SOAR(보안 오케스트레이션, 자동화 및 대응)란 무엇인가요?

SOAR, 즉, 보안 오케스트레이션, 자동화 및 대응(Security Orchestration, Automation and Response)을 통해 보안 팀은 사이버 공격 및 사고에 대한 조직의 대응을 표준화하고 간소화할 수 있습니다. SOAR은 보안 운영 센터(SOC) 내부 및 외부의 워크플로우를 최적화하여 분석가들이 조직의 에코시스템 보안에 집중할 수 있도록 지원합니다.

보안 오케스트레이션은 작업을 중앙 집중화하고 전파할 수 있도록 서로 다른 보안 도구를 상호 연결하는 수단입니다. 이를 통해 보안 팀은 프로세스를 간소화하고 사고 대응 프로세스를 가속화할 수 있습니다.

보안 자동화는 특정 작업이나 요구 사항에 도달했을 때 응답하는 미리 결정된 규칙을 구현하는 프로세스입니다. 이를 통해 프로세스에 필요한 인적 상호 작용을 최소화함으로써 보안 분석가가 보다 창의적인 문제 해결이 필요한 문제를 처리할 수 있습니다.

SOAR은 SOC 프로세스를 표준화하여 일관된 조사와 대응을 보장하는 동시에 모든 경험 수준의 보안 분석가의 기술을 향상시킵니다. SOAR은 보안 사고 기록, 관련 당사자 경보, 보고서 티켓 제출 및 업데이트 등 사고 대응과 관련된 많은 수동 작업에 대한 워크플로우를 자동화함으로써 평균 문제 해결 시간(Mean Time to Remediate, MTTR)을 크게 줄입니다.

2010년대 중반에 보안 사고 조사 및 대응을 위한 특수한 보안 워크플로우 솔루션이 등장하면서 Gartner는 보안 오케스트레이션, 자동화 및 대응(SOAR)이라는 용어를 사용하기 시작했습니다. 이 시기에 많은 SOAR 스타트업들이 보안 대기업들에 인수되었고 확립된 보안 정보 및 이벤트 관리(SIEM), UEBA 또는 네트워크 탐지 및 대응 기술에 의존했습니다. 그 후, 새로운 종류의 SOAR 공급업체들이 광범위한 보안 사고를 처리하기 위해 기술을 확장했습니다. 이 기간 동안, 자동화 플레이북은 정교하게 성장했고 SOAR 플랫폼은 사용자 친화적으로 변모했습니다.

SOAR 솔루션은 확립된 조사 및 대응 프로토콜을 자세히 설명하여 분석가를 안내하고 자동화를 위한 토대를 마련합니다. 에코시스템 전반에 걸친 양방향 통합을 통해 일상적인 조사 및 대응 프로세스를 자동으로(즉, 가져오기 프로세스) 또는 분석가에 의해(즉, 호스트 격리) 트리거할 수 있습니다. 보안 운영 워크플로우 전반에 걸쳐 SOAR은 위협 인텔리전스 피드 및 기타 데이터 소스와의 통합을 통해 관련 컨텍스트를 제공합니다.

SOAR은 효율성을 높여 SOC의 시간과 노력을 크게 절약하고, 사이버 보안 팀이 사람의 개입을 줄여 보안 운영을 간소화할 수 있도록 지원합니다. 덕분에, 분석가들은 인간의 창의성과 직관을 필요로 하는 긴급한 문제에 집중할 수 있게 됩니다. 기타 이점은 다음과 같습니다.

리스크 경감

효과적인 SOAR 솔루션은 분석가의 조사 및 대응 시간을 단축하여 피해가 커지기 전에 공격을 무력화합니다.

빠른 평균 응답 시간(mean time to respond, MTTR)

SOAR을 통해 인력, 프로세스 및 기술을 조정한다는 것은 응답 작업이 즉각적으로 자동화되어 인적 버퍼링 시간이 제거된다는 것을 의미합니다.

번아웃 예방

분석가들에게는 이미 할 일이 충분히 많이 있습니다. 최고의 기량을 발휘할 수 있는 창의적인 문제 해결에 집중하지 못하도록 만드는 일상적인 작업은 자동화하세요.

