MSSP 및 MDR이 직면한 주요 과제와 극복 방법

어떤 것들은 결코 낡지 않습니다. 보안 제공자의 세계에서는 항상 전문가, 시간, 실제 공급자가 부족한 반면, 항상 많은 위험, 복잡성 및 비용 압박에 직면하게 됩니다. 하지만 MSSP 또는 MDR의 성장과 확장성을 방해하는 덜 명확한 도전 과제도 있습니다. 문제를 해결하고 비즈니스를 한 단계 발전시키기 위해 어려운 일상적인 문제로 바로 들어갑시다.

도전 과제 1. 로그 소스 커버리지

사이버 보안에 오랫동안 종사해도 균형을 찾는 것은 쉽지 않다는 것을 알기 때문에 가장 복잡한 문제 중 하나부터 시작합니다. 안전성을 유지하는 훌륭한 커버리지와 경고 피로와 결합된 방대한 데이터 볼륨의 중간 지점은 어디일까요? 이 질문은 각 경우가 독특하기 때문에 몇 시간의 토론 가치가 있습니다. 그러나 누군가가 로그 전략에 대해 물을 때마다 눈이 떨리는 것을 방지할 수 있기를 바라며 보편적인 권장 사항이 있습니다.

솔루션

무언가를 시작하기 전에 질문을 바꾸십시오. 어떤 로그를 수집해야 합니까? to 무엇을 위해 이 특정 로그를 수집합니까?

이제 로그를 선택할 때 고려해야 할 사항은 다음과 같습니다.

• 모든 기술을 커버하려고 하지 마십시오. 대신 킬 체인에 대한 지식을 향상시켜 공격 벡터를 이해하십시오. 기본적으로 MITRE ATT&CK에서 시작할 수 있습니다. MITRE ATT&CK 그리고 나서 Jose Luiz Rodriguez의 ATT&CK 데이터 소스에 대한 일련의 기사로 지식을 다듬을 수 있습니다. 기사 시리즈 Jose Luiz Rodriguez의 ATT&CK 데이터 소스에 관한
• 공격은 단지 하나의 프레임워크로 귀결되지 않는다는 것을 기억하십시오. 그렇기 때문에 유연해야 합니다.
• 최신 연구를 지속적으로 확인하고 업계 리더를 주시하여 새로운 기술에 뒤처지지 마십시오.
• 항상 고객의 사업 분야와 지역을 고려하십시오. 그에 따라 가장 일반적인 APT 및 공격 벡터를 정의하십시오.
• 항상 신뢰할 수 있는 최신 위협 인텔리전스를 사용하고, 역사적인 데이터를 피하십시오.
• 가시성이 사이버 보안 사고 전뿐만 아니라 사고 중 및 이후에 중요하다는 것을 기억하십시오.

귀하의 로그 소스 지식의 훌륭한 기초는 NIST 컴퓨터 보안 로그 관리 안내서 (문서 800-92)일 수 있습니다. NIST가 여전히 이 가이드를 업데이트하기 위해 작업하고 있는 동안, 기관은 실행 부서 및 기구의 수장들에게 메모를 발표했습니다. 이러한 개정은 최근 공격의 진행되는 성격에 의해 주로 촉발됩니다. 작업 중입니다 업데이트하기 위해 작업 중인 이 가이드를 메모 실행 부서 및 기관의 수장들에게 배포된

로그 수집만큼이나 중요한 다음 단계는 기록된 사건을 분석하는 것입니다. 성공적인 로그 분석을 위한 팁을 이미 다루었습니다 여기.

도전 과제 2. 다양한 플랫폼

보안 서비스 제공자 역할은 다재다능함의 도전을 만듭니다. 고객의 만족과 더 큰 목표 시장을 위해서는 다양한 제품 및 도구, 여러 SIEM, EDR, XDR을 지원할 수 있어야 합니다. 이는 관리 문제를 야기하고 추가적인 학습 곡선을 필요로 하며, 팀에 더 많은 전문가가 필요하게 됩니다.

솔루션

우수한 서비스를 제공하고 지원하려면 보편적인 솔루션을 찾는 것이 최선의 방법입니다. 사이버 보안의 경우, 작업 절차에 통합해야 하는 첫 번째 사항은 Sigma입니다. 사이버 보안을 위한 하나의 공통 언어로, 하나의 일반 쿼리를 생성하고 이를 다양한 플랫폼에서 사용할 수 있게 해줍니다. Sigma에 익숙하지 않다면, 다음 자료를 확인하십시오.

