의 핵심 요소 중 하나로 남아 있습니다. 이제 탐색 카테고리에 배치되어 있으며, 주요 기능이 개선되고 등록된 모든 사용자에게 제공됩니다. 위협 탐지 마켓플레이스를 사용했던 경우, 귀하의 접근은 플랫폼 전체 규모로 자동으로 업그레이드되어 모든 새로운 요소와 기능을 커뮤니티 구독 레벨에서 사용할 수 있습니다. 주목할만하게도 이전 접근은 그대로 유지됩니다.

Q: 플랫폼 출시와 함께 어떤 기능이 제공되나요? 요소는 무엇이며 어떤 사항이 새로운가요?

A: SOC Prime 플랫폼 출시부터 다음과 같은 새로운 요소들이 제공됩니다.

  • Uncoder CTI
  • Quick Hunt
  • 로그 소스 커버리지 및 MITRE ATT&CK 커버리지 실시간 대시보드

모든 요소는 매칭되는 비즈니스 및 보안 요구 사항을 기반으로 해당 카테고리에 배치됩니다. 예를 들어, 위협 탐지 마켓플레이스는 탐색 섹션의 첫 번째 요소로서 탐지 컨텐츠를 발견하고 관련 보안 인텔리전스를 얻으며 로그 소스 요구 사항을 학습하는 데 사용됩니다. Uncoder CTI와 Quick Hunt는 사냥 섹션에서 제공되는 새로운 요소로, 시니어 및 주니어 위협 사냥꾼과 사이버 위협 인텔리전스 분석가를 지원하기 위해 개발되었습니다. 게다가 2021년에 공개될 두 가지 새로운 요소가 더 있습니다.

Q: 진행 중인 변화가 어떻게 플랫폼이 아니라 제품 기능 확장으로 작용합니까?

A: SOC Prime 플랫폼 출시와 함께 일상적인 사이버 방어 작업을 수행하기 위한 완전히 새로운 협력 접근 방식과 결합된 기존 제품을 도입합니다. SOC Prime의 핵심 제품인 위협 탐지 마켓플레이스는 2016년부터 존재했으며, 세계적으로 가장 큰 보안 인텔리전스 및 SOC 컨텐츠 저장소로 알려져 있습니다. 그리고 Detection as Code가 이제 전 세계적으로 잘 확립된 속성이 되었다는 사실에 대해 매우 기쁜 마음이지만, 이를 사용하는 19,000명 이상의 사람들로부터 막대한 양의 피드백을 받고 있습니다. 이러한 피드백은 탐지 컨텐츠를 사용하는 여러 가지 방법이 있으며, 행위 TTP 기반 규칙을 넘어 이를 보완하는 영역으로 확장해야 한다는 것을 이해하는 데 중요한 역할을 합니다.

예를 들어, 행위 기반 검색(위협 사냥)은 IOC 기반 검색(CTI)과 결합할 때 효과적으로 작동합니다. 우리는 전자를 익히는 데 집중하고 있는 동안, CTI 팀은 IOC 검색을 더 좋고, 시간 효율적이며, 성능이 뛰어나게 하는 피드백을 제공합니다. 따라서 우리는 이전에 Uncoder.IO 에서 배운 것을 사용하여, 그와 유사한 접근 방식을 중심으로 하는 도구를 개발하였습니다. 그리고 Uncoder CTI라는 툴은 콘텐트 논리에 너무 깊이 빠지지 않고 쉽게, 빠르게 행위 기반 사냥을 시작할 수 있도록 개발되었습니다. 그 결과, 업계의 모든 사람은 사냥의 가설을 신속히 검증하고 동료들로부터 실시간에 가깝게 피드백을 제공받을 수 있는 도구를 제공합니다. Quick Hunt was built to launch behavior-based hunts, easily and rapidly, without diving into content logic too deep. As a result, any person in the industry has a tool to validate the hunting hypotheses fast, simultaneously providing and receiving feedback from peers as close to real time as possible. 

Q: 플랫폼에 대한 프리미엄 커뮤니티 접근은 어떤 변화가 있나요?

A: 더 좋아졌습니다! 협력 사이버 방어를 위한 최초의 플랫폼을 출시하며, 우리는 커뮤니티를 그 중심에 둡니다. 접근에서의 주요 변화는 지역 사회와 유료 구독 사이의 기능 차이를 없애고 모든 수준에서 전 세계 협업을 잠금 해제한다는 것입니다. 커뮤니티 접근의 유일한 제한은 임계값 기반 특성입니다.

예를 들어, 한 Quick Hunt 세션을 피드백을 제공하지 않고 수행하면, 피드백을 제공하면 다음 무료 사냥을 위한 횟수가 초기화됩니다. Uncoder CTI의 경우, 쿼리 제한이 사용자 기준으로 일일로 적용되므로, 동료를 초대하여 무료로 2배 쿼리 제한을 얻을 수 있습니다. 그리고 연속 콘텐츠 관리 (CCM) 모듈과 그 API는 독점적인 프리미엄 기능이었습니다. 그러나 플랫폼 출시와 함께 커뮤니티 레벨에서 제공될 것이며, 다운로드 가능한 콘텐츠 양, 콘텐츠 목록 수 등에 대한 제한이 있습니다. 그 결과, CCM에 대한 커뮤니티 접근은 개인 연구실이나 파일럿 프로젝트에 적합할 것이지만, 제품 사용 임계값에는 도달하지 못합니다.

Q: 프리미엄 구독에 대한 라이센스 변경 사항이 있나요?

A: 플랫폼 출시와 함께 각 새로운 요소는 별도로 라이센스가 부여될 것입니다. 위협 탐지 마켓플레이스는 핵심 요소 중 하나가 되며, SOC 분석가 자리나 플랫폼 사용자의 권장 제한 없이 더 많은 협업에 친화적인 라이센스가 부여됩니다. 프리미엄 구독을 가지고 있으면, 우리의 고객 성공 팀이 Threat Detection Marketplace의 새로운 라이센스 전환을 위한 개별 계획과, 최대 ROI를 제공하면서 비용 효율성을 유지하기 위한 플랫폼 라이센싱 옵션에 대한 간략한 설명을 제공할 것입니다.

SOC Prime 플랫폼의 심층 기술 통찰력을 얻기 위해, 모든 새로운 요소와 기능이 단번에 제공되는 기사를 탐색하십시오. 그리고 도움말 센터 가이드 및 대화형 플랫폼 투어로 9월 14일에 시작할 귀하의 통찰력 있는 여정을 준비하십시오.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물