올바른 SIEM을 수행하는 데 필요한 Gartner의 유용한 정보: 1부

Gartner에서 SIEM Technology, Market and Vendor Assessment(SIEM 기술, 시장 및 공급업체 평가)라는 제목으로 최근에 발표한 보고서에서 Gartner 분석가인 Anton Chuvakin 씨와 Augusto Barros 씨는 SIEM 시장에 대한 의견을 제시하고, 솔루션을 구매할 계획이 있는 조직을 위한 구체적인 권장 사항 8가지를 제안했습니다. 참고로, 전체 보고서를 보려면 Gartner.com 클라이언트 액세스가 필요합니다.   8가지 권장 사항 모두 상당한 가치가 있고 그 외 시장이 따라야 할 영역을 강조하지만 이 블로그에서는 보안 팀의 보안 모니터링 프로그램 개선에 도움이 되는 첫 번째 4가지 권장 사항을 살펴보고자 합니다. 두 번째 4가지 권장 사항에 대해서는 이 블로그의 두 번째 부분인 “2부”에서 다룰 예정입니다.

  1. “SIEM뿐 아니라 NFT(Network Forensic Tool) 및 EDR(Endpoint Detection and Response)을 사용하여 포괄적인 보안 모니터링을 실현하고 엔터프라이즈 환경을 시각적으로 파악할 것”*

RSA에서는 SIEM과 NFT를 단일 콘솔에서 모니터링되는 EDR과 결합하여 한 단계 발전된 솔루션을 제공하고 있습니다.   이렇게 하면 공격의 전 범위를 빠르게 파악하여 인시던트 대응을 가속화할 수 있습니다. 하나의 콘솔에서 조사가 필요한 항목의 우선 순위를 지정하고, 관련 이벤트를 연결하고, 개략적 보기에서 상세 보기로 드릴다운할 수 있으므로 분석가의 전문 지식에 맞는 역할을 배정하고, 이러한 툴을 적절히 활용하여 위협 탐지 및 대응 부담을 줄일 수 있습니다. 거의 통합되지 않을 뿐 아니라 업계 최고 수준의 성능을 제공하지도 않는 여러 개의 개별 툴을 구축할 이유가 없습니다. 로그 및 관련된 상관 관계 규칙에 의존하는 기존 SIEM으로는 현재의 정교하고 표적화된 공격을 찾아낼 수 없습니다. 로그, 네트워크 패킷, 네트워크 흐름 및 엔드포인트 데이터를 결합하고 외부 보안 위협 인텔리전스로 보완해야 위협 탐지를 자동화할 수 있으며 현재의 지능형 공격을 조사하는 데 필요한 가시성을 보안 모니터링 팀에 제공할 수 있습니다.   시중에 나와 있는 SIEM 또는 패킷 캡처 툴 중에는 이 결합이 누락되어 있거나 약한 추가 기능을 제공하면서 완벽한 솔루션인 것처럼 광고하는 경우가 많습니다.

  1. “보안 위협 및 규정 준수 활용 사례에 기반하여 SIEM 솔루션을 평가하되 보안 위협 활용 사례에 더 큰 무게를 둘 것”*

조직이 규정을 지킨다고 해서 반드시 안전한 것이 아니라 조직이 안전해야 규정을 제대로 지킬 수 있다는 사실을 이해하는 쪽으로 시장 분위기가 변했습니다.   규정 준수를 위한 규제 및 표준은 적절한 최소한의 체크리스트(벌금을 피하는 용도)로 사용할 수 있는 좋은 프레임워크이지만 이것만으로 정보가 보호되고 있다는 것을 보장할 수는 없습니다. SIEM은 규정 준수를 목적으로 발전했지만 대부분은 실질적으로 효과적인 보안에 필요한 사항을 학습하는 데 그칩니다. 하지만 로그 유지 및 감사 보고서와 관련된 규정 준수를 걱정하는 대신 보안 위협이 비즈니스에 손해를 끼치는 것을 방지하는 게 목적이라면 핵심 기능이 ‘보안’인 툴을 사용해야 할 것입니다.

