Thetabyte 운영 책임자와의 질의응답

보안 운영 센터 현대화 임무 (사회(간단한 경우는 드물지만) 클라이언트가 나이지리아 국영 석유 공사 (NNPC)의 경우 위험 부담이 기하급수적으로 커집니다. 이것이 바로 NNPC가 규모를 축소한 이유입니다. 세타바이트, 대규모 기업 SOC 전환에 특화된 사이버 보안 서비스 제공업체가 이 중요한 프로젝트를 주도하게 됩니다.

NNPC는 나이지리아의 국영 석유 회사이자 아프리카 최대 에너지 기업 중 하나입니다. NNPC의 운영은 나이지리아 경제, 정부 수입 및 외환 수입의 상당 부분을 뒷받침하는 매우 중요한 역할을 합니다. 이러한 규모, 국가적 중요성, 엄격한 규제 요건, 그리고 다양한 기존 인프라를 통합해야 하는 필요성으로 인해 운영 환경은 극심한 어려움에 직면해 있었습니다.

저는 Thetabyte의 운영 책임자인 론 마만과 이야기를 나눴는데, 그는 이번 배포를 주도했습니다. 스윔레인 터빈 에이전트형 AI NNPC의 자동화 플랫폼에 대한 이야기입니다. 론은 이 솔루션이 어떻게 NNPC가 경고 피로를 극복하고, 엄격한 규정 준수 목표를 달성하며, 다양한 인프라 전반에 걸쳐 사고 대응 시간을 크게 단축할 수 있도록 지원했는지에 대한 비하인드 스토리를 공유합니다.

계속 읽어보시면 론과의 대화를 질의응답 형식으로 요약한 내용을 확인할 수 있습니다. 론은 여기서 Thetabyte가 Swimlane Turbine을 사용하면서 얻은 경험을 자세히 설명합니다.

NNPC가 인공지능 자동화에 대한 절실한 필요성을 느끼게 된 구체적인 과제는 무엇이었습니까?

NNPC는 세 가지 주요 과제에 직면해 있었습니다.

• 경계 피로
• 파편화된 도구 세트, 
• 보안 운영 전반에 걸쳐 중앙 집중식 가시성이 부족합니다. 

수동 프로세스는 사고 대응 속도를 지속적으로 저하시켰고, 분석가들은 반복적이고 우선순위가 낮은 작업에 압도당했습니다. 또한, 위협 인텔리전스 피드를 기존 SIEM 경고와 안정적으로 연관시킬 수 없었습니다. 이러한 연결 고리의 부재는 위협 탐지에 있어 상당한 사각지대를 초래했습니다.

다른 경쟁 제품 대신 스윔레인 터빈을 선택하신 이유는 무엇입니까?

저희는 여러 플랫폼을 평가했습니다. 경쟁 플랫폼들은 Turbine에서 제공하는 복잡한 맞춤형 플레이북을 구축하는 데 필요한 시각적이고 드래그 앤 드롭 방식의 유연성이 부족했습니다. 터빈 캔버스의 로우코드/노코드 인터페이스와 모듈형 플레이북 디자인은 자동화를 구축하고 관리하는 가장 쉽고 효과적인 방법을 제공합니다. 

로우코드 플레이북 빌더와 거의 모든 도구와의 원활한 API 통합 기능 덕분에 Turbine은 이상적인 선택이었습니다. 또한, 모든 레벨(티어 1부터 티어 3까지)의 분석가들이 맞춤형 플레이북을 사용할 수 있도록 지원하는 플랫폼이 필수적이었는데, Turbine은 이 부분을 탁월하게 처리합니다.

사례 연구 읽기

Turbine에서 어떤 기능을 가장 많이 활용하고 계신가요?

Turbine에서 저희가 가장 좋아하는 기능은 다음과 같습니다. 캔버스 그리고 대시보드 및 보고.

• Canvas를 사용하면 심도 있는 코딩 전문 지식 없이도 복잡한 플레이북을 신속하게 프로토타이핑하고 배포할 수 있습니다. 덕분에 새로운 자동화 솔루션을 제공하는 속도가 크게 향상됩니다.
• 실시간 대시보드와 AI 기반 보고서는 실시간 지표 및 핵심성과지표(KPI)를 제공하여 기술 SOC 분석가와 NNPC 경영진 모두에게 명확하게 제시합니다. 이는 투자 수익률(ROI)을 입증하고 가시성을 유지하는 데 매우 중요합니다.

Turbine과 통합한 도구는 무엇인가요?

