준비 상태 측정 – 보안 모니터링 프로그램

준비 상태 측정” 시리즈의 이전 게시물에서는 모든 종류의 조직에서 대응 역량을 개선하고 예측하지 못한 인시던트에 대비하는 데 유용한 위협 기반 인시던트 대응 프로그램을 진단, 형성 및 가속화하는 프레임워크에 대해 설명했습니다.

이 시리즈의 두 번째 게시물은 Security Operation Center를 통해 제공되고 관리되는 핵심 서비스이기도 한 “보안 모니터링” 프로그램을 살펴보는 것을 목표로 합니다. 이 맥락에서 성공적으로 구축된 프로그램의 기본적인 목표와 기능은 다양한 시스템, 애플리케이션, 보안 및 네트워크 디바이스와 “사물”에 걸쳐 있는 데이터의 취합, 상관 관계 및 분석을 통해 추가 조사가 필요한 “동작”을 탐지, 심층 조사 및 보고하는 것입니다.

시스템 로그 및 애플리케이션 이벤트는 물론 네트워크 패킷(가장 중요한 수신 및 송신 지점 포함), 엔드포인트 데이터 및 ID, 자산 및 비즈니스 컨텍스트까지 가져오도록 데이터 소스의 취합을 확장하면 SOC(Security Operation Center) 팀에서 더 심층적인 분석을 수행하여 더 지능적인 위협을 식별하고 격리하는 동시에 체류 시간을 최소화할 수 있습니다. 이 프로세스는 하향식 접근 방식을 사용하여 시작되어야 합니다. 즉, 이전의 비즈니스 영향 분석도 함께 사용하여 중요한 데이터 또는 권한 있는 애플리케이션 기능이 포함된 엔터프라이즈 자산을 먼저 식별한 다음 비즈니스 우선 순위와 일치하는 로드맵을 개발하여 모니터링 기능을 더 넓은 범위의 자산으로 단계적으로 확대해야 합니다. SOC 팀의 제한된 리소스를 고려하면 이 접근 방식을 취하는 것이 경제적이기도 합니다.

이 전략에서 보안 위험의 관리를 위해 고려해야 할 두 번째 요소는 잠재적 취약성 및 악의적 동작을 나타내는 패턴인 TI(Threat Indicator)를 정의하는 것입니다. TI는 모니터링해야 하는 자산, 위협 요소의 탐지에 필요한 컨텍스트 기반 데이터 및 논리, 자산 잔여 위험(대응책을 적용한 후의 위험) 및 실행 가능한 위협 인텔리전스 데이터를 고려하여 기술의 설계 및 구축을 지휘합니다.

그러므로 단순하고 효과적인 모델은 다음과 같은 주요 요소를 고려합니다.

  • TI 범위, 기술 및 비즈니스 소유자
  • 잔여 위험
  • 기술 지표 패턴
  • 컨텍스트가 풍부한 데이터(내부 또는 외부)

위의 모델을 사용하려면 이전에 탐지된 인시던트, 위험 진단 및 위협 분석 작업을 검토하여 학습된 내용을 수집하는 방식으로 기업의 TI를 체계적으로 개발하고 지속적으로 유지, 가중 및 최적화해야 합니다. 이 접근 방식을 사용하면 SOC 팀이 더 지능적인 위협 요소를 탐지하는 것은 물론 IT 부서 및 위협 환경에 따라 발전할 수 있습니다.

성숙도 모델링을 사용하여 조직의 현재 위치 및 장기적 로드맵 요구 사항을 평가하면 지속적인 보안 모니터링 전략이 올바르게 구축되도록 할 수 있습니다.

레벨 1 – 초기 상태(예측 불가능한 사후 대응적 프로세스)

  • 분석 – 모니터링 플랫폼이 제한되어 있어 네트워크에 대한 가시성이 떨어짐. OOTB(Out of the Box) 서명만 사용하고 거의 업데이트하지 않음
  • 거버넌스 – 모니터링 정책이 규정 준수 및 규정 요건을 충족하는 데 집중됨
  • 측정 – OOTB 메트릭 및 기술적 KPI가 구축됨. 보고서는 필요 시 수동으로 생성됨
  • 운영 – 상관 관계, 분석 및 알림 생성을 포함하여 모니터링 작업이 특정 구성 요소로 제한되고, 상관 관계가 대부분 수동으로 수행되며, 규제 및 규정 준수를 중심으로 운영됨
  • 조직 – 보안 모니터링 팀에 할당된 리소스가 제한되어 있고 IT 부서와 책임을 공유함

레벨 2 – 관리되는 상태(프로세스가 개발되었지만 일관되지 않고 사후 대응적임)

