SIEM(보안 정보 및 이벤트 관리)란 무엇인가요?
SIEM 정의
SIEM, 즉 보안 정보 및 이벤트 관리는 로그 및 이벤트를 수집하여 시각화, 경보, 검색, 보고서 등으로 나타날 수 있는 추가 분석을 위해 이 데이터를 정규화합니다. 보안 팀은 SIEM을 중앙 대시보드로 사용하여 플랫폼 외부에서 일상적인 작업을 수행하는 경우가 많습니다. 보안 분석가는 SIEM 솔루션을 사용하여 지속적인 모니터링, 위협 헌팅, 사고 조사 및 대응과 같은 고급 사이버 보안 사용 사례를 처리할 수 있습니다.
SIEM의 역사
SIEM은 20년 이상 운영되어 왔으며 초창기의 중앙 집중식 데이터베이스 형태에서 크게 발전해 왔습니다. 보안 정보 관리(SIM)와 보안 이벤트 관리(SEM)가 결합된 접근 방식에서 비롯된 SIEM의 첫 번째 반복 작업은 확장, 기본 경보 기능 및 부족한 데이터 상관 관계 기능에 큰 제약이 있었습니다.
수년에 걸쳐, SIEM 기술은 이전에 성능이 떨어졌던 이러한 기능에서 크게 발전하는 동시에 분석가들이 잠재적인 위협에 대한 컨텍스트를 확보하는 데 유용한 기능인 아카이브 데이터에 대한 과거 데이터 조회를 수행할 수 있는 기능을 추가했습니다.
이제 시각화 및 통합 워크플로우는 SIEM의 필수 구성요소가 되어 분석가들에게 우선순위 경보를 제공하고 적절한 대응 작업을 지원합니다. SIEM 내에서 자동화된 탐지 및 대응 워크플로우를 사용하면 대역폭이 제한된 보안 팀이 잠재적으로 악의적인 활동의 대량 유입에 보다 효율적으로 대응할 수 있습니다.
SIEM은 어떻게 작동하나요?
SIEM 플랫폼은 이러한 다양한 기술에서 생성된 로그 및 이벤트 데이터를 수집하여 작동하며, 보안 분석가에게 조직의 IT 환경에 대한 포괄적인 보기를 제공합니다. 효과적인 SIEM은 시스템 내에서 알려진 위협을 자동으로 해결하는 동시에 보안 분석가가 추가 조사 및 조치가 필요한지 여부를 파악할 수 있도록 보다 미묘한 상황을 처리합니다.
장치, 네트워크, 서버, 애플리케이션, 시스템… 조직의 에코시스템은 일상 업무에서 많은 데이터를 생성합니다. 이 데이터 내에는 에코시스템을 안전하게 유지하는 데 도움이 될 수 있는 풍부한 컨텍스트가 있습니다. 바로 이 부분에서 SIEM이 중요해집니다.
SIEM이 중요한 이유는 무엇인가요?
SIEM은 모든 보안 팀의 중요한 구성 요소입니다. 이는 중앙 집중식 허브 역할을 하며, 이를 통해 분석을 위해 방대한 양의 데이터를 수집할 수 있으며, 중앙 집중식 임무 제어 기반 역할을 함으로써 분석가 경험을 통합합니다. SIEM을 통해 보안 팀은 경계 보안 기술을 회피하고 조직의 에코시스템 내에서 활동하는 위협을 식별하고 방어할 수 있습니다.
SIEM의 이점
속도와 규모에 맞게 성능을 발휘할 수 있는 최신 SIEM(기존 SIEM 솔루션의 대부분은 이를 방지하는 데 한계가 있음)을 통해 조직은 다음과 같은 이점을 누릴 수 있습니다.
종합적인 가시성
팀이 환경 내에서 모니터링, 지속적인 분석 및 작업을 수행할 수 있는 중앙 집중식 단일 위치를 확보하는 것은 단일 진실 공급원에서 작업을 운영하는 데 있어 매우 중요합니다.
통합된 내러티브
적절하게 구성된 SIEM은 상이한 데이터 유형을 표준화하여 조직의 광범위한 IT 환경에 대한 일관된 스냅샷을 제공합니다.
자동 위협 탐지
최신 SIEM을 사용하면 보안 전문가가 위협 및 이상 징후 탐지를 자동화한 다음, 데이터를 신속하게 쿼리하여 일련의 이벤트를 조사하고 추세 또는 컨텍스트의 기록 데이터에 액세스하는 등의 작업을 수행할 수 있습니다.
위험 관리
SIEM을 사용하여 팀은 이상 징후 탐지를 통해 알 수 없는 위협을 사전 구축된 머신 러닝 작업을 통해 노출할 수 있으며, 가장 위험이 높은 엔티티에 대한 인사이트를 얻을 수 있습니다.
최신 SIEM 사용 사례
SIEM은 보안 팀이 다양한 중요 업무용 사용 사례를 해결할 수 있도록 지원합니다. 다음은 몇 가지 주요 사용 사례입니다.
