NIST 사이버보안 프레임워크와 보안 자동화 및 오케스트레이션(SAO)을 활용한 사고 대응 개선

그만큼 미국 국립표준기술연구소(NIST)의 사이버보안 프레임워크 이 프레임워크는 정부 및 민간 조직이 사이버 공격으로부터 핵심 인프라를 더욱 효과적으로 보호할 수 있도록 지원하기 위해 2013년 대통령 행정 명령에 따라 개발되었습니다. 현재 두 번째 버전(1.1) 출시를 앞둔 이 프레임워크는 조직이 비용 효율적이면서도 포괄적인 사이버 보안 전략을 설계하고 구현할 수 있는 유연한 방법을 제공합니다. 위협 식별 및 탐지부터 대응 및 복구에 이르기까지 보안의 모든 영역을 포괄합니다.

NIST 사이버보안 프레임워크는 조직이 비용 효율적이면서도 포괄적인 사이버보안 전략을 설계하고 구현할 수 있는 유연한 방법을 제공합니다.

보안 자동화 및 오케스트레이션(SAO)은 조직이 프레임워크에 부합하는 보안 통제를 실행할 수 있도록 지원합니다. SAO는 보안 탐지 및 사고 대응을 자동화하고 보안 시스템을 오케스트레이션하는 도구와 모범 사례 모음입니다. SAO를 통해 조직은 보안 팀의 생산성과 효율성을 높여 프레임워크에 따라 보안 사고에 효과적으로 대응할 수 있습니다.

NIST 사이버보안 프레임워크에는 무엇이 포함되어 있나요?

미국 국립표준기술연구소(NIST) 사이버보안 프레임워크는 사이버보안 프로그램의 개발, 구현 및 지속적인 개선에 대한 포괄적인 지침을 제공합니다. 이 프레임워크의 핵심은 식별, 보호, 탐지, 대응 및 복구의 다섯 가지 기능으로 구성됩니다. 각 기능은 다시 여러 범주로 세분화되며, 각 범주는 사이버 공격으로부터 중요 인프라를 보호하는 특정 측면을 다루는 하위 범주를 제공합니다.

또한, 조직이 사이버 보안 위험을 얼마나 잘 관리하는지 평가하는 데 사용할 수 있는 구현 단계별 기준을 제시합니다. 1단계는 "부분적" 조직으로, 사이버 위협에 대해 비공식적이고 사후 대응적인 방식을 취합니다. 2단계는 "위험 인식"을 갖춘 조직이며, 3단계는 "반복 가능한" 조직입니다. 4단계는 "적응형" 조직으로, 변화하는 위험에 유연하게 대응하여 반복 가능한 프로세스를 설계할 수 있는 조직을 나타냅니다.

보안 자동화 및 오케스트레이션이 사고 대응을 개선하는 방법

보안 사고 대응은 단순히 문제에 대응하는 것 이상의 의미를 지닙니다. 사이버 보안 프레임워크에서 사고 대응은 탐지, 대응, 복구라는 핵심 기능을 포함합니다. 이 세 가지 기능 모두 보안 사고에 적절하게 대응하기 위해 필수적입니다.

표 1은 이 세 가지 기능에 포함된 11개 범주를 보여주며, 각 범주에는 고유한 식별자가 있습니다. 예를 들어, 탐지 기능에서 DE.AE는 "이상 징후 및 이벤트" 범주입니다. 프레임워크를 준수하기 위해 조직은 보안 사고의 시작을 알릴 수 있는 이상 징후 또는 의심스러운 이벤트를 탐지하는 방법을 마련해야 합니다. 이는 DE.CM("지속적인 보안 모니터링")과 DE.DP("탐지 프로세스")를 함께 활용하는 방식을 포함할 수 있습니다.

표 1 – NIST 사이버보안 프레임워크의 탐지, 대응 및 복구 기능

SAO에 보안 및 통신 기술 통합

많은 조직에서는 프레임워크의 탐지 기능을 수행하기 위해 침입 탐지 시스템(IDS) 및 보안 사고 및 이벤트 모니터링(SIEM) 솔루션과 같은 기술을 사용합니다. 탐지 기능을 최대한 활용하려면 SAO를 통해 SIEM, IDS 또는 보안 경고를 생성하는 기타 보안 도구 간의 통합이 이루어져야 합니다. 통합을 통해 생산성을 향상시키는 오케스트레이션과 탐지 워크플로 단계 자동화가 가능해집니다.