Swimlane 덕분에 NNPC의 보안 스택에 필요한 모든 도구를 단 한 번의 클릭으로 쉽게 연결할 수 있었습니다. 스윔레인 마켓플레이스. 주요 차이점은 다음과 같습니다.

• 지라: 탄력 있는SIEM 데이터 경고 수집 및 자동 분류
  
• 바이러스 총계실시간 위협 정보 강화
  
• 지라자동화된 티켓 생성 및 추적 기능을 통해 원활한 SOC 인계를 지원합니다.
  
• 독자적인 위협 인텔리전스 도구: API를 제공하기 때문에 Turbine에 통합하여 포괄적이고 실시간적인 경고 정보 및 컨텍스트를 얻을 수 있었습니다.

Turbine을 어떤 용도로 사용하고 계신가요?

우리는 NNPC 환경 내에서 영향력이 큰 두 가지 핵심적인 사용 사례에 집중했습니다.

1. 자동화된 사고 분류 및 정보 보강
   SIEM 경고가 수신되면 Turbine은 즉시 자동화된 정보 보강 플레이북을 실행합니다. 이 과정에는 외부 데이터베이스에 대한 질의가 포함됩니다. 위협 인텔리전스 알려진 악의적인 침해 지표(IOC)에 대한 피드를 제공하고 내부 자산 데이터베이스를 조회하여 영향을 받는 소유자, 시스템 중요도 및 위치를 파악합니다. 이를 통해 분석가는 완전한 맥락을 갖춘 고품질 경고 패키지를 즉시 제공받을 수 있습니다.
2. 위협 차단 및 복구
   Turbine 대시보드를 통해 분석가는 IOC 식별, 데이터 상관관계 분석, 경계 방화벽에서 악성 트래픽을 직접 차단하는 것을 포함한 복구 조치 실행 등 자동화된 기능을 완벽하게 파악할 수 있습니다. 분석가는 단일 화면에서 플레이북을 완벽하게 제어할 수 있으므로 스택 전체에 걸쳐 분산된 보안 도구에 수동으로 로그인하거나 다른 곳으로 이동할 필요 없이 IP 블랙리스트 등록과 같은 필요한 차단 및 방어 조치를 신속하게 실행할 수 있습니다.

스윔레인이 해결에 도움을 준 문제의 예는 무엇인가요?

가장 큰 어려움 중 하나는 서로 다른 시스템 간의 IOC를 수동으로 상호 연관시키는 것이었습니다. Swimlane 이전에는 분석가들이 SIEM, EDR, 그리고 방화벽 로그.

Swimlane을 통해 모든 시스템에 걸쳐 자동화된 IOC 상관관계 분석을 구현하여 경고당 평균 조사 시간을 45분에서 10분 미만으로 단축했습니다.

Turbine이 중대한 보안 침해를 막아낸 사례가 있으신가요?

NNPC 직원들을 대상으로 한 악성코드 공격이 있었습니다. Turbine 덕분에 5분 이내에 위협을 탐지하고 격리하여 사용자 정보 유출을 성공적으로 막을 수 있었습니다.

Turbine을 도입한 이후 어떤 성과를 거두셨습니까?

첫 3개월 만에 1단계 분류 작업에서 601건 이상의 TP3T를 자동화하는 중요한 목표를 달성했습니다. 이 성과는 일반 분석가들의 업무 부담을 즉시 크게 덜어주었습니다.

Turbine을 도입한 이후로 SOC 효율성이 크게 향상되었습니다.

• 사고 대응 시간이 무려 70%나 단축되었습니다.
• 탐지에 소요되는 평균 시간(MTTD) 및 평균 응답 시간(MTTR)이 크게 감소했습니다.
• 분석가들의 직무 만족도는 과도한 수작업 부담이 줄어든 결과로 즉각적으로 증가했습니다.
• 감사 추적 및 보고 기능 덕분에 규정 준수 준비 상태가 즉시 향상되었습니다.
  
  

궁극적으로 터빈은 보안 팀에게 가장 중요한 자원인 자유를 제공합니다. 론 마만이 다음과 같이 결론짓습니다.

“"저는 동료들에게 Swimlane을 추천합니다. Swimlane은 보안 팀이 적은 자원으로 더 많은 일을 할 수 있도록 지원하기 때문입니다. 지루한 작업을 자동화하고, 중요한 상황에 대한 대응 속도를 높이며, 분석가들이 가장 중요한 일에 집중할 수 있도록 해줍니다."”