  1. “SIEM 툴을 결정하기 전에 조직의 활용 사례를 심도 있게 검토할 것”*

목표가 무엇입니까? 로그 수집입니까? 운영 중단 및 데이터 유출을 막는 것입니까?   단일 애플리케이션에서 몇 차례의 무단 로그인 시도가 발생하여 한 번이라도 알림이 생성되면 큰일입니까? 동일한 세트의 이벤트가 발생하고, 네트워크의 서로 다른 부분에 걸쳐 있는 동일한 외부 IP 주소로부터 지난주에 발생한 다섯 건의 이벤트가 단일 인시던트로 집계되는 상황은 어떻습니까? 어느 것이 더 나을까요?   롤업된 단일 인시던트를 전체 세트의 조사 단계 및 워크플로우로 통합하여 보다 쉽게 대응을 관리하고 가속화하고 싶지는 않으신가요? 2년차 보안 분석가의 경우라면 매일 수천 개의 로그와 수백 개의 알림을 살펴보는 것보다 근무하는 것이 훨씬 수월할 것입니다. 지능형 공격은 찾기가 어렵습니다. 특히 체류 시간을 활용하는 공격의 경우 더욱 그렇습니다. 체류 시간은 공격자가 장기간 조용히 앉아 있는 시간으로, 이 시간 동안에는 분석가가 손상된 시스템을 사용한 악성 활동을 한데 모으기가 어렵습니다.   웹셸, 스피어 피싱 및 Gh0st RAT의 탐지에 관한 이 내용을 보면 제 말을 이해하기가 쉬울 것입니다.

  1. “SIEM 툴에 대한 소싱 옵션을 검토할 것”*

요즘 SIEM 시스템을 구축하고 사용할 때는 시스템을 구축하고 나쁜 일이 생길 때 “벨”을 울리도록 설정하는 것이 중요합니다.   보안 모니터링 시스템은 직원, 그리고 그 직원이 따르는 프로세스의 연장선이라고 할 수 있습니다.   고객에게 실제로 필요한 것은 기존 SIEM이 제공하는 것 이상을 요구하여 아주 효과적으로 조직의 위협 탐지 및 대응 능력을 개선하는 툴입니다. 체류 시간을 활용하여 시스템을 손상시키는 복잡한 위협 요소를 집중적으로 탐지하고 대응하려면 기존 SIEM으로는 제공할 수 없는 고급 분석 및 동작 기반 기술이 필요합니다.

“상자”에 끼워 넣는 식의 솔루션을 제공하는 것이 아니라 각 조직에 적합한 보안 Best Practice를 구축하거나 최적화하는 데 주력하고 경험이 많은 보안 회사를 찾으면 보안 프로그램의 성공을 가속화하고 공격자를 앞설 수 있습니다.

RSA는 성공적인 보안 전략 및 프로그램의 구축에서 가장 중요한 구성 요소가 위협 탐지 및 대응이라고 여기고 수년 동안 이 분야에 주력해 왔습니다. RSA의 ASOC(Advanced Security Operations Center) 솔루션은 네트워크, 엔드포인트 및 퍼블릭 클라우드 기반 시스템을 통해 엔터프라이즈를 표적으로 삼는 위협 요소를 신속하게 탐지, 조사 및 대응하는 데 필요한 플랫폼과 전문 지식을 제공합니다.   RSA ASOC를 구축하면 여러 내부 및 외부 보안 데이터 스트림, 인텔리전스 및 컨텍스트를 하나로 결합하고, 동작 기반 분석 및 데이터 과학 기술을 적용하여 위협 요소를 표면화할 수 있으므로 일반 공격 및 지능형 공격을 조기에 탐지하고, 포괄적으로 조사하고, 효과적으로 대응할 수 있습니다.   이 솔루션은 플랫폼 및 관련 전문 서비스를 통해 공격의 전 범위를 신속하게 탐지하고, 조사하고, 대응하는 데 필요한 정보를 제공하여 공격이 조직에 미치는 잠재적 영향을 최소화할 수 있도록 합니다.   RSA는 조직의 SOC(Security Operations Center)를 인력, 프로세스 및 기술 관점에서 전체적으로 구축하여 성장시키는 데 중요한 역할을 하며 신뢰할 수 있는 전문 지식을 제공합니다.

위협 요소 탐지 및 대응을 위한 가장 포괄적인 기능을 제공하는 RSA 솔루션에 대한 자세한 내용을 보려면 여기를 방문하십시오.

*Gartner, SIEM Technology, Market and Vendor Assessment, Anton Chuvakin & Augusto Barros, 2016년 2월 10일

 

 

No Comments