보안 운영 커뮤니케이션을 혁신하여 사고 해결 속도를 높이는 팁

보안 분석가들이 가장 싫어하는 것

보안 조직이 더욱 복잡해지고 상호 연결됨에 따라 보안 담당자는 종종 소속 팀 외부와의 협업을 위한 중심 역할을 맡게 됩니다. 이러한 부서 간 소통 책임은 이미 바쁜 일상 업무에 더해지는 부담입니다.

보안 운영 센터의 하루 (사회분석가는 다음과 같이 설명합니다.

1. 그만큼 보안 자동화 플랫폼이 경고를 수신하면 자동으로 처리하고 경고 내용을 보강한 후 분석가에게 알립니다. 이를 통해 분석가는 향후 조사에 필요한 최대한의 관련 정보를 얻을 수 있습니다.

2. 사례를 검토한 후 분석가는 사용자의 활동 목적과 예상되는 성격을 확인해야 합니다. 이 예시에서 사용자는 회사 내부에 있지만 보안 부서 외부에 있습니다.
   
3. 다음으로 보안 분석가는 사용자에게 연락하여 상황을 업데이트하지만, 조사를 계속하기 전에 사용자의 답변을 기다려야 합니다. 그동안, SOC 분석가 다음 알림으로 넘어갑니다.
   
4. 임의의 시간이 흐른 후, 사용자는 분석가의 메시지를 확인하고 응답합니다.

5. 그래야만 보안 분석가가 조사를 계속할 수 있습니다. 작업 전환 후 분석가는 사건 세부 정보를 다시 확인해야 합니다.

이러한 과정은 분석가들에게 불편함을 초래하고 전체 경고 해결을 지연시킵니다. 분석가들은 사용자의 응답 시점을 파악할 수 없어 사례를 다시 숙지해야 하므로 업무 부담이 가중됩니다.

실무자를 위한 힘: 원활한 소통의 가치 

스윔레인 터빈 보안 자동화 플랫폼 기능의 확장으로 협업 모듈을 제공합니다. 이 협업 확장 기능은 모듈식의 재사용 가능한 구성 요소를 사용하여 이메일, Slack 또는 Microsoft Teams와 같은 외부 메시징 시스템으로 상황에 맞는 메시지를 전송하는 사전 정의된 템플릿을 생성합니다. 이러한 메시지는 사용자가 정의한 여러 선택 사항에 따라 작업을 트리거할 수 있습니다. 예를 들어, 승인, 확인, 거부 또는 연락 요청. 이러한 협업 확장 기능에 포함된 기능을 통해 Swimlane 사용자가 아닌 사용자도 Turbine에서 생성된 메시지에 쉽게 응답하고 보안 워크플로에 참여할 수 있습니다.

계속 읽어보시면 더 자세히 알 수 있습니다. 터빈 협업 확장 기능을 최대한 활용하는 3가지 방법.

1. 사용자 중심 분류를 통해 탐지 신호 강화

먼저, "탐지"의 개념과 범위를 설명하는 것이 중요합니다. 탐지란 하나 또는 여러 이벤트를 집계하고 상호 연관시켜 실행 가능한 경고를 생성하는 것입니다. 현대적인 보안 운영(Security Operations, SOP)에 보안 자동화가 도입됨에 따라보안 운영(기술 스택 측면에서) 경고 장식이라는 추가 단계가 있습니다. 분석가가 경고를 더 잘 이해할 수 있도록 추가 조회, 보강 및 기타 자동화된 작업이 수행됩니다.  

Turbine 협업 확장 기능은 최신 SecOps 기능에 사용자 중심의 분류 계층이라는 추가적인 탐지 분석 기능을 더합니다. 시스템은 미리 정의된 템플릿을 자동으로 불러오고, 경고의 컨텍스트 정보를 활용하여 기능을 강화합니다. 영향을 받은 조직 사용자는 "이 작업을 수행하셨습니까?" 또는 "이 시간에 이 위치에서 로그인하셨습니까?"와 같은 질문이 포함된 메시지를 받게 됩니다. 사용자가 미리 정의된 옵션 목록에서 선택하면 후속 자동화 작업이 실행됩니다.

이러한 사용자 상호작용은 SOC 분석가의 시간과 수작업을 절약하면서 탐지 범위를 확장합니다. 이 예시 시나리오 하나만으로도 분석가들은 매주 몇 시간씩의 업무 시간을 절약할 수 있습니다.

2. 승인된 작업 자동화

보안 조직뿐만 아니라 정보 기술(IT) 부서 전체가 점점 더 상호 연결되고 있습니다. 마이크로서비스 사용이 증가함에 따라 개별적인 문제 해결 노력이 전체 시스템에 미치는 영향을 완전히 파악하기가 더욱 어려워지고 있습니다. 이러한 상호 연결성과 복잡성 때문에 위협 완화 활동이 비즈니스 운영에 지장을 초래하는 경우가 흔합니다. SOC 분석가는 이러한 상호 연결된 인프라에 대한 전문가일 수는 없습니다. 따라서 많은 보안 팀은 실행에 옮기기 전에 주요 이해관계자에게 완화 조치를 제안해야 합니다. 질문을 하고 답변을 받고 그에 따라 조치를 취하기까지의 이러한 시간 지연은 위협 완화에 필요한 중요한 시간을 증가시킵니다. 

Turbine 협업 확장 기능을 사용하면 분석가가 주제 전문가에게 자동화된 승인 요청을 빠르고 효율적으로 보낼 수 있습니다. 미리 정의된 옵션 목록에서 응답을 받으면 Turbine은 분석가의 추가 개입 없이 완화 조치를 자동으로 실행할 수 있습니다.

3. 팀 알림 간소화

자동화된 탐지 기능을 활용하는 분석가의 역할은 마치 건초 더미에서 바늘을 찾는 것과 같습니다. 하지만 원격 측정 데이터 소스와 그 양이 계속 증가함에 따라 자동화된 탐지 횟수 또한 늘어나면서, 문제는 건초 더미에서 바늘을 찾는 것에서 바늘 더미에서 바늘을 찾는 것으로 바뀝니다. 이러한 상황에서 분석가가 가장 중요한 바늘을 식별하는 것은 매우 어렵습니다.
그만큼 터빈 협업 확장 기능을 통해 SOC 분석가는 Slack이나 Microsoft Teams와 같은 보안 자동화 플랫폼 외부의 커뮤니케이션 채널로 메시지를 보낼 수 있습니다. 이를 통해 미리 정의된 옵션 목록에서 신속하게 초기 조치를 취할 수 있습니다. 감지, 검증, 보고!

실제로 작동하는 모습을 확인하세요

더 자세한 사용법은 동영상 데모를 참고하세요. 어떻게 작동하는지 직접 확인해 보세요. 스윔레인 터빈 협업 기능 확장으로 의사소통이 훨씬 쉬워집니다.

결론적으로, Turbine은 커뮤니케이션 및 응답 시간의 개선과 가속화를 최우선으로 하여 협업의 핵심을 재정립합니다. 이러한 변화는 실무자에게 제어권을 되돌려줌으로써 그들의 역량을 강화합니다. Turbine의 자동화 기능은 분석가의 관심을 사로잡아 운영 환경에서 효율성을 높이는 데 기여합니다.

아직 스윔레인 터빈을 경험해보지 못하셨다면, 시승을 요청해 보시길 권해드립니다. 데모 영상은 여기에서 볼 수 있습니다.