SIEM ROI의 이론과 현실

SIEM에 대해 많은 것이 쓰여지고 있지만, 제 개인적인 경험은 2007년에 이 훌륭한 도구들과 함께 시작되었습니다. 오늘날 이 기술은 18년 이상 되었으며, SIEM은 모든 면에서 성숙한 시장입니다. 고객, 팀, 파트너들과 함께 전 세계 백여 개의 SIEM 프로젝트에 적극적으로 참여할 수 있는 특권을 누렸습니다. 우리는 함께 SOC를 처음부터 구축하고, 중요한 SOX 로그 소스를 구현하여 엄격한 감사 기한을 준수했으며, 반나절 만에 버려진 SIEM 설치를 부활시켜 포렌식 단서를 찾아냈고, 반부정 행위 상관 규칙을 미세 조정하고… 산업과 세계 각지의 회사들과 함께 SIEM 프로젝트의 승리와 패배의 역사를 논의하면서 적절한 양의 맥주를 함께 마셨습니다. 전 세계 4만 개 이상의 조직이 SIEM 시스템을 가지고 있다는 것은 잘 알려져 있어, 이는 꽤 큰 커뮤니티이자 물론 시장입니다. 확실한 것은 SIEM의 개념 자체가 계속 진화함에 따라 이야기가 끝나지 않았다는 것입니다. 사이버 보안에 무관심하지 않은 대부분의 조직은 이미 어떤 형태로든 SIEM을 가지고 있습니다. SIEM 기술 사이의 경계는 흐려져 있습니다: 플랫폼의 1세대, 2세대, 3세대가 있지만, IBM QRadar나 Micro Focus ArcSight가 1세대 기술이고 LogRhythm이 2세대 기술이라고 말하는 것은 완전히 올바르지 않습니다. 기술은 끊임없이 발전하고 있기 때문입니다. 또한 Splunk와 Elastic이 SIEM이 아니라는 주장은 잘못된 것입니다. 이는 많은 SIEM 특성과 기능을 가지고 있기 때문입니다.

그렇다면 SIEM과 ROI는 어떻게 함께 작용할까요? ROI를 비즈니스 관점에서 보면 추가적인 이익이나 비용 절감을 의미합니다. 정보 보안 투자 수익에 대한 별도의 기사를 쓸 수 있을 만큼 많은 예를 들 수 있지만, 지금은 SIEM에 집중해 보겠습니다. 이러한 시스템에 투자하여 돈을 벌기 위해 투자한 사람은 아무도 없으리라 믿기 어렵기 때문에 우리는 비용 절감 요인에 주목해야 합니다. 이를 알아내려고 해보겠습니다.

우리의 삶에서 SIEM은 어떻게 나타날까요?
5가지 기본 ROI 동인

1. 컴플라이언스
2. 중앙 로그 저장소
3. 포렌식
4. 보안 운영 센터(SOC)
5. 유산

PCI, SOX 및 HIPAA 컴플라이언스를 위한 SIEM

종종 금융 기관과 은행이 다양한 컴플라이언스 규제가 로그 데이터를 수집하고 처리하도록 요구하기 때문에 SIEM을 구매합니다. PCI DSS는 로그 데이터를 중앙에서 수집하여 수정되지 않은 형태로 저장하고 보존하며, 무결성에 대한 감사 추적을 (모든 SIEM이 여전히 충족할 수 없는 매우 중요한 요구 사항) 제공하고, 물론 이벤트를 일일 기준으로 모니터링할 것을 요구합니다. SOX를 준수하려면 모든 SOX 중요한 시스템의 사건을 추적 및 처리해야 하며, 이에 따라 감사자는 처리된 시스템의 비즈니스 데이터를 신뢰하거나 신뢰하지 않을 수 있습니다. 사건이 처리되지 않으면 감사 비용이 훨씬 높아집니다. 또 다른 예로는 최대 5년 동안 환자 데이터 접근에 대한 감사 추적을 유지해야 한다는 요구 사항을 가진 HIPAA 컴플라이언스가 있습니다. 이는 주로 SIEM 데이터 처리 아키텍처에 영향을 미칩니다: 타사 시스템 통합 기능의 유연성, 집계의 효율성과 안정성, 데이터 압축 알고리즘 및 무결성 제어.

