동영상
사이버리스크 TV 인터뷰: MSSP를 위한 AI, 자동화 및 로우코드의 가치
더 읽어보기
MSSP는 유연성과 확장성을 위해 스윔레인을 선택했습니다.
Swimlane이 주요 MSSP를 어떻게 지원하는지 자세히 알아보세요.
사례 연구
배경
전 세계 수백 명의 고객을 대상으로 지속적인 모니터링 및 대응을 운영하는 것은 매우 어려운 일입니다. 북미, 유럽, 아시아에 여러 개의 24시간 연중무휴 보안 운영 센터(SOC)를 보유한 대규모 관리형 보안 서비스 제공업체(MSSP)는 제한된 분석 인력으로 증가하는 고객 수를 처리해야 하는 공통적인 문제에 직면했습니다. 고객이 늘어남에 따라 더 많은 보안 솔루션이 도입되었고, 경고 발생 건수도 기하급수적으로 증가했습니다. MSSP는 보안팀의 생산성을 높이기 위해 오케스트레이션 및 자동화를 통해 직원들이 경고에 신속하게 대응하고 고객을 안전하게 보호할 수 있도록 지원하고자 했습니다.
이는 스윔레인 플랫폼 도입을 통해 현실이 되었습니다. 스윔레인의 선도적인 보안 오케스트레이션, 자동화 및 대응(SOAR) 솔루션은 이 MSSP(관리형 보안 서비스 제공업체)가 신규 고객 유치 시마다 인력을 추가하지 않고도 비즈니스를 확장하고 성장시킬 수 있도록 지원합니다.
핵심 기준
필요 사항
이 MSSP(관리형 보안 서비스 제공업체)는 최고 수준의 독립형 오케스트레이션 및 대응 플랫폼을 원했습니다. Swimlane을 선택하기 전에는 자체 개발한 사고 대응 도구를 사용했지만, 필요한 자동화 기능과 유연성을 갖추지 못했습니다. 주요 요구 사항은 다음과 같습니다. SOAR 솔루션 이었다:
- 대규모 고객 증가에 맞춰 확장성이 뛰어납니다.
- 현재와 미래의 다양한 사용 사례에 유연하게 대응할 수 있습니다.
- 기존 시스템, 특히 분석 엔진과 API를 통해 반드시 통합해야 합니다.
이 MSSP의 목표는 수백 개의 고객사를 아우르는 단일 오케스트레이션 플랫폼을 구축하여 모든 수신 알림을 중앙 집중화하는 것이었습니다. 분석가들은 여러 고객사를 담당하기 때문에, 고객사별로 알림을 할당하는 대신 알림 유형이나 심각도에 따라 자동으로 담당자를 배정할 수 있는 기능이 필요했습니다. 단일 글로벌 인스턴스가 없으면 분석가는 각기 다른 환경에 로그인해야 하므로 확장성이 떨어집니다. Swimlane을 도입한 이 MSSP는 이제 모든 알림을 통합하고 워크플로우를 자동으로 실행한 다음, 필요한 경우에만 분석가에게 자동으로 케이스를 할당하고 인계할 수 있게 되었습니다.
스윔레인을 이렇게 사용하면 다음과 같은 여러 가지 이점이 있습니다.
- 대부분의 알림은 사람의 개입 없이 해결할 수 있으므로 직원들이 더 가치 있는 업무에 시간을 할애할 수 있습니다.
- 분석가에게 특정 고객을 배정할 필요가 없으므로 직원 활용도를 높일 수 있습니다.
- 분석가들은 특정 유형의 경고 또는 조사에 전문성을 갖추도록 할 수 있으며, 이는 효율성 향상과 직원 만족도 증대로 이어집니다.
MSSP가 빠르게 성장함에 따라 SOAR 플랫폼의 유연성은 매우 중요했습니다. SOAR 솔루션은 현재는 필요하지 않더라도 미래에 필요할 수 있는 기능을 갖춰야 했습니다. Swimlane의 분석가 및 분석가 그룹을 동적으로 할당하는 기능은 SOC에 장애가 발생하더라도 성장하는 SOC를 훨씬 쉽고 편리하게 관리할 수 있도록 해줍니다. 예를 들어, 분석가를 그룹으로 자동 분류하고 각 그룹을 고객에게 할당하는 기능을 특히 강조했습니다.
다양한 사용 사례가 있었고, MSSP는 주로 엔드포인트 탐지 및 대응(EDR)과 클라우드 워크플로우 보호와 관련된 몇 가지 핵심 사용 사례를 테스트했습니다. 하지만 이는 단지 기능을 입증하기 위한 것이었으며, "오케스트레이션 플랫폼의 핵심은 유연성이 뛰어나 어떤 사용 사례든 이상적으로 수행할 수 있어야 한다는 점"이라고 MSSP의 보안 제품 담당 이사는 밝혔습니다. Swimlane은 일반적인 기준을 뛰어넘는 능력으로 MSSP와 대기업 고객들 사이에서 잘 알려져 있습니다. SOAR 활용 사례, 자동화된 공격 테스트부터 내부자 위협, 분석가 온보딩/오프보딩 등 모든 것을 포괄합니다. Swimlane의 광범위한 오케스트레이션 및 자동화 기능을 통해 활용 사례는 사실상 무한합니다.
