노트북 키보드 위에 놓인 열린 자물쇠

가트너 SOAR 보고서: "보안 오케스트레이션, 자동화 및 대응을 위한 혁신 인사이트"“

사용자 아바타
케이티 바이코프스키
3 1분 읽기

 

오리지널 스타트렉의 팬이라면 누구나 스코티의 명대사 "캡틴, 저는 할 수 없어요! 제게는 그런 힘이 없어요!" 또는 "물리학 법칙을 바꿀 수는 없잖아요!"를 기억할 것입니다. 스코티의 이러한 곤경은 오늘날 보안 운영(SecOps) 담당자들이 처한 상황과도 유사합니다. 가트너의 최신 SOAR(보안 오케스트레이션, 자동화 및 대응) 혁신 인사이트 보고서에 따르면, "보안 운영팀은 점점 더 다양해지는 위협 탐지 기술에서 쏟아지는 보안 경고에 대응하는 데 어려움을 겪고 있습니다."“

하지만 모든 것이 절망적인 것은 아닙니다. 스코티처럼 그들도 이 불가능해 보이는 싸움에서 해결책을 찾을 수 있습니다. 새로운 보고서에는 희망적인 분위기가 담겨 있습니다. 보안 운영팀은 새로운 관행과 도구를 도입하여 사이버 위협에 대한 보다 효과적인 예방, 탐지 및 대응을 가능하게 할 수 있습니다.

SOAR란 무엇인가요?

SOAR는 다음을 나타냅니다. SecOps를 개선하는 새롭고 강력한 방법입니다. Gartner는 조직이 SOAR를 구현하여 위협 인텔리전스 관리, 보안 이벤트 관리 및 SecOps 프로세스를 오케스트레이션하고 자동화함으로써 사고 대응 효율성과 일관성을 향상시킬 것을 권장합니다.

가트너는 2020년까지 보안 전문가가 5명 이상인 보안 조직의 15%가 SOAR를 도입할 것으로 예상합니다. 이는 현재 도입률인 1% 미만에서 크게 증가한 수치입니다.

SOAR는 행동에 중점을 둡니다. 원래 이 약어는 "보안 운영, 분석 및 보고"를 의미했지만, 가트너는 "보고"를 "대응"으로 대체했습니다. 보고는 이제 필수적인 요소가 되었습니다. 효과적인 보안 사고 대응은 무엇보다 중요하기 때문에 모든 SOAR 도구는 보고 기능을 갖춰야 합니다.

SOAR를 선택해야 하는 이유는 무엇이며, 지금이 바로 그 시점인 이유는 무엇일까요?

가트너 보고서는 보안 경보는 너무 많은데 이를 처리할 인력이 부족하다는 점을 다시 한번 강조했습니다. 중앙 집중식 보안 오케스트레이션 및 사고 대응 기능이 없다면, 보안 운영(SecOps) 팀은 위협 정보를 수동으로 수집하고 종합하는 데 매달릴 수밖에 없습니다. 즉, 보안 전문가들은 개별 사고에 맞춰 작성된 수동 플레이북에 의존해야 합니다. 이는 시간 소모가 심하고 지루한 작업입니다. 결과적으로 보안 전문가들은 사이버 공격으로부터 네트워크를 사전에 탐지하고 방어하는 데 투입할 수 있는 시간이 심각하게 줄어듭니다.

이러한 상황으로 인해 SOAR의 도입과 영향력이 증가하고 있습니다. 가트너는 2020년까지 보안 전문가가 5명 이상인 보안 조직의 15%가 SOAR를 도입할 것으로 예상합니다. 이는 현재 도입률인 1% 미만에서 크게 증가한 수치입니다. 보고서에서 언급했듯이, "점점 더 적대적인 위협 환경과 인력, 전문성, 예산 부족이라는 과제들이 조직들을 보안 오케스트레이션, 자동화 및 대응(SOAR) 기술로 이끌고 있습니다."“

최근 가트너 SOAR 보고서에는 어떤 내용이 담겨 있나요?

가트너는 보고서에서 SOAR과 그 기능적 구성 요소를 상당히 포괄적으로 설명합니다. 특히 SOAR의 일반적인 이점과 사용 사례에 중점을 두고 있으며, 기업이 SOAR 도구를 고려하거나 구현할 때 참고할 만한 권장 사항을 제시하고, 스윔레인을 포함한 대표적인 벤더 목록을 제공합니다. 이 연구는 보안 자동화 및 오케스트레이션, 인시던트 관리, 협업, 대시보드 및 보고 등 주요 SOAR 개념을 구분하여 설명합니다.

보고서의 주요 권고사항은 다음과 같습니다.

  • 자동화를 쉽게 구현할 수 있고 조직에서 즉각적인 투자 수익(ROI)을 실현할 수 있는 간단한 접근 방식부터 시작하십시오. 여기에는 평균 탐지 시간(MTTD) 및 평균 해결 시간(MTTR) 단축이 포함됩니다.
  • 작업 자동화에 집중하고 사고 대응을 체계화하십시오.
  • 외부 위협 정보를 활용하여 보안 기술 및 사고 대응 프로세스의 효율성을 향상시키십시오.

스윔레인과 SOAR

Swimlane은 Gartner 보고서에 명시된 SOAR 원칙을 구현할 수 있도록 지원합니다. 기업 팀의 보안 운영을 자동화하며, 보안 분석가는 데이터 수집, 보고, 오탐 대응과 같은 반복적인 작업을 자동화할 수 있습니다. 맞춤형 SecOps 관리 대시보드는 모든 기업 보안 작업을 추적하고, 개인 및 팀이 사례, 보고서, 대시보드, 지표에 중앙 집중식으로 접근할 수 있도록 지원합니다.

이것이 SOAR의 핵심입니다. Swimlane은 보고서에서 권장하는 머신 기반 자동화를 구현하여 사고 조사 주기 시간을 단축합니다.

어쩌면 스코티의 생각이 틀렸을지도 모릅니다. 물리 법칙, 혹은 적어도 사이버 보안 법칙은 바꿀 수 있을지도 모릅니다. SOAR 덕분에 한때 불가능해 보였던 많은 것들이 이제 가능해졌습니다.

태그

연구

2020년 6월 25일
2020 SOAR 보고서, 주요 동인 및 영향 분석
더 읽어보기
2015년 6월 3일
가트너의 사고 대응 관리 관련 인사이트
더 읽어보기
2015년 7월 25일
새로운 보고서에 따르면 심각한 사이버 보안 인력 부족 현상이 주 정부에도 만연해 있는 것으로 나타났습니다.
더 읽어보기

라이브 데모를 요청하세요