그렇다면 SIEM은 컴플라이언스를 위해 어떤 종류의 ROI를 생성할 수 있을까요? 가장 명확한 것은 규정 요구 사항을 따르는 것뿐만 아니라 초과함으로 인해 발생하는 벌금과 처벌의 부재입니다. 이는 SIEM 프로젝트에 투자한 금액이 컴플라이언스 위반에 대한 벌금보다 10배 이상 적을 가능성이 높기 때문에 SIEM에서 훌륭한 투자 수익을 만듭니다. 지원, 하드웨어, 소프트웨어 비용, 팀 비용, 교육 및 유지 프로그램과 같은 모든 비용을 포함한 5년 TCO 모델을 만드는 것이 좋습니다. 그런 다음 TCO를 직면한 위험을 기반으로 컴플라이언스 위반 비용 절감과 일치시킵니다. 이는 단순히 서류상에서의 ROI를 증명할뿐 아니라 오산을 피할 수 있게 도와줄 것입니다.

중앙 로그 저장소

중앙 로그 저장소로서 SIEM을 사용할 때의 ROI를 계산하는 가장 좋은 방법은 아주 간단합니다: 수집하고 저장해야 하는 로그 데이터를 결정하고, 이들이 차지할 공간, 이 작업을 위한 하드웨어 사양 및 워크로드를 결정합니다. HDD 공간부터 1 CPU 코어의 비용까지 모든 매개변수를 고려해야 합니다(특히 클라우드 기반 및 가상화 배포의 경우). 모든 로그 관리 및 SIEM 시스템은 로그 데이터를 2배에서 >10배의 효율로 압축하는 데 매우 뛰어나며, 이는 데이터 강화와 정규화가 수행되더라도 저장 비용을 직접적으로 절감하게 됩니다. 특정 SIEM이 로그 데이터 집계 및 필터링을 세밀하게 조정할 수 있는 능력은 저장 효율성과 ROI를 직접적으로 개선할 것입니다. 집계는 모든 성숙한 SIEM 플랫폼에 존재하며, 기본적으로 가트너에서 보는 모든 시스템은 일종의 집계가 있습니다. 공급업체별로 기능은 다양합니다: 종종 그저 온/오프 버튼일 수 있지만, 다른 기술에서는 9000개 이상의 매개변수를 구성하여 모든 인프라에 맞출 수 있습니다.

SIEM은 빠른 검색 및 정보 제공을 지원하기 위해 구축되었습니다. 또한 우리는 로그 데이터의 백업 및 관리를 간단히 하기 위해 이 기술을 사용합니다. 놀랍도록도 중앙 로그 저장 시스템을 관리하는 것이 개별 로그 소스를 관리하는 것보다 훨씬 쉽습니다. SIEM이 생성한 아카이브는 매우 자주 내장된 무결성 제어를 가지고 있으며 변조하기 어렵습니다: 이들은 암호화되거나 하나의 컨테이너로 생성되며, 컨테이너의 무결성을 파손하는 것이 눈에 띄지 않을 것입니다. 모든 성숙한 SIEM은 이러한 컨테이너와 로그 보유의 무결성을 제어합니다.

우리는 종종 SIEM 프로젝트가 주로 로그 데이터 저장 공간 절약 이유로 IT 및 보안 이니셔티브로 발생하는 것을 봅니다. 이는 Splunk 및 Elasticsearch 플랫폼에 특히 해당하며, 이들은 둘 다 이 작업에 가장 적합합니다. 여기서의 일반적인 시나리오는 IT 부서가 관리 지원과 프로젝트 자금을 받고 플랫폼을 획득한 후 보안 팀이 추가 라이센스를 업그레이드로 받아 동일한 공급업체의 기술 통합이 TCO를 줄이고 지원을 단순화하기 때문입니다.

