퓨어 지식 (Pure Knowledge)
SOAR이란?

SOAR이란?

사이버 보안에서 SOAR은 보안 오케스트레이션, 자동화 및 대응을 의미합니다. 여기에는 기업이 사이버 보안 관련 데이터를 수집하고 분석할 수 있는 소프트웨어나 도구가 포함됩니다.

SOAR이란 무엇이며 어떻게 작동하나요?

SOAR 시스템을 통해 기업은 다양한 툴과 기능을 사용하여 사이버 보안 관련 데이터를 모두 활용하여 사고 대응을 개선할 수 있습니다.

SOAR 시스템의 주요 구성 요소는 다음과 같습니다.

오케스트레이션

보안 오케스트레이션은 다양한 기술과 보안 툴의 데이터를 통합하고 분석하여 사고 대응을 가속화하고 개선합니다. 오케스트레이션은 또한 조직들이 복잡한 사이버 보안 사고를 처리할 수 있도록 다양한 사이버 보안 기술을 조율하는 것을 포함합니다. SOAR 툴은 예를 들어, 방화벽 규칙의 기준으로 네트워크 모니터링 툴의 데이터를 사용하여 네트워크 보안 IT 운영 데이터를 수집할 수 있습니다.

자동화

모든 SOAR 툴의 핵심 기능 중 하나는 자동화로, 보안 사고를 수동으로 탐지하고 대응해야 하는 시간이 많이 걸리는 일이 없습니다. 예를 들어, SOAR 시스템은 특정 유형의 이벤트를 자동으로 분류하고, 보안 팀이 의사 결정 워크플로우, 상태 점검, 시행 및 격리, 감사와 같은 표준화된 자동화 절차를 정의할 수 있도록 합니다.

응답

SOAR 플랫폼은 보안 정보 및 이벤트 관리(SIEM) 시스템과 위협 인텔리전스 피드와 같은 다른 보안 툴에서 데이터를 수집합니다. 보안 이벤트의 우선순위를 정하고 보안 사고에 대한 주요 정보를 보안 직원에게 전송합니다.

사례 관리

사례 관리는 모든 SOAR 플랫폼의 기본 구성 요소입니다. 케이스 관리 기능은 보안 분석가가 개별 케이스 기록에 액세스하여 특정 사고와 관련된 모든 데이터를 동적으로 분석 및 상호 작용하고, 해당 분석을 사용하여 보안 대응 프로세스를 개선하고 반복할 수 있도록 합니다.

대시보드

SOAR 툴의 대시보드는 1, 2, 3, 4번 및 그 이상과 관련하여 발생하는 모든 일, 즉 주목할 만한 이벤트 및 심각도, 플레이북, 다른 보안 툴과의 연결, 워크로드 및 자동화된 활동으로 인한 투자 수익률 요약을 포함한 모든 보안 관련 데이터 및 활동에 대한 개요를 제공합니다. 일반적으로 기간, 데이터 소스 또는 사용자별로 SOAR 대시보드를 필터링할 수 있습니다. 위젯은 사양에 따라 켜거나 끄거나 재배열할 수 있습니다. 간단히 말해, SOAR 시스템이 수행하는 모든 작업과 성능을 모니터링하는 중앙 허브입니다.

SOAR 솔루션은 위협을 어떻게 식별하나요?

SOAR 시스템은 다양한 소스에서 데이터를 검색 및 수집한 다음, 인간과 머신러닝의 조합을 사용하여 이 데이터를 분석하여 잠재적 위협을 탐지하고 사고 대응 계획 및 조치의 우선순위를 정합니다. 일반적으로 기업은 SOAR 시스템을 자동화하여 사이버 보안을 가장 효율적으로 지원할 수 있습니다.

SOAR 데이터 소스

SOAR 시스템은 다음과 같은 다양한 소스에서 데이터를 가져와 분석합니다.

취약성 스캐너 - 컴퓨터, 네트워크 또는 애플리케이션의 보안 약점을 평가하도록 설계된 컴퓨터 프로그램입니다.
서버 및 개인용 컴퓨터와 같은 조직의 엔드포인트를 멀웨어 감염, 사이버 공격 및 기타 위협으로부터 보호하는 엔드포인트 보호 소프트웨어입니다.
방화벽 - 미리 정해진 보안 규칙에 따라 수신 및 발신 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템입니다.
침입 탐지 및 침입 방지 시스템 - 네트워크를 지속적으로 모니터링하여 악성 활동을 방지하고 이를 방지하기 위한 조치를 취하는 네트워크 보안 툴입니다.
로그 데이터, 보안 경보 및 이벤트를 중앙 집중식 플랫폼으로 집계하여 보안 모니터링 및 경보를 위한 실시간 분석을 수행하는 보안 정보 및 이벤트 관리(SIEM) 플랫폼.
외부 위협 인텔리전스는 제3자 벤더로부터 수집된 실행 가능한 위협 데이터를 포함하여 에 피드를 제공하여 사이버 위협 대응 및 인식을 향상시킵니다.