세 번째 핵심 요구 사항은 강력한 API 통합 기능이었습니다. 보안 제품 담당 이사는 "대부분의 SOAR 플랫폼에서는 API를 사용할 수 있지만, 알림을 오케스트레이션 도구로 직접 가져와야 합니다."라고 설명했습니다. Swimlane을 통해 이 MSSP는 Swimlane API를 활용하여 Carbon Black EDR 솔루션에서 분석 도구로 알림을 전송한 후 Swimlane으로 전달하는 등 주요 워크플로 요구 사항을 지원할 수 있어 유연성이 크게 향상되었습니다. 또한 Swimlane API를 사용하면 "보안 오케스트레이션 플랫폼에서 고객 포털로 데이터를 쉽게 가져와 현재 상황을 한눈에 보여줄 수 있습니다." Swimlane은 수백 개의 타사 도구와 수천 개의 통합을 지원합니다. 이러한 기능은 MSSP에게 매우 중요합니다. MSSP는 자체적으로 API 통합을 구축하고 유지 관리할 여력이 없기 때문입니다.
해결책
대안은 무엇일까요?
이 MSSP(관리형 보안 서비스 제공업체)는 6개 업체의 솔루션을 평가했는데, 절반은 보안 중심 솔루션이었고 나머지 절반은 IT 오케스트레이션 및 자동화 솔루션이었습니다. IT 오케스트레이션 및 자동화 솔루션은 MSSP의 요구 사항을 충족하는 데 제한적인 성과를 보였지만, Swimlane을 포함한 두 개의 주요 SOAR(해킹 아웃리치) 솔루션 업체가 자체 테스트 단계에 진입했습니다. 최종적으로 Swimlane이 최고의 솔루션으로 선정되었습니다.
보안 제품 담당 이사에 따르면 Swimlane이 최고의 선택으로 꼽힌 주요 이유는 다음과 같습니다.
- “"API가 모든 곳에 있었어요." 스윔레인 플랫폼은 완벽하게 API를 지원하며 문서화도 매우 잘 되어 있습니다. 이 고객은 이전에 API를 제공한다고 광고했지만 제대로 작동하지 않는 업체들 때문에 곤란을 겪은 경험이 있습니다. 스윔레인의 API가 예상대로 작동하는 것을 확인한 것이 중요한 결정 요인이었고, 덕분에 고객은 플랫폼에서 데이터를 쉽게 가져오고 내보낼 수 있게 되었습니다.
- 스윔레인 플랫폼은 그들이 필요로 하는 확장성과 유연성을 입증했습니다. 이는 스윔레인의 CEO와 직원들이 SOC(보안 운영 센터)에서 근무한 경험이 있어 SOC의 운영 방식과 기능을 잘 알고 있다는 점에 크게 기인했습니다. 다른 SOAR(보안 운영 및 평가) 업체도 보안팀을 보유하고 있었지만, 보안 운영 전문가가 아니었고 "그 점이 드러났습니다."“
- Swimlane의 세분화된 역할 기반 접근 제어(RBAC) 기능은 이 고객에게 매우 중요했습니다. 강력한 RBAC를 통해 전 세계에 있는 분석가들에게 필요한 기능이나 고객에 대한 접근 권한만 부여할 수 있어 보안 위험을 줄일 수 있습니다.
- 세련되고 유연한 대시보드를 통해 한눈에 쉽게 이해할 수 있는 지표와 보고서를 생성할 수 있습니다.
- 고가용성/재해 복구 아키텍처는 가동 중단에 대한 우려를 완화합니다.
- 스윔레인은 독립적인 회사입니다. SOAR 플랫폼, 이는 특정 공급업체의 생태계에 대한 편향이나 집중으로 인한 우려를 완화시켜 줍니다.
투자 수익률
MSSP(관리형 보안 서비스 제공업체)에게 있어 새로운 도구를 도입할 때 투자 수익률(ROI)을 높이는 것은 매우 중요합니다. 이 고객은 SOAR 솔루션으로 Swimlane을 도입함으로써 효율성과 효과성 향상을 통해 필요한 ROI를 확보했습니다. 보안 제품 담당 이사는 "분석 기관인 포레스터의 말이 맞습니다."라고 말하며, "SOAR의 목표는 잘못된 결정을 더 빨리 내리는 것이 아니라, 좋은 결정을 내리는 것입니다. 간단한 작업은 자동화하여 분석가들이 더 복잡한 작업에 집중할 수 있도록 하는 것이죠."라고 덧붙였습니다.“
스윔레인 터빈을 살펴보세요
세계에서 가장 뛰어난 보안 자동화 플랫폼
English 
Français 
Deutsch 
日本語 
한국어 
Português 
Español