프로액티브 포렌식 운영의 ROI

모든 로그 데이터의 중앙 집중화된 안전한 저장소는 포렌식에 대한 ROI를 창출할 수 있는 방법을 엽니다: 로그는 수정되지 않은 변조 방지 형식으로 저장되며, 빠른 검색과 피벗이 가능하고, SIEM 구현이 제대로 이루어졌다면 그 모든 것이 합리적인 시간 내에 가능합니다. 따라서 사건에 대한 조사를 더 빠르게 수행할 수 있으며 증거를 얻는 것이 더 간단해집니다. 우리가 정말로 그것이 필요할 때는 언제일까요? 음, 인포섹 경험이 우리에게 무언가를 가르쳐줬다면 그건 바로 사건이 발생했을 때 대부분의 조직에는 조사를 수행할 전임 전문가가 없으며 이 책임은 정보(또는 사이버) 보안 부서에 어떤 방식으로든 떨어지게 된다는 사실입니다. 오직 대기업 및 공공 부문 조직만이 이러한 목적으로 직원을 할당할 여력이 있습니다. 그리고 비즈니스의 눈에는 포렌식이 회사에 피할 수 없는 큰 비용으로 보입니다. SIEM에 필요한 모든 데이터가 있다면 CHFI 전문가는 훨씬 더 빠르게 조사를 수행하고 주요 목표 – 적과 증거를 찾는 것 -에 집중할 것입니다. 로그 데이터가 원본 형식으로 사용 가능하고, 미리 정의된 보고서 및 내보내기가 실제로 존재하고 검색하는 데 며칠이 걸리지 않으며, 트래픽 덤프(PCAP)가 사용 가능하며, 우리는 심지어 보안 사건을 의심하는 사건 통계를 가지고 전체 그림을 더 잘 그릴 수 있습니다. 반대 상황에서는 포렌식 전문가가 깊이 파헤쳐야 하고, 아마도 현장에 방문하여 필요한 데이터를 서버에서 비트 단위로 수집해야 할 것입니다. 후자의 상황에서는 제대로 조사를 수행하는 데 걸리는 시간이 증가하여 포렌식 비용이 증가하거나 최종 결과가 실망스러울 정도로 품질이 떨어질 수 있습니다. 사건이 발생하지 않았다면 프로액티브 포렌식의 ROI를 계산하는 것은 거의 불가능합니다. 그러나 데이터 유출, APT 공격 및 사이버 사건 통계의 증가 추세를 살펴보고 현실을 받아들인다면 결국 어떤 조직이든 해킹당할 것이라는 것을 깨닫게 됩니다. 그리고 침해당하는 것은 어떤 CISO에게도 직접적이거나 간접적인 방식으로 포렌식 조사를 처리해야만 한다는 것을 의미합니다.

실제 생활에서의 SIEM과 포렌식

얼마 전 우리는 파트너와 함께 가능한 내부자 공격을 조사하는 데 긴밀히 협력했습니다. 현장에 도착했을 때 SIEM이나 중앙 로그 관리조차 설치되지 않았으며, 고전의 그것처럼 가능한 곳에서는 로그가 삭제되고 백업은 수행되지 않았으며, ACL은 없었고, PCAP 파일도 사용 불가했습니다. 우리는 타겟 이미지를 분석하고, 데이터를 복구를 위해 실험실로 보내고, 좀 더 다크넷 서핑과 발굴을 수행했습니다. 그 결과 고객의 관리진은 내부자 공격 흔적과 손상을 입증하는 보고서와 프레젠테이션 준비 시간과 함께 5일의 포렌식 비용을 지불했습니다. 그러나 회사는 로그 관리 및 SIEM이 없었기에 이 공격을 특정 인물에 대한 책임으로 명확히 할 수 없었고, 속성화가 조사를 완료하는 최선의 방법이었습니다. 회사는 데이터 복구에 더 많은 자원을 투자할 수 있었지만, 또 다른 30일이라는 추정이 있었고 이는 꽤 비용이 드는 노력으로, 우리는 그렇게 하도록 좋게 조언하지 않았습니다. 고객은 사실상 아무 것도 발견하지 못했다는 결과에 만족했을까요? 예, 그들은 법정에서 사용할 수 있는 공식 조사의 결과를 얻었습니다. IMHO지만, 이는 회사에 SIEM 시스템이 필요한지 여부를 확인하기 위한 매우 비싼 이유 중 하나입니다.

2015-2016년 APT 공격 조사에서 성공적인 SIEM ROI 사례 소규모 예시는 BlackEnergy APT 공격입니다. APT 타겟 회사는 SIEM의 PoC 구현(이 경우 arcsight)이 실행 중이었으며, 이는 새 서비스 설치의 순서를 보여주는 Microsoft 이벤트 로그 코드를 찾는 데 실질적으로 도움이 되었으며, 악성 드라이버가 시스템에 어떻게 주입되었는지를 발견할 수 있었습니다. 공격 대상 시스템에서는 모든 감사 로그가 삭제되었지만(BlackEnergy와 KillDisk) SIEM은 유닉스에서 실행 중이었고 격리된 세그먼트에 있었으므로 BlackEnergy가 도달하지 못했습니다 (유닉스 용 KillDisk는 존재하지 않았습니다/존재하지 않습니다). 따라서 이 경우 SIEM은 공격의 흔적을 보존하는 데 도움을 주었고 전체 포렌식 조사를 시작하는 첫 단서가 되었습니다.