SOAR의 주요 장점

SOAR 시스템은 두 가지 주요 이점을 통해 보다 효과적이고 효율적인 사고 대응을 지원합니다.

신속한 사고 대응: SOAR은 보안 경보를 검증하고 복구하는 데 걸리는 시간을 몇 개월 또는 몇 주에서 몇 분으로 줄여 기업이 평균 탐지 시간(MTTD)과 평균 복구 시간(MTTR)을 줄일 수 있도록 지원합니다. SOAR은 또한 플레이북으로 알려진 절차를 통해 침해 사고 대응 자동화를 지원합니다. 이러한 자동화의 조치에는 방화벽 또는 IDS 시스템의 IP 주소 차단, 사용자 계정 중단, 네트워크에서 감염된 엔드포인트 격리 등이 포함됩니다.
사이버 보안 인텔리전스 향상: SOAR 시스템은 매우 다양한 소스의 데이터를 집계 및 분석할 수 있기 때문에, 모든 유형의 사이버 보안 위협에 대한 컨텍스트를 향상시키고 잘못된 경보를 줄여 보안팀이 더 어렵지 않게 더 빠르게 작업할 수 있도록 지원합니다.

SOAR과 SIEM 비교

SOAR과 SIEM은 모두 보안 위협에 대한 데이터를 처리하며 보안 사고 대응을 훨씬 개선할 수 있도록 지원합니다.

그러나 SIEM은 여러 보안 시스템의 데이터를 집계하고 상호 연관시켜 경보를 생성하는 반면, SOAR은 이러한 경보에 대한 복구 및 대응 엔진 역할을 합니다.

자동차의 비유를 사용하기 위해 SIEM은 자동차 엔진의 연료이며, 엔진 자체는 SOAR입니다. 왜냐하면 연료를 사용하여 결과 및 동작을 제공하고 모든 것이 자동으로 실행되도록 하기 때문입니다.

SOAR 툴에서 찾아야 할 사항

어떤 SOAR 툴을 사용하든, 다음을 수행할 수 있어야 합니다.

다양한 보안 시스템의 데이터와 경보를 수집하고 분석하세요.
기업이 사이버 보안 위협 및 경보를 식별, 우선 순위 지정, 조사 및 대응할 수 있도록 지원하는 워크플로우를 생성하고 자동화하세요.
다른 툴과 쉽게 통합하여 운영을 개선합니다.
사후 사고 분석을 수행하여 대응 프로세스와 사고 대응 효율성을 개선합니다.
대부분의 보안 운영을 자동화하여 중복을 제거하고, 보안 팀이 더 많은 사람이 참여해야 하는 작업에 집중할 수 있도록 지원합니다.

물론 SOAR 시스템의 일부가 될 수 있는 종과 휘슬이 더 많지만, 위의 목록은 SOAR 툴의 필수 항목입니다.

실제 SOAR 사례: 피싱 대응

피싱 이메일은 개인뿐만 아니라 엔터프라이즈 보안팀에게도 중요한 위협이 됩니다. 그 중 일부는 중요한 데이터 침해를 수행하기에 충분할 정도로 잘 구축되어 있기 때문입니다. SOAR 시스템을 구축하면 기업은 피싱 공격을 방어할 뿐만 아니라 향후 공격이 발생하지 않도록 방지할 수 있습니다.

SOAR 툴은 헤더 정보, 이메일 주소, URL 및 첨부 파일 등 다양한 아티팩트를 추출하고 분석하여 악성 이메일이 의심되는지 검사합니다. 그런 다음 위협을 분류하여 위협이 있는지, 위협이 얼마나 심각한지 판단합니다.

SOAR 툴이 이메일이 악성이라고 판단하는 경우,

다른 사서함의 다른 인스턴스와 그를 차단합니다.
이메일과 관련된 실행 파일이 실행되지 않도록 합니다.
소스 IP 주소 또는 URL을 차단합니다.
필요한 경우 영향을 받는 사용자의 워크스테이션을 격리합니다.

물론 SOAR 시스템은 모든 피싱 이메일을 포착하고 차단할 것이라고 보장할 수는 없습니다. 보안팀이 케이스 관리 기능을 통해 발생한 문제와 그 이유를 조사하고, 해당 지식을 활용하여 SOAR 시스템의 위협 탐지를 개선할 수 있습니다.

SOAR: 핵심

SOAR 시스템은 조사 및 대응 시간을 몇 시간에서 몇 분으로 단축합니다. 또한 최고 품질의 위협 데이터만 사용하여 보안 운영을 간소화함으로써 조직의 위험을 크게 줄입니다. 궁극적으로, 인적 분석가와 인적 인텔리전스를 보다 전략적으로 할당하여 기업이 내부 리소스를 극대화하고 외부 위협을 최소화할 수 있도록 합니다.