SOC 자동화 운영 첫 해에 대한 고찰

SOC Prime가 현재의 임무를 설정한 지 1년이 조금 넘었습니다. 자동화, 지식 통합, 선도적인 기술의 융합을 통해 가장 정교한 사이버 보안 기술에 효율성을 가져오려는 것입니다. 유행하는 문구를 사용하자면, 우리는 알려진 위협의 탐지를 자동화하고 도구를 제공하고 FTE를 해방시켜 알려지지 않은 위협과 싸움으로써 ‘사이버 보안을 실행 가능한 상태로 만들겠다’고 주장했습니다. 많은 회사들이 동일한 목표를 위해 노력하고 있지만, 하나의 솔루션이나 조직이 혼자서 적들과 싸울 수 없으며 집단 방어 시스템이 필요하다는 것은 분명합니다. 자, 오늘 우리는 이 목표를 실현하기 위한 첫 걸음을 마쳤음을 자랑스럽게 발표합니다. 오늘 SOC Prime은 예측 유지보수(SIEM) 및 통합 프레임워크라는 두 가지 핵심 제품을 보안 및 인텔리전스 관리 플랫폼 아래에서 통합했음을 발표합니다.

오늘날 보안 침해 탐지의 현재 속도를 개선할 수 있으며 악명 높은 200일보다 현저히 낮아질 수 있음을 확실히 말할 수 있습니다. 첫 번째 해답 중 하나는 현대 SOC의 많은 일상적인 운영을 자동화하고 오랫동안 업계에 정착된 기술을 융합하는 것입니다. 많은 분들과 마찬가지로, 우리 팀은 SIEM 배포의 일선 운영에서 수년을 보냈고, 많은 분들과 마찬가지로 파서 작성, 활용사례 개발, 크기 조정, 범위 설정, 해결책 찾기, 그리고 이러한 복잡한 시스템들이 그들의 임무를 수행하도록 만드는 재미있고 도전적인 일을 경험했습니다. 이제 잠시 생각해보면, 정확한 탐지는 로그 데이터와 외부 피드의 가용성, 처음 로그 소스에서 추출할 때부터 시작하여 분류 및 풍부화로 끝나는 SIEM이 소비하는 데이터의 품질, 지속적인 관리자의 주의를 요하는 플랫폼의 성능, 자산 및 네트워크 정보의 정확성, 그리고 마지막으로 SIEM 시스템 자체의 보안 등 여러 요인에 달려 있습니다.

이 모든 것은 10년 넘게 철저한 수동 작업이었고, 이제 우리는 더 발전된 도구 세트를 적용하여 일상 업무를 더 쉽게 하고 자원을 더 효율적으로 사용할 수 있게 변경되고 있습니다. 이것이 우리 예측 유지보수 모듈이 구축된 이유입니다. SOC의 핵심 속으로의 가시성을 개선하고 필요할 때 즉시 완전한 통찰력과 답변을 제공합니다. 이제 SIEM이 필요한 데이터를 캡처하고 필요할 때 제공할 수 있는지에 대해 의심하거나 임의의 추측을 할 여지가 없습니다. 이제 사실을 바탕으로 언제든지 전체 그림을 볼 수 있습니다.

그러나 SIEM 자체는 견고한 보안 인프라의 일부일 뿐이고 다양한 장치와 보안 기술과 상호 연결되어야 합니다. 2015년 초 SANS에 따르면, SOC 설문 조사에 응한 회사의 52% 이상이 자산의 구성과 취약성에 대한 가시성이 거의 없다고 응답했으며, 이는 결국 사건 대응 효율성을 감소시킵니다. 1999년 이래 취약성 관리 및 규정 준수 평가 시스템이 존재해왔고, 그들의 업무 수행 정확도와 속도 면에서 큰 성공을 거두었지만 SOC에서의 운영화 측면에서는 여전히 격차가 있습니다. 그리고 이 격차는 SIEM과 취약성 관리 기술의 완전한 통합을 통해 좁혀지며, 이는 우리가 통합 프레임워크를 통해 해결한 첫 번째 사항 중 하나입니다.

첫 고객 및 파트너와 함께 우리는 이제 프레임워크가 지속적인 취약성 및 자산 모니터링의 기초임을 실제로 입증합니다. 이제 세계 어느 회사나 SOC에서 취약성 관리, 규정 준수 및 구성 평가 플랫폼 작업을 자동화할 수 있습니다. 회사 규모, 인프라, 산업 특성 및 규정과 관련하여 모든 회사가 동일하지 않기 때문에 우리는 순수한 SaaS 및 온프레미스 에디션을 통해 모든 사람들이 사용할 수 있도록 플랫폼을 개발했으며, VMware ESXi, Microsoft HyperV, Amazon AWS, KVM 및 Proxmox 가상화 플랫폼에 배포할 수 있습니다. 그러나 통합 및 자동화가 보안을 전체적으로 다음 수준으로 끌어올릴까요? 아직은 아니며, 다음 몇 개월 내에 더 많은 것을 기대할 수 있습니다. 업데이트를 기다려주세요!