SIEM을 교체해야 하는 5가지 징후

기존 보안 정보 및 이벤트 관리(SIEM)에 투자한 보안 팀은 더 많은 데이터를 수집하고 색인하기 위해 공급업체에 더 많은 비용을 지불해야 할 수 있습니다. 최근 보고서에 따르면, 조직의 거의 절반(44%)이 현재 SIEM 솔루션을 강화하거나 교체하고 싶어하는 것으로 나타났습니다.

SIEM을 교체해야 할 때일 수도 있습니다.

다행히, Elastic을 사용하면 모든 사용자가 초기 비용이 거의 또는 전혀 들지 않는 강력한 새로운 SIEM을 사용해 볼 수 있습니다. 이 솔루션은 개방형 접근 방식을 취하며, 무료로 데이터를 수집할 수 있으므로 팀은 단일 솔루션에서 무제한 데이터를 수집하는 것이 어떤 것인지 경험할 수 있습니다. 

그래서 교체해야 하나요? SIEM을 교체해야 하는지 확인할 수 있는 5가지 문제점을 알려드립니다.

1. 데이터를 수집하고 저장하는 데 비용이 많이 든다

현재 SIEM 공급업체에서 데이터 저장 공간 비용을 청구하는 경우, 예산으로 인해 많은 중요한 상황별 데이터를 활용하지 못할 가능성이 높습니다. 안타깝게도, 활동 데이터와 컨텍스트에 신속하게 액세스하지 않으면 조직을 적절하게 보호할 수 있는 팀의 능력이 제한을 받게 됩니다. 

2. 조사 진행 속도가 느리다

팀의 쿼리에 시간이 걸린다면, 필요한 답변을 실시간으로 얻을 수 있도록 지원하는 최신 도구를 고려해야 할 때입니다. 몇 초 이내에 결과를 제공하는 SIEM 솔루션을 알아보셔야 합니다. 

3. 플랫폼이 유연하지 않다

기존 SIEM의 대부분은 팀의 특정 작업 방식에 맞춰 조정할 수 있도록 구축되지 않았습니다. 다양한 결과를 위한 맞춤형 통합, 대시보드 및 워크플로우를 구축할 수 있는 유연성은 큰 장점입니다.

4. 온프레미스만 제공된다

SIEM 솔루션이 멀티 클라우드 환경을 따라가지 못할 경우, 최신 SIEM만이 제공할 수 있는 확장성과 자동화를 달성할 수 있도록 지원하는 보완 도구가 필요합니다.

5. 사용자 커뮤니티가 제한적이다

보안에 대한 개방형 접근 방식이 없으면, 공급업체가 더 광범위한 사용자 커뮤니티의 의견을 통합하지 못할 수 있습니다. 이렇게 되면, SIEM이 끊임없이 진화하는 사이버 위협 환경에 맞춰 지속적으로 혁신할 수 있도록 해주는 기여와 피드백을 제대로 활용할 수 없게 됩니다. 

기존 SIEM의 문제

팀이 현재 SIEM 제품을 사용하면서 겪고 있는 많은 문제는 SIEM이 구축된 기반 인프라에서 비롯됩니다. SIEM의 요건은 기존의 정적인 보안 데이터 수집, 저장 및 분석보다 훨씬 더 커졌습니다. 조직은 해당 데이터에 대한 동적이고 실행 가능한 인사이트, 환경 전반의 상관 관계, 통합된 위협 인텔리전스 및 우려가 되는 영역을 세부적으로 파악하기 위한 실시간 조사 기능을 필요로 합니다. 

팀들이 지속적으로 클라우드 서비스를 통합하면서 공격 벡터는 더욱 확대됩니다. 이제 사용자, 앱, 동작 등을 모니터링하는 것은 실무자의 일상적인 작업의 일부입니다.

Elastic의 Mandy Andress CISO는 이렇게 말합니다. "워크로드가 클라우드로 마이그레이션됨에 따라, 클라우드 배포를 모니터링하는 것이 비즈니스에는 필수 사항이 되고 있습니다. 일부 구식 SIEM의 경우, 많은 관리와 공급이 필요했습니다. 오늘날의 IT 환경은 엄청나게 많은 데이터를 제공합니다. 기존 SIEM은 많은 데이터를 수집할 수 있지만 분석 기능을 내장하지 않습니다. 수집한 데이터를 분석하는 데 몇 시간 또는 며칠이 걸릴 수 있으므로, 의심스러운 작업을 신속하게 조사하는 데 영향을 미칠 수 있습니다."

교체 진행하기

SIEM을 교체하기로 결정했으면, 다음 단계는 모든 보안 관련 이벤트 로그를 수집, 시각화 및 분석할 수 있는 확장성과 유연성이 뛰어난 플랫폼을 찾는 것입니다. 또한 이 새로운 솔루션에는 규정 준수 요건을 충족하기 위해 원시 및/또는 변환된 로그를 선택적으로 기존 SIEM으로 다시 전달할 수 있는 기능이 있어야 합니다. 

원래의 SIEM은 여전히 복잡한 상관 관계 규칙, 사례 워크플로우 및 사고 대응 관리, 수개월 또는 수년간의 미세 조정을 통해 구축한 규정 준수 보고 기능을 제공하므로, 교체를 하더라도 원래의 SIEM이 즉시 필요 없어지는 것은 아닙니다.

Elastic을 기존 SIEM과 함께 사용하면, 보안 운영을 현대화하여 클라우드 속도와 규모에 맞게 데이터를 활용하여 진화하는 위협을 효과적으로 탐지, 조사 및 대응할 수 있습니다. 또한 Elastic의 리소스 기반 요금제 철학을 통해, 사용자는 데이터 수집 비용을 지불할 필요가 없으므로 추가 리소스를 투자하기 전에 솔루션을 알아보려는 팀의 진입 장벽을 낮출 수 있습니다.

실제 사용 사례

USAA는 Elastic을 사용해 SIEM을 강화하고 즉시 결과를 파악하기 시작했습니다. 그 효과는 금방 나타났습니다. 팀이 웹 프록시 대역폭 소비자를 분석하고 있던 대화형 조사 중에 바로 성과가 있었습니다. 팀은 과도한 대역폭 소비를 금방 알아차렸고, 몇 분 안에 네트워크 오용의 원인을 알아냈습니다.

USAA은 Elastic의 장점으로 널리 알려져 있는 속도의 측면에서 거의 실시간으로 조사를 수행하면서 곧 두 번째 성과를 거두었습니다. 팀은 네트워크를 통해 스캔 중이던 고객 대면 앱을 탐지했고 2-3분 이내에 포트 스캐닝 작업의 원인을 파악했습니다. 이에 비해 기존 SIEM은 동일한 시간 내에 초기 검색이 2% 밖에 완료되지 않았습니다.

수동적인 데이터 수집에서 적극적인 조사로 전환한 USAA는 Elastic을 사용하여 팀을 보안 "수집자"에서 "추적자"로 변모시켰습니다. SIEM 및 보안 분석을 위한 통합 개방형 플랫폼에서 팀의 보안 성숙도를 높이세요.

시작하기

SIEM 교체는 하나의 프로세스이며, Elastic의 보안 전문가들이 처음부터 끝까지 함께 하며 여러분이 원하는 결과를 얻을 수 있도록 지원합니다. 

최신 SIEM으로 전환할 준비가 되셨다면, 여기서 SIEM 구매자 안내서를 참조해 작업을 시작하세요.