차세대 SIEM 필수 요건, 비즈니스 맥락의 위협 가시성

홈 > 뉴스 > 뉴스 > 보안

차세대 SIEM 필수 요건, 비즈니스 맥락의 위협 가시성

[기고]비즈니스 맥락에서 위협 가시성 제공해 지능형 공격 탐지

관련기사

[보안관리①] 머신러닝 이용 보안 기술 봇물

2017년 10월 09일 09:47:51

데이터넷

webmaster@datanet.co.kr

정보 보안은 디지털 시대의 초장기부터 조직에 대한 어려운 과제였다. 그러나 오늘날 여러가지 요소가 결합돼 보안은 이전보다 훨씬 어려운 과제가 되고 있다. 비즈니스가 신속하게 가상화와 클라우드 기반 인프라로 전환되면서 기존의 경계 기반 보안 방식이 실질적으로 파괴됐다. 데이터와 프로세스가 조직 내부 또는 외부의 어느 곳에서나 존재하게 되면서 기존의 보안 기술은 트렌드에 뒤떨어지고 있다.

공격자는 이전보다 더 정교하고 영향력 있는 도구와 기술, 절차 (TTP)를 사용하고 있다. ‘script kiddies’와 아마추어적인 공격자는 사라지고 있으며, 지능적인 사이버 위협이 더 높은 수익을 얻을 수 있는 공격을 위해 상용화되고 있다. 최근에는 국가 정보기관에서 발생한 취약점 공격을 이용해 많은 피해를 일으키기도 했다.

비즈니스 책임자들은 사이버 보안을 IT 부서에 전가하는 활동으로 간주하지 않는다. 규정위반과 데이터 유출은 경영진, 이사회 구성원의 주의를 집중시키고, 궁극적으로 모든 지역과 업계의 조직내에 재정적 손실을 야기하고 명성에 해를 끼치고 있다. 사이버 위험을 관리하는 것은 IT 문제뿐만 아니라 핵심 비즈니스 책임으로 확대됐다.

IT 인프라 전반에서 가시성 확보

빠르게 발전하는 환경에서 조직이 위협을 감지하고 이에 대응하기 위해서는 IT 인프라 전반에서 가시성을 확보하고, 신속하게 보안 사고를 탐지·조사·대응할 수 있어야 한다. 전통적으로 활용되는 로그중심, 컴플라이언스 중심의 보안관리에서 벗어나 최첨단 위협 분석과 클라우드, 네트워크, 엔드 포인 가시성을 포함해 보안을 ‘차세대 SIEM’으로 확대해야 한다.

RSA의 ‘넷위트니스 스위트(NetWitness Suite)’는 이러한 요구에 최적화된 솔루션이다. RSA 35년 기술 보안 업계 리더십이 압축돼 있는 넷위트니스 스위트는 가시성과 생산성을 높이고, 비즈니스 중심 보안을 이룰 수 있다.


▲RSA 넷위트니스 스위트

• 가시성(Visibility)

현재 IT 인프라는 고전적인 데이터 센터 모델을 따르지 않는다. 가상화와 클라우드 전략은 비용을 절감시켜주고 유연성을 향상시켜주지만, 이는 보안을 훨씬 더 어렵게 만드는 요인이기도 하다.

최신의 정교한 위협은 기존의 경계 기반 방어체계를 극복하도록 정밀하게 설계됐다. 그들은 다른 자원을 공격하고 정상적인 트래픽 사이에 숨어 있다. 하나의 컨트롤에서 위험 이벤트가 발생하더라도, 해당 공격이 여러 데이터 소스 및 위협 지점에서 발생할 가능성이 커진다.

정교한 공격에 효율적으로 대처하기 위해서는 ▲패킷, 넷플로우, 로그 등과 같은 데이터 소스 ▲엔드 인트, 네트워크, 가상화·클라우드 기반 인프라와 같은 위협지점에 대한 전반적인 가시성이 필요하다.

넷위트니스 스위트는 기존 보안 영역 뿐만 아니라 IT 인프라의 모든 구성 요소에 필요한 가시성을 제공한다. 전반적인 가시성을 통해 분석가는 공격의 전체 범위를 확인하고 단호하게 대응할 수 있다.