• SigmaHQ GitHub 저장소
• A 초보자를 위한 Sigma 규칙 가이드 Josh Brower와 Chris Sanders의 Sigma를 활용한 탐지 엔지니어링 기초에 대한 치트 시트
• Sigma 규칙의 해부학 Thomas Roccia의
• The pySigma Thomas Patzke와 Florian Roth가 출범한 GitHub 저장소로, Sigma 규칙을 쿼리로 파싱하고 변환하기 위한 파이썬 라이브러리입니다.
• A 초보자를 위한 Sigma 규칙 가이드 Sigma 규칙에 대한 초보자 가이드

또 다른 팁으로는 하나의 솔루션으로 여러 요구를 충족할 수 있는 신뢰할 수 있는 공급업체를 선택하는 것입니다. 그러나 제안이 넓을수록 그것을 충분히 명확하게 유지하기가 어려워지므로 범용 제품은 피하세요. LTI가 SOC Prime의 플랫폼을 활용하여 여러 SIEM 및 EDR 솔루션을 관리하는 도전 과제를 어떻게 해결했는지 확인하십시오. 범용 제품을 피하세요. LTI가 해결했습니다. SOC Prime의 플랫폼을 활용하여 여러 SIEM 및 EDR 솔루션을 관리하는 도전 과제를

도전 과제 3. 새롭게 떠오르는 위협

위협 환경은 증가하는 속도로 변화하고 있으며, 지속적으로 탐지 및 대응 방법을 개선할 수밖에 없습니다. 각 비즈니스는 이 도전에 대한 자체 답변을 찾습니다. 일부는 새 소프트웨어를 강력히 사용하고, 다른 일부는 새로운 전문가를 고용합니다. 그러나 이러한 조치가 정말 효과적일까요? 이러한 조치는 비용을 증가시킬 수 있지만 원하는 결과를 가져오지는 않을 수 있습니다. 가장 적절한 접근 방식은 무엇일까요?

솔루션

영원히 변화하는 위협 환경에 직면하여 보안 태세를 강화할 수 있는 권장 사항은 다음과 같습니다.

1. IOC 기반 규칙 대신 행동 기반 탐지를 선택하세요. 행동 기반 탐지 규칙은 적들이 반복적으로 사용하는 패턴을 주로 검색하기 때문에 더 오래 지속됩니다. 동시에, IOC 기반 탐지는 과거 데이터를 확인하고 이전에 공격을 받았는지 확인하기 위해 가장 잘 사용됩니다. 단순한 쿼리를 만들어 비정상적인 rundll32 활동을 식별하기 위한 쿼리가 IOC 보고서에 기반한 탐지보다 훨씬 오랫동안 서비스할 것입니다.
2. 위협 사냥 절차를 통합하거나 다듬으세요. 많은 비즈니스가 위협 사냥을 피하거나 아주 기본적인 방식으로 수행하지만, 이는 사전 사이버 방어를 개선하는 훌륭한 솔루션입니다. 위협 사냥 많은 비즈니스가
3. 새로운 위협, 공격 벡터, 기술, 위협 행위자 등에 대해 인지하십시오. 새로운 보고서와 업계 리더와 전문가를 주시하며 학습하고 뒤따르십시오. 이는 분명히 불쾌한 놀라움을 대폭 줄이는 데 도움이 될 것입니다.
4. 협업 사이버 방어를 활용하십시오. 귀하의 비즈니스에 매우 유익할 수 있는 다양한 오픈 소스 프로젝트가 있습니다. GitHub 저장소에서 시작해 보세요. LOLBAS, ELF 파서, YARA, regexploit, lynis등이 있습니다.
5. 탐지 규칙을 SOC Prime 플랫폼. 에서 검색하세요. 이는 탐지, 위협 맥락, 바이너리 및 관련 Red Canary 시뮬레이션을 찾는 좋은 방법입니다.

도전 과제 4. 시간

가장 가치 있는 자산이 무엇인지 논쟁할 수 있지만, 모두가 시간은 가격이 없다고 동의할 것입니다. 위협을 적시에 탐지하지 못하면 재정적 손실뿐만 아니라 데이터 손실, 규정 준수 문제 및 평판 위험도 초래할 수 있습니다. 물론 사이버 보안에 대해서는 어떤 것도 절대적인 보장을 제공할 수 없지만, 일관성 있고 전략적인 접근은 생각보다 더 많은 성과를 낼 것입니다.

적시 탐지는 이미 언급한 요소들로 요약됩니다: 킬 체인 지식, 현명한 로그 수집 및 분석, 위협 사냥 통합 및 새롭게 떠오르는 위협에 대해 최신 정보를 유지합니다. 그러나 서비스 제공 속도를 높이기 위한 추가 단계는 가능한 반복 프로세스를 자동화하는 것입니다. 그러나 MSSP 및 MDR에 가장 효율적인 자동화는 무엇입니까?

솔루션

비즈니스에 중요한 활동에 더 많은 시간과 자원을 할애하기 위해 다음 절차를 자동화해보십시오.