SOC ROI 측정

SIEM 구현의 가장 일반적인 동인은 보안 사건의 주도적인 모니터링을 위한 센터를 구축하여 사건을 적시에 식별하고 예방적으로 위험을 줄이기 위함입니다. 따라서 SOC를 구축하는 것은 SIEM 구매의 일반적인 이유입니다. SOC의 SIEM 시스템의 주요 업무는 모든 종류의 이벤트 상관관계를 수행하고 데이터의 양 때문에 인간이 물리적으로 할 수 없는 것을 찾는 것입니다. 요즘 SIEM은 하루에 수십억 건의 이벤트를 처리하고, 수십만 건 또는 수백만 이상의 EPS를 처리하여 빠른 분석에 적합한 형태로 정보와 필요 조사 도구를 제공합니다. SOC 주위에 컴플라이언스, 포렌식, 중앙 로그 저장소 요구사항을 결합하여 이를 전혀 새로운 수준으로 끌어올립니다.

SOC ROI를 결정하는 것은 큰 주제지만, 기본적으로 탐지된 모든 사건을 모니터링하고 조기에 피해를 예방한 손실을 모델링하는 것이 필요합니다. 기업의 자산 및 네트워크 모델, IT 자산의 비용과 가치, 적용 가능한 위험들을 지속적으로 구축하고 유지해야 하며, 이상적으로는 CVSS 모델도 구축해야 합니다. 이러한 자산의 사건 비용을 기반으로 잠재적인 피해를 결정할 수 있습니다. SIEM 자체는 또한 분석가의 시간을 절약하고, 감사 및 위험 관리 요청에 응답하고 근본 원인 분석 및 조사를 수행하기 위해 필요한 추가 시간을 확보할 수 있도록 도와줍니다.

SIEM 사용 사례는 가치 있는 유산을 만듭니다

우리가 자주 보는 마지막 사례는 누군가가 SIEM을 상속받는 상황입니다. 시스템이 처음에 왜 획득되었는지 아무도 모르고 초기 직원은 떠나갔으며, 새로운 인원이 도착했으며, 이 상황은 최고 관리자부터 현장 전문가까지 모든 수준으로 확대됩니다. 상상해 보세요: 새 조직에서 근무를 시작했는데 그 조직에 SIEM이 있습니다. 경영진이 이렇게 말합니다: “우리는 모든 감사 로그를 통합했고, 이는 회사에 몇 천/백만 달러의 비용이 들었습니다… 이것을 통해 뭔가를 할 수 있을까요? 즉, 현재 할당된 작업은 매우 간단합니다 그리고 우리가 문서를 가지고 있고, 기술은 성숙하며, 모든 것이 거의 완벽하게 작동합니다! 따라서 여기 저기 몇 가지 조정만 하면 총체적인 보안 인식과 네트워크 가시성이 생길 것입니다. 이것은 매우 유용할 것입니다!” 야심찬 SIEM 프로젝트나 심지어 SOC는 간단한 것에서 시작해야 합니다. 이것이 실제로 ROI의 순수한 형태입니다. 이 작업에서 성공하기 위해서는 이미 구축되고 테스트된 사용 사례를 선택하고 조직에 있는 기술에 맞춰서 가장 활발히 활동하는 구체적인 위협과 위험, 램섬웨어, APT, Windows 모니터링, VPN, SSL 보안과 같은 범위에 맞춘 해결책을 선택해야 합니다. 그런 다음 ROI 동인과 일치하도록 빠르게 조정해야 할 것입니다.

SIEM ROI가 이론적으로는 매우 좋은데도 불구하고 실제와는 거리가 먼 이유는 무엇일까요?

