IT 사고 대응 계획 수립

자물쇠는 결국 열릴 겁니다. 오늘 당장은 아니더라도 곧 그렇게 될 겁니다. 사실, 지금 이 순간에도 일어나고 있을지도 모릅니다… 다만 당신이 아직 그 증거를 발견하지 못했을 뿐이죠. 이러한 상황은 세계 최고의 사이버 보안 팀들을 상대로도 벌어지고 있습니다. 당신이나 당신의 보안 팀을 폄하하려는 것이 아니라, 연구 결과에 따르면 보안 사고는 점점 더 빈번해지고 있다는 점을 말씀드리는 겁니다. 그런 상황이 닥쳤을 때 당신은 어떻게 하시겠습니까?

이는 최근 국가정보국장실, 교통안전청(TSA) 등을 비롯한 정부 안보 관계자 패널 토론의 주제였습니다. 이들은 고조되는 세계적 위협 환경에 대처하는 과정에서 얻은 통찰력과 교훈을 공유했습니다.

연방 정부 사이버 보안팀은 어떻게 사고에 대비하는가?

패널들은 문제가 발생하기 전에 명확한 IT 사고 대응 계획을 마련해 두는 것이 필수적이라고 논의했습니다. 물론, 모든 계획이 다 좋은 것은 아닙니다. 거의 모든 IT 조직은 각자 나름의 계획을 가지고 있습니다. 일부 일종의 사고 대응 계획이라고 할 수 있습니다. 하지만 국가가 지원하는 사이버 전쟁으로부터 미국을 방어하는 사람들에게는 훨씬 더 강력한 계획이 요구됩니다.

효과적인 IT 사고 대응 계획 수립

효과적인 IT 사고 대응 계획을 수립하려면 무엇이 필요할까요? 단순히 이론적인 연습에 그치는 것이 아닙니다. 실제 상황을 바탕으로 한 실전 훈련이 필수적입니다. 국가정보국장실 산하 정보공동체조정센터(ICC)는 소속 팀과 함께 사이버 "모의 전쟁"을 실시합니다. 실제 사이버 공격을 가정하고 사전에 준비된 대응 방안을 연습하여 반응 시간과 역량을 시험하는 것입니다.

물론 모든 사람이 이 정도 수준의 사고 대응 계획을 세울 시간과 자원을 갖고 있는 것은 아니지만, 관련된 원칙은 보편적입니다. 패널들에 따르면 효과적인 사고 대응에 가장 중요한 두 가지 요소는 속도와 조정입니다. 보안 사고에 앞서 대응하려면 대응팀은 신속하고 효율적으로 움직여 조치를 조율할 수 있어야 하는데, 이는 대응 워크플로와 시스템의 자동화 및 조정이 있어야만 가능합니다.

신속성과 조직력은 효과적인 대응 계획의 두 가지 필수 요소입니다.

사고 대응 속도를 좌우하는 핵심 요소는 바로 상황 인지입니다. 경보를 인지하고 (그리고 정확하게 해석하고) 조치를 취하기까지 걸리는 시간은 결과에 결정적인 영향을 미칠 수 있습니다.

예를 들어, TSA(미국 교통안전청)의 보안 운영 센터(SOC)는 국토안보부 내 다른 부서들과 지속적으로 연락을 유지하고 있습니다. TSA의 최고 정보 보안 책임자(CISO)인 폴 모리스는 "무슨 일이 발생하면 상당히 빠르게 알 수 있습니다."라고 말했습니다. 그의 SOC는 시스템을 스캔하고 TSA 시스템에 대한 새로운 위협을 5분 이내에 발견하십시오..

모든 IT 대응 계획의 핵심 과제는 인력, 프로세스 및 보안 시스템을 조율하는 것입니다. 이 작업은 전문가의 도움을 받아 수행하는 것이 가장 효과적입니다. 보안 자동화 그리고 관현악법 (SAO) 도구. Swimlane과 같은 SAO 솔루션은 IT 사고 대응 작업을 자동화합니다.

보안 자동화 및 오케스트레이션 솔루션이 효과적인 IT 사고 대응을 가능하게 하는 방법

A 보안 자동화 및 오케스트레이션 이 솔루션은 시스템 간 오케스트레이션이 필요한 대응 계획 단계를 신속하게 실행하도록 구성할 수 있습니다. 예를 들어, 보안 팀은 SAO 솔루션에 특정 유형의 경고에 대응하는 방법을 "학습"시킬 수 있습니다. SAO는 속도와 오케스트레이션을 결합하여 강력한 성능을 제공합니다.

보안 사고 및 이벤트 관리(SIEM) 도구가 방화벽과 네트워크 장비에서 발생하는 의심스러운 로그 활동을 분석하여 경고를 발생시킨다고 가정해 보겠습니다. SAO 솔루션은 이러한 SIEM 경고를 자동으로 수신하고 대응하도록 구성할 수 있습니다. 경고 정보를 위협 인텔리전스 플랫폼에 전송하여 평가를 의뢰하는 동시에 JIRA 케이스 관리 티켓을 생성할 수 있습니다. 그런 다음 관련 담당자에게 실시간으로 알림을 보낼 수 있습니다.

보안 자동화 및 오케스트레이션은 IT 사고 대응 계획에서 팀원을 대체하는 것이 아니라, 오히려 팀원들이 다른 중요한 업무에 더 많은 시간을 할애할 수 있도록 해줍니다.

패널들이 지적했듯이, 보안 자동화 및 오케스트레이션은 사고 대응 워크플로에서 사람을 배제하는 것이 아닙니다. 오히려 보안 자동화 및 오케스트레이션은 팀 구성원들이 더 높은 수준의 전문 지식과 분석적 집중력이 필요한 작업에 집중할 수 있도록 해줍니다. SAO 솔루션은 팀에게 대응 계획 실행 단계를 지속적으로 알려줍니다. Swimlane을 사용하면 보안 분석가는 단일 인터페이스에서 여러 사고 사례 관리 정보 피드를 한눈에 파악하여 의사결정 효율성을 극대화할 수 있습니다.

Swimlane의 SAO 솔루션은 가장 까다로운 IT 사고 대응 계획의 요구 사항에도 맞춰 조정할 수 있습니다. 구현, 사용, 관리 및 확장이 간편한 이 솔루션을 통해 보안 운영팀은 기존 보안 솔루션의 기능을 손쉽게 활용할 수 있습니다. 가장 일반적인 보안 및 프로젝트 추적 도구와의 사전 구축된 통합 기능 외에도, 보안 운영팀은 일반적인 스크립팅 언어와 RESTful API를 사용하여 자체 통합 기능을 신속하게 개발할 수 있습니다.

SOAR의 실제 활용 사례 전자책

보안 운영에 Swimlane SOAR 솔루션을 활용하는 방법에 대해 더 자세히 알아보고 싶으신가요? 보안 오케스트레이션, 자동화 및 대응을 위한 8가지 실제 활용 사례 전자책을 다운로드하여 확인해 보세요.

지금 다운로드하세요