• 스캔 및 모니터링. 일반적으로 이러한 프로세스는 인간의 주의를 많이 필요로 하지 않기 때문에 쉽게 자동화할 수 있습니다.
• 데이터 보강 작업. 대부분의 데이터 관련 작업은 초기 단계에서 자동화될 수 있으며, 이후에 인간의 주의가 더 유용합니다.
• 기본 정렬 및 분석. 원시 데이터를 분석가에게 전달하기 전에, 적어도 가장 일반적인 사례의 경우 정렬 및 간단한 분석 과정을 쉽게 자동화할 수 있습니다.
• 저수준 사고 대응. 사고 대응은 매우 다양할 수 있습니다. 그러나 기본적인 것들은 쉽게 자동화할 수 있습니다.
• 기타 아이디어: 자동화된 펜테스팅, 탐지 배포, 소프트웨어 업데이트 등. 이 목록은 회사 정책과 전략에 따라 수정 및 확장될 수 있습니다.

로봇 프로세스 자동화(RBA)라는 개념은 여전히 몇 가지 단점이 있다고 논의되고 있습니다.

• 모든 사이버 보안 작업이 자동화될 수 있는 것은 아닙니다. 실제로는 그다지 멀지 않습니다.
• RPA 봇은 해킹당할 수 있으며, 예를 들어 운영 중단 또는 민감 데이터 손실을 초래할 수 있습니다.
• 자동화 프로세스를 설정하고 지속하는 데 여전히 지식이 풍부한 전문가가 필요합니다. 따라서 프로세스를 자동화하고 그것을 잊어버릴 수는 없습니다.
• 위협 환경이 변화함에 따라 여러 조정을 해야 할 수도 있습니다.
• 일부 기업은 정책 때문에 자동화를 적용할 수 없습니다.

도전 과제 5. 경쟁

아마도 모든 비즈니스는 하고 있는 일을 불문하고 높은 경쟁이 그들의 도전 과제 중 하나라고 주장할 것입니다. 그러나 각 산업 분야에는 고유한 특성이 있으며, 따라서 경쟁업체와 차별화하기 위한 전략도 크게 다를 것입니다.

솔루션

보안 서비스 제공자로서 다음 체크리스트는 항상 도움이 되며 항상 귀하를 올바른 방향으로 되돌릴 것입니다.

1. 전문성과 품질의 증거. 모든 공급자가 자신이 최고라고 말하는 것을 상상할 수 있습니다. 귀하의 리뷰가 이야기하도록 하여 증명하십시오. 훌륭한 일을 하면 만족한 고객이 긍정적인 경험을 공유할 것입니다. 때로는 그냥 요청해야 합니다.
2. 파트너를 현명하게 선택하십시오. 신뢰할 수 있는 공급업체를 선택하면 서비스의 품질을 입증하는 데 어려움이 없습니다.
3. 높은 가치를 보여주세요. 일부 비즈니스는 가격을 낮추고 관리할 수 있는 고객보다 더 많은 고객을 확보하려고 하는 레이스에 참여할 수 있습니다. 양보다 질을 추구하려고 하면 입소문 마케팅의 기적을 보게 될 것입니다.
4. 명확한 보고를 통해 효과성을 입증하십시오. 사업체에 서비스를 제공하고 있으며, 회사 리더들이 내리는 거의 모든 결정이 투자 수익률(ROI)을 기반으로 한다는 것을 기억하십시오. 정기적이고 명시적인 보고서로 귀하의 서비스가 얼마나 중요한지를 보여주십시오.
5. 속도와 효율성. 사이버 보안에서는 매초가 중요합니다. 따라서 가능한 최고의 타이밍으로 질 높은 결과를 제공하기 위해 노력해야 합니다. 그러나 비현실적인 약속은 피하십시오.
6. 다르게 되십시오. 비록 이 틈새 시장은 제안으로 가득 차 있지만, 경쟁업체가 자신을 어떻게 시장에 내놓는지 살펴보십시오. 그들은 커뮤니티와 어떻게 상호작용합니까? 그들의 주요 판매 포인트는 무엇입니까? 그리고 어떻게 고객을 유치합니까? 이러한 질문들은 당신의 전략을 재정비하는 데 도움이 될 수 있는 몇 가지 질문입니다.

결론

사이버 보안은 도전적인 산업이므로 항상 극복해야 할 도전 과제가 있을 것입니다. 그러나 적절한 전략, 일관된 접근 방식, 고품질 공급업체의 지원이 있으면 무엇이든 가능합니다. SOC Prime은 수많은 MSSP 및 MDR의 신뢰받는 파트너입니다. 가장 큰 위협 탐지 마켓플레이스의 효과성을 무료로 확인해보십시오. 신뢰받는 파트너 수많은 MSSP 및 MDR의. 가장 큰 위협 탐지 마켓플레이스의 효과성을 무료로 확인해보십시오.