SOAR 솔루션을 선택하는 방법

SOAR(Security Orchestration, Automation and Response)는 차세대 SOC를 위한 대표적인 솔루션으로 평가되며 보안 운영 효율성을 향상시키는 핵심 메커니즘이기도 합니다.

우리 모두 알고 있듯이 차세대 SOC의 초점은 탐지 및 대응 능력을 향상시키는 것입니다. 그러나 현실은 SOC 운영팀이 엄청난 압박에 직면해 있고, 오경보율이 계속 상승하고 있으며, 평균응답시간(MTTR)도 늘 개선하기 어려운 상황이다. 따라서 보안 업계와 기업 보안팀은 SOAR 솔루션에 큰 기대를 걸고 있으며, SOAR 구축을 통해 위협 탐지 및 대응에 있어 SOC 효율성이 크게 향상될 것으로 기대하고 있습니다.

당사자 A는 SOAR 솔루션을 올바르게 구현하지 못하면 새로운 과제에 직면하게 된다는 점을 이해해야 합니다. 적절한 계획이 없으면 보안 자동화 도구를 채택하는 기업은 효율성 저하와 열악한 보안 태세로 이어질 수 있는 일반적인 실수에 희생될 수 있습니다.

즉, 기업은 적합한 SOAR 솔루션을 선택할 때 여러 요소를 고려해야 합니다. 다음은 SOAR 선택에 관해 여러 해외 보안 전문가가 제시한 통찰력과 제안입니다.

Rishi Bhargava, Palo Alto Networks 제품 전략 부사장

SOAR 솔루션의 구현은 단순히 "부족함"에서 "갖고 있음"으로 끝나는 것이 아닙니다. " 프로세스. 기업은 기존 프로세스와 보안 도구 스택을 평가한 후 적절한 배포 접근 방식을 선택해야 합니다.

• 생태계가 중요합니다. SOAR 솔루션은 현재 사용하는 공급업체 도구 전반에 걸쳐 통합될 수 있어야 합니다. 내부 개발 또는 맞춤형 통합을 위한 옵션이 제공되어야 합니다. 안정적인 SOAR 솔루션은 기업의 발전과 보조를 맞추고 지속적으로 개선될 수 있어야 합니다. 탐지, 강화, 실행 프로세스와 관련 도구를 완벽하게 통합합니다.

• 강력한 티켓 및 케이스 관리 기능: 사고 대응이 자동화로 시작되고 끝나는 경우는 거의 없습니다. 분석가는 항상 사고 조사에 참여합니다. 공급업체에 문의하세요. SOAR 플랫폼이 기본적으로 사례 관리를 제공합니까, 아니면 사건 타임라인을 재구성할 수 있습니까? 많은 코딩 없이 시나리오를 쉽게 사용자 정의할 수 있습니까?

• 통합 위협 인텔리전스 관리: 수동 위협 인텔리전스 워크플로우는 시간이 많이 걸리고 확장되지 않으므로 통합 위협 인텔리전스 관리 자동화로 평균 응답 시간이 크게 단축됩니다.

• 유연한 배포: SOAR 플랫폼은 로컬 배포와 클라우드 호스팅 배포를 지원해야 합니다. 분산 환경의 경우 완전한 멀티 테넌트 환경을 확장하고 지원하는 환경을 찾으세요.

SOAR을 선택하거나 구현하는 위치에 관계없이 위의 고려 사항을 통해 조직이 최선의 길을 가고 있는지 확인할 수 있습니다.

Micro Focus SecOps 제품 관리자 GamzeBingöl

SOAR 솔루션의 기본 목적은 보안 담당자가 자동화 및 조정 기술을 통해 사이버 위협을 탐지하고 대응하는 능력을 향상시킬 수 있도록 돕는 것입니다.

• Cyber ​​Security Automation의 SOAR 자동화 기능은 오탐을 제거하고 반복적인 활동을 자동화함으로써 대부분의 위협을 자동으로 처리할 수 있습니다. SOAR을 사용하면 시간이 많이 소요되고 반복적인 작업을 자동화하여 분석가가 사람의 개입이 필요한 사례에 집중할 수 있는 시간을 더 많이 확보할 수 있습니다.

• SOAR의 기본 기능은 시나리오 중심의 즉시 사용 가능한 자동 계획이어야 합니다. 즉시 사용 가능한 계획은 팀이 응답 시간을 몇 시간에서 몇 분으로 줄이고 분석가의 생산성을 높이는 데 도움이 됩니다.