백여 개 이상의 구현에서 얻은 교훈 중 하나는: 조직에 SIEM 시스템이 구현되었다고 해서 초기 통합 단계에서 계획된 모든 데이터가 수집 및 연결된다는 의미는 아니라는 것입니다. 통합은 과정이며, 이를 지속적인 것으로 부릅시다. 데이터가 없다는 것은 ROI가 없다는 것을 의미합니다. 그리고 이는 인수에만 국한되지 않습니다: 모든 분석 시스템이 그러하듯 SIEM은 “쓰레기 입력 = 쓰레기 출력” 원칙을 따릅니다. 간단히 말해, 데이터 문제가 무시된다면 좋은 결과를 생성하지 않을 것이며, 컴플라이언스 감사의 경우 데이터 품질과 데이터 수집이 모니터링되지 않으면 필요한 데이터를 사용할 수 없을 수 있습니다. 또한 모든 회사의 IT 인프라는 정적이지 않으며, 아키텍처는 지속적으로 변경되며, 새로운 서비스 도입 및 중지, 로그 데이터 형식 및 전송 변경, 펌웨어 및 OS 구성 변경으로 인해 데이터 품질을 보장하기 위한 이벤트 분석이 지속적으로 정제되어야 하는 프로세스가 됩니다. 이 작업에 최소 0.25 FTE의 품질이 통제되지 않는다면 데이터의 유용성은 지속적으로 감소할 것이며 예를 들어 PCI 감사 시 회사가 이를 통과하지 못할 수 있습니다. 성능 문제는 보고가 필요한 시점에 보고가 실패하는 상황을 초래할 수 있으며, 일반적으로 감사자나 경영진이 ‘어제까지’ ‘라고 요청하는 시점입니다. 이것은 특히 SOX에 치명적입니다.

SIEM은 자급자족할 수 없습니다: 온프레미스 소프트웨어인지 SaaS인지 여부에 관계없이 숙련된 인력이 필요합니다. 이는 내부 팀의 일원이거나 외주 서비스의 일원일 수도 있습니다. SIEM 프로젝트에 역투자가 잘못 계산되는 경우가 종종 발생합니다. SIEM 기술에 대한 투자는 첫 5년 동안 전체 프로젝트 예산의 20-30%까지 만 이루어져야 합니다. 장비와 팀, 특히 교육, 직원 유지 및 운영 확장에서 투자해야 합니다. 또 다른 실수는 SIEM을 구매하면 작업 부하가 크게 줄어들 것이라는 가정입니다. 반대로 실제로는 새로운 작업과 요구되는 기술을 많이 가져올 것입니다. 여러분의 전문가들은 단순히 많은 보안 데이터를 분석하고 이를 활용하여 이전에 불가능했던 위험을 줄이는 기회를 얻게 됩니다. 따라서 자원 계획의 부적절함은 SIEM에서 ROI를 얻을 수 없는 또 다른 이유입니다.

마지막으로 SIEM 사용 사례 구현 접근법은 사용 사례가 한 번만 구현되는 것이 아니며 지속적으로 개선되고 조정되지 않으면 그 품질이 빠르게 저하될 것이라는 이해가 필요합니다. 가장 효과적이면서도 동시에 간단한 해결책은 이미 사용 가능한 사용 사례를 재활용하고 새로 개발하지 않는 것입니다 (Windows 모니터링, Cisco, 안티바이러스 등 사례). 팀의 노력을 강화할 필요가 있는 것은 조직에 대한 구체적인 사용 사례의 개발입니다. 필요 사용 사례를 구축하고 있는지 확인하기 위해: 사용 사례가 다른 회사의 SIEM에 복사될 수 있고 같은 가치로 작동한다면, 이는 보편적입니다. 그렇다면 최소한의 조정으로 보안 가치를 창출할 수 있는 무료 또는 상업적 패키지가 이미 사용 가능할 확률이 높습니다.

따라서 SIEM에서 긍정적인 ROI를 보장하는 5가지 프로세스를 정의할 수 있습니다.

1. 데이터 수집 및 데이터 품질 모니터링 및 유지관리
2. SIEM 사용 사례 모니터링, 유지 및 지속적인 개선
3. 프로젝트 및 아키텍처의 적절한 기술 계획
4. 팀 과부하를 방지하기 위한 FTE 사전 계획 및 조정
5. 팀 투자에 대한 명확한 계획: 교육, 유지 및 개발

따라서 SIEM에서 ROI를 얻는 주요 방법들과 의도했던 대로 작동하지 않는 몇 가지 이유를 몇 가지 살펴보았습니다. SIEM에서 ROI를 얻는 여러분의 경험은 어떠한가요?