코로나 팬데믹으로 기업의 업무환경은 급격히 변하고 있다. 원격 및 재택 근무 보편화에 따라 네트워크가 변하고 있고 모바일 디바이스 사용이 증가하면서 보안 위협도 높아지고 있다. 공격자들은 다양한 형태로 예기치 못한 상황에서 기업들을 겨냥하고 있고 기업의 보안의 경계가 무너지는 경우가 많다.
보안 위협을 발견하게 되면 침해대응 조직이 유입 경로와 감염 시스템, 피해 규모를 파악하고 대책을 마련해야 한다. 보안 담당자들은 압도적인 양의 경보 메시지, 위협 인텔리전스 정보, 기타 보안 업무들로 어려움을 겪고 있다. 특히 통합되지 않은 개별 보안 시스템들은 제한된 컨텍스트만을 제공하기 때문에 공격 전체를 정확히 파악하지 못한다.
또한 보안조직이 보안 경보의 우선순위를 정할 수 있는 사례가 충분하지 않아 보안 분석 유즈케이스를 충분히 마련하지 못하고 있으며, 위험 순위가 높은 이벤트를 놓치는 등 침해대응 프로세스가 비효율적으로 이뤄진다는 것도 문제다.
이를 해결하기 위해 SOAR와 위협 인텔리전스 관리는 최근 몇 년 동안 각각 꾸준히 발전해 왔다. 그러나 기존 제품들의 사일로가 발생해 더 많은 수작업을 초래하는 결과로 이어졌다. 맥락에 대한 이해가 포함되지 않은 위협 인텔리전스는 단순 데이터일 뿐이다.
위협 인텔리전스를 제대로 활용하려면 기본 맥락을 적절하게 적용하고 내부의 인시던트 및 정책에 매핑해야 한다. 그러나 자동화 없이는 실시간 위협 피드의 규모와 속도에 맞춰 이러한 작업을 수행하기 어렵다. 위협 인텔리전스 데이터를 ‘코어텍스 XSOAR’에 적용하면 오케스트레이션은 매우 간단해진다. 위협 인텔리전스에 SOAR를 적용해 인시던트 대응 프로그램의 모든 요소들에 이를 통합할 수 있다.
확장된 SOAR로 보안운영 자동화하는 '코어텍스 XSOAR'
네이티브 위협 인텔리전스 관리 기능을 갖춘 팔로알토 네트웍스 ‘코어텍스 XSOAR(Cortex XSOAR)’는 확장형 보안 오케스트레이션, 자동화, 대응 플랫폼으로서 전사적인 차원에서 위협에 즉각적으로 대처할 수 있는 기반을 제공한다.
많은 조직에서 도입을 검토하고 있는 SOAR는 모든 소스의 경보를 관리하고, 플레이북으로 프로세스를 표준화하며, 보안 사용 사례를 위한 대응을 자동화해 SOC 운영을 효율화한다.
그러나 대부분 SOAR는 위협 인텔리전스 플랫폼(TIP) 통합까지 나아가지 못한다. TIP가 통합되지 않은 SOAR는 개별적인 위협 피드만을 제한적으로 이용할 수 있으며, 실제 컨텍스트를 기반으로 한 공격자 파악과 대응 효과를 누리지 못한다.
팔로알토 네트웍스 ‘코어텍스 XSOAR’는 TIP와 SOAR를 통합해 진정한 보안관제 자동화를 구현할 수 있다. 보안 책임자는 ‘코어텍스 XSOAR’를 통해 우선순위가 높은 위협을 즉시 파악할 수 있으며, 기업 전반에 강력한 보안을 유지할 수 있도록 한다.
보안 오케스트레이션과 위협 인텔리전스 집계·평가·공유와 플레이북 기반 위협 대응 자동화, 사례 관리, 실시간 협업 등의 활동을 네이티브하게 통합했다.
여러 피드 소스에 걸쳐 매일 수백만 개의 지표를 집계하고 구문 분석과 중복 제거 및 관리할 수 있는 자동화된 플레이북을 제공한다. 이를 통해 보안인력의 수작업을 제거해 업무를 줄이고 실수·오판으로 미숙하게 대응하는 것을 방지한다. IOC 평가를 손쉽게 확장·편집할 수 있으며 특정 환경에 대해 가장 관련성이 높은 지표를 가진 공급자를 찾아 정확한 대응이 가능하도록 한다.
조직이 자체적으로 축적한 위협 인텔리전스와 팔로알토 네트웍스의 위협 인텔리전스 서비스인 오토포커스(AutoFocus), 그리고 외부 위협 인텔리전스를 결합해 탐지된 위협의 수준을 객관화하고 더 높은 수준의 위협에 먼저 대응할 수 있도록 한다.
전사적으로 위협을 즉시 차단할 수 있는 자동화된 조치를 취할 수 있게 한다. 내부 팀 및 신뢰할 수 있는 조직 간에 위협 인텔리전스를 쉽게 공유함으로써 조사 범위를 확대한다.
개방 확장형으로 다양한 기업에 맞춤형 자동 보안관제 제공
팔로알토 네트웍스 ‘코어텍스 XSOAR’는 포춘 500대 기업 중 25%가 선택한 확장형 SOAR 플랫폼이다. 500개 이상의 공급업체와 통합할 수 있는 기능을 제공하고 있으며, 전 세계 여러 산업군 고객의 보안관제 자동화 혁신을 지원하고 있다.
개방된 확장형 ‘코어텍스 XSOAR’ 플랫폼은 폭넓은 사용 사례에 적용할 수 있으며, SOC 또는 보안 인시던트 대응팀의 범위를 벗어난 프로세스에도 적용할 수 있다. 피싱, 보안 운영, 인시던트 경보 처리, 클라우드 보안 오케스트레이션, 취약점 관리, 위협 사냥(Threat Hunting) 등에도 성공적으로 사용한 사례가 있다.
미래 SOAR에는 팀이 보안 운영 및 위협 인텔리전스 기능 간의 사일로를 제거할 수 있게 해주는 네이티브 위협 인텔리전스 관리가 포함된다. 이러한 기능을 모두 하나의 플랫폼으로 제공할 경우 SOC 분석가, 인시던트 대응자 및 위협 인텔리전스 팀은 커뮤니케이션, 효율성 및 인사이트에 대한 액세스를 최적화해 현재와 미래 위협에 대응할 수 있다.
글로벌 게임·엔터테인먼트 기업인 ‘포켓몬’은 데브옵스 성공을 위해 보안 자동화 도입하였으며, 글로벌 지리정보 서비스 기업 ‘ESRI’는 보안 분석가 지식 체계화해 맞춤형 위협 대응을 지원하고 있다. 전 세계 30개국의 다양한 회사에 제조 서비스를 제공하는 ‘Flex’는 대규모 재택근무 환경서도 중단없는 보안 자동화를 완성했다.
이향선 전자신문인터넷기자 hyangseon.lee@etnews.com
[알림] 전자신문인터넷과 넥스트데일리는 오는 6월 3일 목요일 오전 9시 30분부터 오후5시까지 “2021 스마트 디지털 워크스페이스 이노베이션” 무료 온라인 컨퍼런스를 개최한다. 이번 컨퍼런스에서는 디지털 워크스페이스 분야 글로벌 기업들의 최신 기술과 실무적용 노하우 및 성공사례가 자세히 소개된다. 비대면 시대에 변화된 기업 업무 환경의 생산성과 효율성을 극대화하는 방법도 제시된다.