• 통합 도구 세트는 서로를 보완하기 때문에 격리된 보안 도구보다 더 유용합니다. SOAR의 중요한 측면은 기업의 기존 보안 솔루션, IT 인프라 및 기술과 통합되어야 하며 협업을 강화하고 모든 요소가 모두 동일한 솔루션의 일부인 것처럼 조정하여 전체 보안 환경으로 작동해야 한다는 것입니다. 중앙 집중식 허브.

• KPI 및 지표: 사례 및 분석가에 대한 SOAR의 자세한 보고서는 관리자가 역사적 사건을 이해하고 미래 방향을 더 잘 계획하는 데 도움이 될 수 있습니다.

Richard Cassidy, 보안 전략 수석 이사, EMEA, Exabeam

SOAR 솔루션은 팀이 크고 다양한 데이터 스트림 전반에 걸쳐 식별 및 대응 프로세스를 자동화하여 위협과 취약점의 우선 순위를 지정할 수 있도록 지원해야 합니다. 거의 원활하고 훨씬 더 많은 기능을 제공해야 합니다. 보안 운영에 효율적입니다.

올바르게 구현되면 SOC(보안 운영 센터)는 SOAR 솔루션을 사용하여 위협에 더 빠르고 효과적으로 대응할 수 있는 이점을 얻을 수 있습니다.

SOAR를 SIEM(보안 정보 및 이벤트 관리)과 같은 다른 보안 도구와 통합하면 자동화를 통해 SOC 팀의 비즈니스 및 기술 결과를 변화시키는 동시에 효율성을 높일 수 있습니다.

기업은 SOAR을 사용하여 SIEM의 기능을 향상시켜 포괄적인 솔루션을 제공할 수 있습니다. SIEM은 SOAR가 사고를 자동으로 조사 및 대응하고 수동 작업의 필요성을 줄이는 데 사용할 수 있는 유용한 방식으로 데이터를 수집하고 저장합니다.

그리고 현재까지 SOC 팀의 가장 큰 과제인 오탐지의 경우 SOAR 솔루션은 정보를 수집하고 중복 경고의 우선순위를 지정 및 통합하여 오탐지 수를 줄이는 데 도움이 될 수 있습니다.

Cody Cornell 최고 전략 책임자, Swinlane

SOAR 솔루션을 고려할 때 기업은 두 가지 관점에서 생각해야 합니다. 보안 운영 자동화가 해결해야 하는 문제는 무엇이며 요구 사항은 무엇입니까?

자주 사용하는 도구 또는 적에 대한 전략은 정적이지 않고 역동적입니다. 따라서 현재의 요구 사항뿐만 아니라 미래의 요구 사항도 충족하려면 신속하게 통합 및 확장할 수 있는 솔루션을 선택해야 합니다.

두 번째로, 공격자 기술의 변화를 볼 때 공격자도 자동화를 수용할 것이라고 생각하시나요? 실제로 공격자는 자동화를 사용하여 스캔을 실행할 뿐만 아니라 DevOps 방법을 사용하여 각 공격에 대한 고유한 기반을 구축하고 있습니다. 대상 아키텍처.

이런 상황이 계속된다면 사람의 개입 없이 침해 지표(IOC)와 사례 및 경고의 기타 인텔리전스를 추적하고 조사할 수 있는 자동화된 플랫폼이 필요합니다.

Matthias Maier, Splunk 보안 전도사

SOAR 플랫폼을 선택할 때 고려해야 할 몇 가지 기준과 사용할 기준이 있습니다.

(1) 핵심 역량

사용자는 이를 필수 요소로 쉽게 식별할 수 있습니다. SOAR 플랫폼 및 기능의 빌딩 블록입니다. 오케스트레이터와 같은 일부 중요한 구성 요소는 특정 보안 솔루션과 관련된 모든 활동을 지휘하고 감독하는 역할을 담당합니다. 오케스트레이터가 사용 가능한 리소스를 최적으로 활용하는 것이 중요합니다. 다른 하나는 자동화 엔진이다. 자동화된 작업은 독립적으로 실행되고 대체로 사람의 개입이 필요하지 않으므로 플랫폼 확장성 및 확장성과 같은 속성은 고려해야 할 중요한 기준입니다. 사례 및 프로그램 관리도 고려해야 합니다.

