SOAR의 미래

SOAR의 과거, 현재, 그리고 미래 3부

이 블로그 시리즈의 1부와 2부에서는 다음 내용을 살펴보았습니다. 보안 정보 및 이벤트 관리(SIEM) 시스템에 중점을 둔 보안 운영 센터(SOC)의 현황 그리고 보안 오케스트레이션, 자동화 및 대응(SOAR) 현황. 이 시리즈의 세 번째이자 마지막 편에서는 SOAR의 미래에 대해 자세히 살펴보겠습니다.

분석가들에 따르면 SOAR 도입은 아직 초기 단계에 있습니다. 점점 더 많은 SOC가 SOAR 솔루션을 활용하여 성숙해짐에 따라 새로운 사용 사례가 구현되고 있으며 SOAR의 적용 가능성은 무궁무진한 것으로 입증되고 있습니다.

창의적으로 비상하다

SOAR 기반 SOC는 사실상 무한한 잠재력을 지니고 있지만, 어떤 보안 솔루션, 플랫폼 또는 도구도 만능 해결책이 될 수 없다는 점을 강조하는 것이 중요합니다. 업계 전체가 끊임없이 진화하고 성장하는 위협 환경에 발맞춰 발전하고 성장해야 합니다.

이를 위한 최선의 방법은 창의력을 발휘하는 것입니다! SOAR 솔루션을 도입하는 조직은 표준 플레이북과 워크플로우를 오케스트레이션하고 자동화하는 것(물론 이것도 중요합니다)을 넘어서야 합니다. 만약 이 글을 읽고 계신 분들이 바로 그런 범주에 속한다면, SOAR 플랫폼의 잠재력을 극대화할 수 있는 새로운 방법을 모색해 보세요. 표준 프로세스를 자동화한 후에는 원하는 결과를 달성하는 방법을 다시 검토하고, 동시에 해당 프로세스를 개선하고 SOAR 솔루션을 최적화할 수 있는 새롭고 혁신적인 방법을 찾아보세요. 그리고 SOAR의 가장 매력적인 측면 중 하나는 조직 전체에 걸쳐 수평적 확장이 가능하다는 점을 기억하세요. 직원 퇴사 절차를 예시로 살펴보세요.

함께 비상하다

지금까지 위협 인텔리전스 커뮤니티는 여러 조직 간의 장벽을 허물고 모든 구성원이 데이터를 안정적으로 공유할 수 있도록 하는 데 상당한 성과를 거두었습니다. 예를 들어, 정보 공유 및 분석 센터(ISAC)는 이러한 과정을 더욱 용이하게 만들었습니다. 업계 전반의 조직들이 침해 지표(IOC), 기술, 전술 등을 공유하기 위한 모임입니다.. 이러한 정보 공유의 자연스러운 진화는 구조화된 위협 정보 표현™(Structured Threat Information Expression™) 및 신뢰할 수 있는 자동화된 지표 정보 교환™(Trusted Automated eXchange of Indicator Information™)(STIX-TAXII)과 같은 표준 기반 프로세스로 나아가고 있습니다.

우리는 그것을 알고 있습니다 협력 및 포괄적인 정보 공유 이는 사이버 보안 산업 전반을 강화하는 데 중요할 뿐만 아니라, 개별 조직의 SOAR 솔루션을 더욱 효과적으로 만드는 데에도 도움이 됩니다. 정보 공유에 참여하고 SOAR 솔루션을 활용하는 SOC는 이러한 질문에 더욱 효과적으로 답변할 수 있습니다.

• 내 주변 환경에서 특정 활동이 감지되면 어떻게 해야 하나요?
• 조직 간에 이러한 정보를 어떻게 공유할까요?
• 이러한 활동으로 인해 이러한 유형의 알림이 발생하는 경우 어떤 조치를 취해야 합니까?
• 무엇을 살펴봐야 할까요?
• 다른 침해당한 호스트나 자산을 어떻게 찾아야 할까요?
• 어떻게 하면 이 상황에 최대한 빨리 대응하고 완화할 수 있을까요?

분석가들이 완전한 데이터를 바탕으로 이러한 질문에 답할 수 있다면, 표준화된 워크플로우를 조정하고 맞춤화하여 더욱 효과적인 사고 조사를 수행할 수 있습니다. 업계 전체적으로 이는 더 광범위한 글로벌 커뮤니티의 공유 역량을 활용하여 위협과 악의적인 행위자에 대응하거나 심지어 앞서 나갈 수 있도록 해줄 것입니다.

SOAR가 앞으로 나아가면서 지속적으로 발전하고 개선될 또 다른 부분은 조직이 콘텐츠를 제작하는 방식입니다. SOAR 공급업체로서, 우리는 고객, 파트너 및 개별 담당자들이 타사 시스템과의 통합을 통해 기능을 향상시키는 것을 목격하고 있습니다. 독창적인 데이터 시각화부터 맞춤형 워크플로 및 플레이북에 이르기까지, 이러한 요소들은 SOAR 플랫폼의 기능 효율성을 지속적으로 개선할 수 있도록 해줍니다.

~에 스윔레인, 우리는 필요한 도구를 계속해서 제작해야 한다고 믿습니다. 이러한 통합을 구축하는 데 필요합니다. 가능한 한 쉽게 만드는 것이 중요합니다. 사람들이 있는 곳에서 그들을 만나고, 그들이 일하고 콘텐츠를 개발하는 방식을 지원하는 것이 오케스트레이션, 자동화 및 대응을 새로운 차원으로 끌어올리는 원동력이 될 것입니다. 시민 데이터 과학과 같은 개념이 활성화되는 이유는 콘텐츠를 구축할 수 있는 능력을 최대한 많은 사람들에게 제공하는 것이 매우 효과적이기 때문입니다. 마찬가지로 SOAR 내부에서도 이러한 추세는 계속될 것입니다.

앞으로 솟아오르다

현재 SOAR를 도입하고 있는 대다수의 조직은 대기업, 심지어 일부 중견기업입니다. 소규모 기업의 SOAR 도입률은 매우 낮은데, 이는 자동화를 구현하고 제대로 활용하여 가치를 창출할 자원이 부족하기 때문입니다. 하지만 SOAR가 중견기업과 소규모 기업에 가져다줄 진정한 가치는 오히려 더 클 수 있습니다. 바로 이러한 자원 부족 때문입니다. 소규모 기업은 전담 모니터링 팀, 사고 대응 팀 또는 위협 인텔리전스 팀을 보유하고 있지 않습니다. 하지만 이러한 역량은 그들에게 반드시 필요한 것입니다.

규모에 상관없이 모든 조직이 SOAR의 공격 대상이 될 수 있습니다. 특히 소규모 조직은 자동화 기능과 구성원들의 활동 및 협업 방식에 대한 집단 학습을 통해 추가적인 가치를 얻을 수 있으며, 이러한 모든 기능을 보안 전문가가 아닌 시스템 관리자에게 제공할 수 있습니다. 앞으로 SOAR의 도입 및 활용 방식은 매우 큰 변화를 맞이할 것입니다. SOAR의 미래는 밝습니다. 우리 모두 함께 SOAR의 잠재력을 극대화해 봅시다!