• 생산성(Productivity)

응용 프로그램과 보안 컨트롤에 의해 생성되는 데이터의 양이 계속 증가하면서 숨어있는 위협을 발견하는 것이 거의 불가능하게 됐다. 넷위트니스 스위트는 강력한 자동화와 오케스트레이션 기능으로 이 문제를 해결한다. 신규 보안 분석가부터 가장 숙련된 위협 탐지자에 이르기까지 모든 기술 수준의 SOC 직원의 생산성을 최적화하도록 설계됐으며, 대규모 원시 데이터를 처리하고, 보안 컨텍스트를 만든다.

머신러닝, 사용자 행위분석, RSA 커뮤니티 위협 정보를 비롯한 일련의 정교한 분석 도구를 적용한다. 이 프로세스는 서로 다른 이벤트와 경고를 상관분석해 공격이나 취약점의 가능성에 따라 자동적으로 점수화 한다.

이를 통해 보안 분석가는 자신의 업무를 보다 빠르고 효율적으로 수행 할 수 있다. 레벨 1의 분석가는 우선순위가 높은 조사 항목을 신속하게 처리해 양성 경보와 진정한 위협을 구별 할 수 있다. 오탐(false positive)을 유발하는 경고 및 프로세스를 억제하도록 시스템을 조정해 생산성을 크게 높일 수 있다.

또한 넷위트니스 스위트는 정보를 시각적으로 표시하고 모든 데이터 포인트를 드릴 다운하거나 피벗 할 수 있는 풍부한 도구와 직관적인 사용자 경험을 제공해 위협 탐지자는 생산성을 훨씬 높일 수 있다. 이러한 방식으로 위협 탐지자는 공격의 전체 범위를 신속하게 평가하고 이해하며 자신있게 대응할 수 있다.

• 비즈니스 중심 보안(Business-Driven Security)

끊임없이 공개적으로 노출되는 취약점과 규정위반은 그들이 얼마나 큰 손실과 피해를 당할 수 있는지 분명하게 한다. 비즈니스 책임자들은 IT 리스크가 관리해야 하는 가장 중요한 리스크 중 하나라는 것을 알고 있다.

가장 효과적인 보안 전략은 비즈니스 중심의 전략이다. 넷위트니스 스위트는 비즈니스 리스크와 IT 리스크를 공통 언어 및 프레임워크로 통합하고 비즈니스 리스크 데이터를 위협 탐지 프로세스에 통합해 이를 반영한다.

넷위트니스 스위트는 RSA 아처(Archer)를 비롯한 다양한 소스의 자산 중요도 데이터를 통합 할 수 있는 기능을 갖추고 있다. 위험 관리의 모범 사례는 회사의 카페테리아 메뉴를 호스팅하는 웹 서버보다 CISO의 노트북이 조직에 더 중요하다는 사실을 통합한다.

이러한 유형의 위험 기반 평가를 분석 엔진을 통해 제공되는 데이터에 통합함으로써, 위험 점수는 위협으로 보여지는 것과 그 위협이 성공할 경우 조직에 미치는 영향을 모두 반영 할 수 있다.

이 접근법은 IT 팀과 리스크팀이 일반적으로 밀접하게 협력하지 않는 오래된 문제에 대한 다리를 제공한다. 넷위트니스 스위트는 프로세스를 자동화하고 실제 비즈니스 위험을 초래하는 위협에 중점을 둔다.

조직은 빠르게 변화하는 위협 환경을 경험하고 있으며 변화되는 환경에 대응 할 수 있는 도구와 서비스가 필요한다. 넷위트니스 스위트는 자동화된 분석 및 우선순위 선정과, 위협이 초래하는 실제 비즈니스 위험이라는 맥락에서 최대한의 가시성을 제공하도록 설계됐다. 이러한 방식으로 RSA 넷위트니스 사용자는 자신의 조직에서 중요한 위협을 효과적으로 탐지하고 대응할 수 있다.