(2) 플랫폼 속성

이것은 정성적인 기준입니다. 이러한 기준은 플랫폼과의 관찰 및 상호 작용을 통해 더 자주 평가될 수 있습니다. SOAR 플랫폼은 강력한 커뮤니티 모델을 지원하고 애플리케이션 통합 및 플레이북을 쉽게 공유할 수 있도록 해야 합니다. SOAR 플랫폼이 수직 및 수평으로 확장되는 방식을 이해하는 것도 중요합니다. 시간이 지남에 따라 사용 사례가 추가되면 플랫폼에 추가 처리 로드가 추가됩니다. 개방적이고 모바일 친화적이며 사용하기 쉬운 플랫폼도 중요한 고려 사항입니다.

(3) 비즈니스 고려 사항

회사에서 제공하는 부가가치 서비스에는 교육 및 지원과 같이 핵심 기술을 향상시키기 위해 고안된 프로젝트가 포함됩니다. 기업의 핵심 기술이 아무리 훌륭하더라도, 전통적으로 구매자의 의사결정 과정에 큰 영향을 미친다고 여겨지는 제품 이외의 요소에는 주의가 필요합니다.

Faiz Ahmad Shuja, CEO, SIRP

한 연구에 따르면 보안 전문가는 매일 평균 840개의 보안 경고를 받는 것으로 나타났습니다. 대부분의 경고는 수동 조사를 완료하는 데 약 15~30분이 걸리므로 이는 보안 팀에게 거의 불가능한 작업입니다.

가능한 한 많은 워크로드를 자동화하면 보안 팀이 계속해서 중요한 위협을 간과하지 않도록 할 수 있으며 SOAR 플랫폼은 가장 효과적인 솔루션 중 하나입니다.

SOAR를 성공적으로 통합하기 위한 가장 중요한 단계는 모든 보안 프로세스에 대해 신뢰할 수 있는 문서를 제공하는 것입니다. 모든 주요 프로세스에는 잘 개발된 대응 매뉴얼이 필요합니다. 예를 들어 잠재적인 피싱 이메일이 감지되면 보낸 사람의 주소 조사, 스푸핑 징후 감지, 모든 URL의 평판 점수, 악성 스크립트 감지 등의 응답이 포함될 수 있습니다. 이러한 모든 프로세스가 기록되면 SOAR 플랫폼은 자동으로 실행을 시작할 수 있습니다.

또한 조직은 자신이 선택한 SOAR 플랫폼에 강력한 통합 기능이 있는지 확인해야 합니다. 이 플랫폼은 기존 SIEM 솔루션과 원활하게 통합되고 다른 보안 솔루션 및 더 광범위한 IT 인프라와 연결되어야 합니다.

Amos Stern, CEO, Siemplify

보안 오케스트레이션, 자동화 및 대응은 보안 팀이 오랫동안 직면해 왔던 가장 좌절스러운 문제 중 일부를 해결할 수 있습니다.

올바른 구현과 결합된 올바른 SOAR 플랫폼은 경고 과부하를 줄이고, 조직에서 사용하는 다양한 탐지 도구를 통합하고, 자동화되고 반복 가능한 프로세스를 구축하여 응답 시간을 줄이는 동시에 보안 분석가가 지루하고 지루한 작업에서 벗어날 수 있도록 도와줍니다. 종종 지루한 수작업. 위협을 찾아내고 보다 탄력적인 보안 인프라를 구축하는 등 중요한 작업에 집중할 수 있습니다.

이 문장을 다음과 같이 다시 작성하세요: 핵심 목표는 다양한 타사 탐지 도구를 통합하고, 경고를 받고, 기본 API를 사용하여 워크플로를 자동화하는 것입니다.

그러나 최고의 SOAR은 중앙 집중식 작업대 역할을 할 수 있습니다. Salesforce처럼 생각하면 이는 SOC 분석가에게도 적용됩니다. 찾아야 할 SOAR 솔루션에는 다음과 같은 고급 기능이 있어야 합니다.

• 사례 관리(특히 상황에 맞게 경고를 그룹화하는 기능)

• 통합 위협 인텔리전스(특히 중요) 새로운 원격 근무 환경에서)

• 대시보드 및 KPI(가시성 및 통찰력 제공)

• 중대 사건 발생 시 조직 간 대응을 위한 위기 관리(에스컬레이션)

위 내용은 SOAR 솔루션을 선택하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!