  • 분석 – 다양한 모니터링 및 분석 플랫폼이 구축되어 있고 여러 저장소에서 데이터가 취합됨. “보안 기준”이 식별 및 정의되어 있음
  • 거버넌스 – 모니터링 정책 및 절차가 개발되어 있지만 다른 부서로의 전달이나 준수 여부가 일관적이지 않음
  • 측정 – 사용자 지정된 전략적 메트릭을 운영 의사 결정에 사용할 수 있음
  • 운영 – 모니터링 작업이 거의 모든 IT/보안 디바이스로 확대되어 있고 비즈니스 위험을 중심으로 수행되며 제한된 사용자 지정 위협 지표가 개발되어 있음
  • 조직 – 업무 시간 중에 보안 모니터링을 전담하는 팀이 있고 역할 및 책임이 할당되어 있음

레벨 3 – 정의된 상태(조직 전체의 프로세스가 일관적이며 사전 예방적임)

  • 분석 – 분석 기술이 전면적으로 구축되어 있고 데이터(네트워크 패킷 캡처 포함)가 “단일 인터페이스”를 사용하여 중앙에서 취합, 저장 및 집계됨
  • 거버넌스 – 모니터링 절차가 각 특정 자산에 대해 개발되어 있고 원격 분석 데이터를 포함하여 IT 부서와 공유됨. 법무 및 HR 부서가 적절한 수준의 보존 및 개인 보호 정책의 결정에 적극적으로 개입함. 비즈니스 변경 사항을 반영하도록 절차가 사전에 수정됨
  • 측정 – 액세스하기 쉬운 사용자 지정 메트릭 및 KPI가 산출되어 있으며 비즈니스 동인, 목표 및 의사 결정을 지원하도록 정기적으로 전달됨
  • 운영 – 네트워크 및 데이터 흐름이 완전하게 파악됨. 인시던트를 탐지하고 조사하는 시간이 지속적으로 크게 줄어듦. 위협을 사전 예방적으로 식별하는 접근 방식이 설정되어 있음
  • 조직 – 업무일의 업무 시간(8×7) 동안 전담 모니터링 팀을 이용할 수 있으며 요청 시 전문 신속 대응 팀을 활용할 수 있음

레벨 4 – 양적 관리 상태(프로세스가 평가되고 제어됨)

  • 분석 – 컨텍스트 인식 보안 분석 플랫폼이 구축되어 매일 유지 관리됨. 장기간의 기간별 데이터가 제공되고 지속적으로 분석되며 맞춤형 내/외부 위협 인텔리전스와의 교차 상관 관계가 분석됨
  • 거버넌스 – 모니터링 절차가 분류되어 있고 조직 전체에 전달되며 비즈니스 소유자가 수용하고 조직의 비즈니스 위험에 맞춰짐
  • 측정 – 유의미한 위험 및 위협 메트릭이 지속적으로 측정되고 비즈니스 의사 결정을 지원하도록 제공됨
  • 운영 – 위험 및 위협 기반 모니터링 접근 방식이 적용됨. 사용자 지정 위협 지표가 각 “자산 클래스”의 잔여 위험에 기반하여 개발되고 중요한 자산 변경을 반영하도록 수정됨
  • 조직 – 네트워크 및 플랫폼에 대한 상세한 지식을 보유한 전담 24×7 내부 팀이 “범세계적” 모델로 다양한 위치에 분산되어 있음

레벨 5 – 최적화 상태(프로세스 개선에 주력)

  • 분석 – 확장 가능한 분산 데이터 처리 플랫폼이 구축되어 있음. 조직의 비즈니스 컨텍스트 및 ID 정보를 중심으로 최적화된 고급 위협 분석 시스템이 활용됨. 잠재적인 업무 중단을 계산하여 인시던트 우선 순위를 지정하며 암호화된 트래픽의 메타데이터를 모니터링하여 위협 요소를 식별함
  • 거버넌스 – 모니터링 절차를 지속적으로 검토하고 조직의 IT 협력 체계에 발생한 중대한 변경을 반영하며 분석 기술을 통해 완벽한 가시성을 제공함
  • 측정 – 메트릭 및 KPI가 실시간으로 생성되고 전략적 목표 및 위험 프로필에 맞춰짐. 메트릭을 사용하여 사실에 기반한 전략적 경영 의사 결정을 주도함
  • 운영 – 위협 지표가 각 자산에 대해 사용자 지정되고 위협 환경의 변화, 내/외부 인텔리전스 데이터, 학습 내용 및 조직의 위험 상태를 고려하여 사전에 개발됨
  • 조직 – 중앙 위치에서 보조 사이트 지원을 제공하는 “24×7” 전담 보안 모니터링 팀이 구축되어 있음. 머신 러닝 및 데이터 과학에도 전문화된 일류 인재가 내부에 상주함

네트워크, 시스템 및 기타 연결된 “사물”의 양과 다양성이 증가하는 상황에서 의심스러운 이벤트를 탐지하고 분석하는 SOC 팀을 육성하려면 꾸준한 노력과 민첩성을 바탕으로 프로그램을 지속할 수 있어야 합니다.

위협 기반 인시던트 대응 프로그램의 개발과 마찬가지로 보안 모니터링 전략을 개발하면 최신 정책, 프로세스 및 절차를 사용하여 성공의 발판이 되는 숙련된 전담 기술 지원 팀을 육성할 수 있습니다.

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.

No Comments