2010년대 중반에 보안 사고 조사 및 대응을 위한 특수한 보안 워크플로우 솔루션이 등장하면서 Gartner는 보안 오케스트레이션, 자동화 및 대응(SOAR)이라는 용어를 사용하기 시작했습니다. 이 시기에 많은 SOAR 스타트업들이 보안 대기업들에 인수되었고 확립된 보안 정보 및 이벤트 관리(SIEM), UEBA 또는 네트워크 탐지 및 대응 기술에 의존했습니다. 그 후, 새로운 종류의 SOAR 공급업체들이 광범위한 보안 사고를 처리하기 위해 기술을 확장했습니다. 이 기간 동안, 자동화 플레이북은 정교하게 성장했고 SOAR 플랫폼은 사용자 친화적으로 변모했습니다.
SOAR은 효율성을 높여 SOC의 시간과 노력을 크게 절약하고, 사이버 보안 팀이 사람의 개입을 줄여 보안 운영을 간소화할 수 있도록 지원합니다. 덕분에, 분석가들은 인간의 창의성과 직관을 필요로 하는 긴급한 문제에 집중할 수 있게 됩니다. 기타 이점은 다음과 같습니다.
리스크 경감
효과적인 SOAR 솔루션은 분석가의 조사 및 대응 시간을 단축하여 피해가 커지기 전에 공격을 무력화합니다.
빠른 평균 응답 시간(mean time to respond, MTTR)
SOAR을 통해 인력, 프로세스 및 기술을 조정한다는 것은 응답 작업이 즉각적으로 자동화되어 인적 버퍼링 시간이 제거된다는 것을 의미합니다.
번아웃 예방
분석가들에게는 이미 할 일이 충분히 많이 있습니다. 최고의 기량을 발휘할 수 있는 창의적인 문제 해결에 집중하지 못하도록 만드는 일상적인 작업은 자동화하세요.
최적화된 워크플로우
속성 빈도 및 호스트 이상 점수와 같은 위협 인텔리전스와 인사이트를 주입하고 조사 및 대응 절차를 체계화하세요. 여러분의 팀은 프로세스와 다음 단계를 추측하지 않아도 됩니다.
풍부한 통합
선호하는 도구들을 단일 워크플로우에 통합하세요. 여러 도구 사이를 왔다 갔다 전환하지 않고도 기술의 이점을 누릴 수 있습니다.
SOAR 기술은 SOC가 핵심 프로세스를 단일 플랫폼에서 조정하고 자동화함으로써 인력과 기술의 결합된 힘을 최대한 활용할 수 있도록 지원합니다. 일반적으로 SIEM과 긴밀하게 통합되어 팀 프로세스 및 데이터를 통합합니다. SIEM을 통해 분석가는 보안 모니터링, 위협 탐지, 위협 헌팅, 이벤트 상관 관계 등과 같은 사용 사례를 활용할 수 있습니다.
SIEM을 통해 파악된 결과에 따라 자동화된 후속 조치를 수행하고 위협이 손상을 일으키기 전에 위협을 방지하는 데 필요한 단계를 조정함으로써 SOAR은 워크플로우 및 문제 해결 측면에서 더 많은 도움을 줍니다. 실제로, 솔루션은 점점 더 서로 밀접해지고 있습니다.
사고 대응
보안 사고가 발생한 경우, 위반의 영향을 완화하기 위해 조정된 대응이 필요합니다.
사례 관리
위협이 식별되면 사례를 트리거합니다. 사례의 수는 빠르게 증가하기 시작할 수 있으며, 잘 작동하는 SOAR 솔루션은 팀의 우선 순위를 정하고 효율적인 방식으로 대응하는 데 도움이 될 것입니다.
취약성 관리
전반적인 보안 위험 노출과 관련하여 조직의 입장을 이해하는 것이 필수적입니다. SOAR 솔루션은 모든 CISO(최고 정보 보안 책임자)가 업무를 수행하는 데 필요한 위험 평가에 대한 보다 객관적인 전망을 제공하는 데 도움이 됩니다.
위협 헌팅
자체 IT 환경 내에서 위협을 사전 예방적으로 추적합니다. 성숙한 위협 헌팅 방식을 사용하려면 방대한 양의 데이터를 쿼리하는 빠른 엔진이 필요합니다.
Elastic SOAR을 통해 팀의 보안 사고 대응을 쉽게 자동화할 수 있습니다. Elastic Cloud에서 바로 다운로드하거나 호스팅하실 수 있습니다.