로그 관리
조직의 호스트, 애플리케이션, 네트워크 등에서 생성된 로그 데이터 및 이벤트는 중앙 집중식 로그 관리 플랫폼을 통해 수집, 저장 및 분석되어야 합니다.
지속적인 모니터링
환경을 적극적으로 모니터링하는 것은 분석가들이 위협을 나타낼 수 있는 비정상적인 경향을 탐지하는 데 도움이 될 수 있습니다. 환경 전반에 걸친 모니터링에는 다음이 포함될 수 있습니다.
- 시스템 변경
- 가동 시간/가동 중단 시간
- 네트워크 흐름
고급 탐지
고급 탐지 기능을 갖춘 솔루션은 정교한 Malware 및 랜섬웨어 공격을 탐지하는 것 외에도 다음과 같은 사항에 대해 경고할 수 있어야 합니다.
- 사용자 자격 증명/권한 변경
- 이상 행동
- 내부자 위협
- 데이터 반출
위협 헌팅
자체 IT 환경 내에서 위협을 사전 예방적으로 추적합니다. 성숙한 위협 헌팅 방식을 사용하려면 방대한 양의 데이터를 쿼리하는 빠른 엔진이 필요합니다.
사고 대응
보안 사고가 발생한 경우, 위반의 영향을 완화하기 위해 조정된 대응이 필요합니다.
규정 준수
성숙한 SIEM은 해당 명령 및 프레임워크의 준수를 지원해야 합니다. 다양한 준수 의무사항은 산업과 지역에 따라 달라집니다(예: 의료를 위한 HIPAA, EU 내 GDPR 등). 다음은 최신 SIEM에서 다룰 수 있는 몇 가지 규정 준수 요건입니다.
- GDPR
- HIPAA
- SOX
- PCI DSS
- SOC 2 / 3
- ISO/IEC
SIEM과 SOAR의 차이점은 무엇인가요?
SIEM 솔루션은 보안 팀에 위협을 보다 효과적으로 탐지할 수 있는 시각화, 경보 및 보고서를 위한 대시보드를 제공하는 반면, SOAR(보안 오케스트레이션, 자동화 및 대응) 솔루션은 탐지된 모든 사고에 대한 조직의 대응을 표준화하고 간소화할 수 있도록 지원합니다.
SIEM은 위협 탐지를 전문으로 하는 반면, SOAR은 이러한 위협에 대한 조직의 광범위한 대응을 전문으로 합니다. 실제로, 솔루션은 점점 더 서로 밀접해지고 있습니다.
SIEM의 미래는 어떤가요?
SIEM이 보안 실무자가 다른 기술과 통합할 수 있는 "단일 창구" 역할을 수행하려면 기존의 폐쇄적인 "블랙박스" 접근 방식에서 벗어나야 합니다. 이것은 누구나 사용자의 보안을 유지하기 위해 어떤 기능이 작동하고 있는지, 그리고 돌발적인 위협으로부터 보호하기 위해 어떤 코드가 강화될 수 있는지를 볼 수 있는 개방적인 방식으로 개발된 보안 소프트웨어를 의미합니다.
이는 직관에 어긋나는 것처럼 들릴 수 있지만(즉, "사이버 보안 공급업체가 코드를 노출하는 이유는 무엇인가?"), 커뮤니티에서 코드를 차단하려는 보안 공급업체의 오랜 입장은 이러한 보안 회사가 해커의 표적이 될 수 있도록 노출시키는 행위입니다. 보안 소프트웨어에 대한 탐지되지 않은 공격 한 번으로 인해 수천 명의 고객이 취약성 및 침입에 노출되어 악의적인 행위자가 헤아릴 수 없는 양의 민감한 데이터를 사용할 수 있게 될 수 있습니다. 노리는 것이 금융 정보, 영업 비밀, 협박 자료 또는 외교 스캔들, 그 무엇이든 간에, 블랙박스 하나를 부숴서 열면 공격자들이 왕국의 열쇠를 얻을 수 있다는 뜻이기도 합니다.
최고의 사이버 보안은 개방형이라는 Elastic의 믿음 Elastic은 고객 및 경쟁업체와 협력하여 우리가 원하는 변화를 이루어내고, 보안이 필요한 모든 사용자에게 더 나은 개방형 보안을 제공할 수 있기를 기대합니다.
Elastic Security for SIEM을 체험해 보세요
Elastic Security for SIEM는 전 세계 주요 조직이 선택한 솔루션입니다. 이 솔루션을 통해 보안 팀은 에코시스템의 모든 데이터를 전체적으로 파악할 수 있으며, 가장 중요한 것은 현대 기업이 요구하는 속도와 규모에 맞게 데이터를 처리할 수 있다는 것입니다.
또한 Elastic Security for SIEM은 다음과 같은 다른 보안 사용 사례와 원활하게 통합됩니다.