최적화된 워크플로우

속성 빈도 및 호스트 이상 점수와 같은 위협 인텔리전스와 인사이트를 주입하고 조사 및 대응 절차를 체계화하세요. 여러분의 팀은 프로세스와 다음 단계를 추측하지 않아도 됩니다.

풍부한 통합

선호하는 도구들을 단일 워크플로우에 통합하세요. 여러 도구 사이를 왔다 갔다 전환하지 않고도 기술의 이점을 누릴 수 있습니다.

SOAR 기술은 SOC가 핵심 프로세스를 단일 플랫폼에서 조정하고 자동화함으로써 인력과 기술의 결합된 힘을 최대한 활용할 수 있도록 지원합니다. 일반적으로 SIEM과 긴밀하게 통합되어 팀 프로세스 및 데이터를 통합합니다. SIEM을 통해 분석가는 보안 모니터링, 위협 탐지, 위협 헌팅, 이벤트 상관 관계 등과 같은 사용 사례를 활용할 수 있습니다.

SIEM을 통해 파악된 결과에 따라 자동화된 후속 조치를 수행하고 위협이 손상을 일으키기 전에 위협을 방지하는 데 필요한 단계를 조정함으로써 SOAR은 워크플로우 및 문제 해결 측면에서 더 많은 도움을 줍니다. 실제로, 솔루션은 점점 더 서로 밀접해지고 있습니다.

보안 자동화와 오케스트레이션 모두 다양한 프로세스에서 필요한 인적 상호 작용을 최소화하는 유사한 결과를 가져다주지만, 구현 영역은 서로 다릅니다.

보안 자동화는 주로 보안 기술에 의해 탐지되는 즉시 위협을 즉시 방지하기 위한 것입니다. 반면, 보안 오케스트레이션은 올바른 작업을 실행하고, 올바른 당사자에게 알리고, 조직이 적절하다고 생각하는 프로세스를 따라 이동하기 위한 간소화된 워크플로우를 달성하는 방향으로 추진됩니다.

사고 대응

보안 사고가 발생한 경우, 위반의 영향을 완화하기 위해 조정된 대응이 필요합니다.

사례 관리

위협이 식별되면 사례를 트리거합니다. 사례의 수는 빠르게 증가하기 시작할 수 있으며, 잘 작동하는 SOAR 솔루션은 팀의 우선 순위를 정하고 효율적인 방식으로 대응하는 데 도움이 될 것입니다.

취약성 관리

전반적인 보안 위험 노출과 관련하여 조직의 입장을 이해하는 것이 필수적입니다. SOAR 솔루션은 모든 CISO(최고 정보 보안 책임자)가 업무를 수행하는 데 필요한 위험 평가에 대한 보다 객관적인 전망을 제공하는 데 도움이 됩니다.

위협 헌팅

자체 IT 환경 내에서 위협을 사전 예방적으로 추적합니다. 성숙한 위협 헌팅 방식을 사용하려면 방대한 양의 데이터를 쿼리하는 빠른 엔진이 필요합니다.

SOAR는 모든 성숙한 보안 기능에 필수적인 기술입니다. 보안 스택에서 SOAR 솔루션의 역할은 스포츠 팀의 코치 역할과 유사하다고 생각하시면 됩니다. 이 솔루션은 경영진의 사전 결정된 목표와 프로세스를 반영하고, 다양한 시나리오에 대해 플레이북을 실행하며, 장애가 탐지되면 팀에 경보를 보냅니다.

Elastic SOAR을 통해 팀의 보안 사고 대응을 쉽게 자동화할 수 있습니다. Elastic Cloud에서 바로 다운로드하거나 호스팅하실 수 있습니다.

SOAR 솔루션 살펴보기

다음과 같은 보안 솔루션을 SOAR과 통합하여 더 강력한 기능을 확보하세요.

• SIEM 비교
• XDR(확장 탐지 및 응답)
• 위협 인텔리전스 플랫폼(TIP)

• 규정 준수
• 위협 헌팅
• Observability

• 현대적 보안 운영을 위한 SOAR 도입
• Elastic은 DoD의 제로 트러스트 네트워킹에 있어 근간이 되는 요소를 위한 반을 제공합니다
• Elastic은 SIEM 내에서 SOAR을 통해 보안 팀을 현대화하고 실행 가능한 위협 인텔리전스를 자동화합니다