프레임워크는 사전 계획된 대응 프로세스를 권장합니다. 대응 범주에 따라 위협 분석 및 위협 완화 워크플로의 진행 상황을 추적하기 위한 체계적인 커뮤니케이션 프로세스가 마련되어 있어야 합니다. 체계적인 커뮤니케이션 프로세스에는 통합 또한 필수적입니다. 이메일 및 티켓팅과 같은 관련 커뮤니케이션 시스템을 SAO와 통합하면 커뮤니케이션을 자동화하고 팀 구성원이 반복적으로 경고 상태를 전달하는 작업을 줄일 수 있습니다. 프레임워크에 명시된 대응 절차는 복구 단계까지 이어집니다.

SAO를 통해 사이버 보안 인력 부족 문제를 해결하세요

NIST 사이버보안 프레임워크를 활용한 사고 대응에 있어 가장 큰 어려움은 가용 자원의 한계입니다. 사이버보안 팀에 배치할 수 있는 숙련된 인력은 한정되어 있으며, 사이버보안 인력 부족 현상은 계속 심화되고 있습니다. 위협이 증가함에 따라, 팀은 오탐에 압도당하고 일상적인 알림 및 티켓팅 업무에 매달리느라 생산성이 저하될 수 있습니다. 팀이 적절한 도구를 갖추지 못하면 사이버보안 프레임워크의 기준을 효과적으로 충족할 수 없습니다.

보안 자동화 및 오케스트레이션은 탐지-대응-복구 주기의 각 단계를 가속화하여 제한된 리소스 문제를 해결하는 솔루션을 제공합니다. 예를 들어, 보안 운영 팀이 SIEM 솔루션으로부터 네트워크의 이상 이벤트에 대한 경고를 받았다고 가정해 보겠습니다. 팀이 수동으로 경고에 대응한다면, 티켓을 생성하고, 위협 분석을 수행하고, 이해 관계자와 소통하는 등 지루하고 시간이 많이 소요되는 작업을 수행해야 합니다.

SAO를 사용하면 이러한 단계가 자동화됩니다. 관련 시스템 간의 상호 작용은 정의된 프로세스 단계에 따라 조정됩니다. SAO 솔루션은 경고 세부 정보를 위협 인텔리전스 시스템에 자동으로 제출하고, 보안 취약점을 해결할 수 있습니다. 사례 관리 JIRA와 같은 시스템에 티켓을 생성하고 관련 이해관계자에게 이메일을 보냅니다.

그림 2 – NIST 프레임워크 코어의 탐지 기능에 있는 탐지: 이상 및 이벤트(DE:AE) 범주의 하위 범주.

표 2는 SAO 솔루션이 사고 대응의 구체적인 세부 사항을 어떻게 지원하는지 설명합니다. 이상 및 이벤트 범주(DE:AE) 내의 탐지 기능을 사용하여 다양한 하위 범주에서 SAO의 역할을 세분화합니다. 예를 들어, 하위 범주 DE.AE-3은 다음을 요구합니다. “이벤트 데이터는 여러 소스와 센서에서 수집 및 상관 분석되며, SAO는 여러 소스에서 데이터를 수집 및 상관 분석하는 데 필요한 단계를 자동화할 수 있습니다. 보안 오케스트레이션 또한 분석 및 상관관계 프로세스에 관련된 시스템을 통합할 수 있습니다.

SAO는 침해사고 대응 워크플로우를 혁신할 잠재력을 가지고 있습니다. 적절한 SAO 솔루션을 활용하면 사이버 보안 팀은 더욱 효율적으로 업무를 수행하고, 발생하는 경고 및 침해사고를 즉시 파악할 수 있습니다. 또한, SAO를 통해 시간이 지남에 따라 침해사고 대응 능력을 향상시킬 수 있습니다. 이러한 방식으로 SAO는 조직이 프레임워크의 상위 단계로 나아가도록 지원하며, 반복 가능하고 적응력 있는 침해사고 대응 프로세스를 개발하는 데 도움을 줍니다.

SAO는 조직이 시스템을 오케스트레이션하여 반복 가능하고 적응력 있는 사고 대응 프로세스를 개발할 수 있도록 지원합니다.

Swimlane과 NIST 사이버보안 프레임워크를 활용하여 사고 대응을 개선합니다.

Swimlane은 조직이 사이버 보안 프레임워크를 준수하고 사고 대응을 개선하는 데 도움이 되는 보안 자동화 및 오케스트레이션 솔루션을 제공합니다. 구현, 사용, 관리 및 확장이 간편한 Swimlane은 객체 지향 방식을 사용하여 보안 운영 팀이 기존 보안 도구의 기능을 활용할 수 있도록 지원합니다.

보안 자동화가 조직에 어떻게 도움이 될 수 있는지 더 자세히 알아보고 싶으신가요? 저희 전자책을 다운로드하세요. 보안 오케스트레이션, 자동화 및 대응을 위한 8가지 실제 활용 사례.

데모를 요청하세요

아직 Swimlane Turbine을 사용해 보지 않으셨다면 데모를 요청하세요. 

데모 요청하기