SOAR 플랫폼 평가 시 고려해야 할 11가지 질문

SOC 환경에서 가장 가치 있는 솔루션 중 하나는 보안 오케스트레이션, 자동화 및 대응(SOAR) 플랫폼입니다. 이 플랫폼은 경고를 신속하고 효율적으로 분류하고, 오탐을 줄이며, 분석가에게 필요한 보안 정보를 제공하는 데 필요한 핵심적인 역할을 수행하도록 설계되었습니다.

SOAR 플랫폼 보안 운영(SecOps) 팀이 급증하는 데이터를 집계하고, 해당 데이터를 실행 가능한 인사이트로 변환하며, 사고 대응 프로세스의 상당 부분을 자동화함으로써 효율성을 높일 수 있도록 지원합니다.

SOAR를 사용하면 분석가는 모든 경고에 대응할 수 있을 뿐만 아니라, 포괄적인 대시보드를 통해 경고 및 도구에 대한 전체적인 개요와 성능 모니터링에 도움이 되는 인사이트 및 지표를 제공받아 평균 해결 시간(MTTR)을 단축할 수 있습니다. 이를 통해 전체 사고 대응 프로세스를 간소화, 자동화 및 문서화할 수 있습니다.

하지만 모든 SOAR 플랫폼이 똑같이 만들어진 것은 아닙니다. SOAR 플랫폼을 평가할 때 고려해야 할 11가지 질문은 다음과 같습니다.

1. 이 솔루션은 어떤 사용 사례를 자동화할 수 있습니까?

SOAR 플랫폼을 평가할 때 가장 중요한 고려 사항 중 하나는 해당 플랫폼이 보안 운영(SecOps) 팀의 다양한 사용 사례를 자동화하는 데 얼마나 도움이 될 수 있는지입니다. 우수한 SOAR 플랫폼은 다양한 사용 사례를 자동화할 수 있어야 합니다. 일반적인 SOAR 활용 사례 포함하다:

• 자동화된 피싱 조사 그리고 응답

• SIEM 및 EDR 경고 분류

• 자동화된 위협 인텔리전스 관리

• 악성코드 차단

이러한 사용 사례는 좋은 출발점이지만, 조직에서 자동화해야 할 업계별 특정 사용 사례가 있을 수 있습니다. 사기 조사 및 대응과 같이 흔하지는 않지만 equally 중요한 사용 사례를 찾아보세요., 내부자 위협, 직원 온보딩/오프보딩 등.

2. 어떤 API와도 연동이 가능한가요?

SOAR 플랫폼이 다양한 형식 및 소스, 특히 현재 사용 중인 기술 스택과 통합될 수 있도록 보장해야 합니다. 또한, 생태계에 구애받지 않는 SOAR 솔루션은 일반적인 SecOps 환경에 없는 요소와도 통합될 수 있어야 합니다.

그것은 그 이상을 넘어서야 합니다. SIEM, EDR 및 위협 인텔리전스 도구에는 클라우드 및 IoT 장치, 데이터 센터 및 엣지 컴퓨팅 소스의 원격 측정 데이터가 포함되어야 합니다. 벤더 종속성 및 통합 제한 사항에 유의해야 합니다.

3. API 통합을 위해 개발자에게 의존해야 하는 부분이 있습니까?

마찬가지로, 통합 작업이 개발자 지원에 얼마나 의존적인지 고려해 보세요. 특정 API와의 통합을 위해 전담 사내 개발자 또는 외부 개발자를 고용하는 데 예산을 투입해야 할까요? 이는 전체적인 비용을 감소시킵니다. 투자수익률(ROI) SOAR 플랫폼에서 기대할 수 있는 것들입니다.

최신 SOAR 플랫폼은 모든 API에 안정적이고 휴대 가능하며 신뢰할 수 있는 연결을 활용하여 통합을 간소화합니다.

4. 분석가에게 요구되는 코딩 작업량은 어느 정도입니까?

역사적으로 SOAR 솔루션은 복잡하고 경직되어 사용하기 어려웠습니다. 기존 SOAR 플랫폼의 성공은 개발자의 참여에 크게 의존했습니다. 그러나 오늘날의 보안 환경에서는 인력 부족과 전 세계적인 기술 격차로 인해 고급 코딩 능력을 갖춘 분석가를 찾기가 더욱 어려워지고 있습니다.

보안 책임자는 분석가의 업무 부담을 줄여주는 SOAR 플랫폼을 찾아야 합니다. 이는 보안 분석가의 시간을 절약할 뿐만 아니라, 비즈니스에 중요한 위협을 조사하는 데 집중할 수 있도록 하여 직무 만족도를 향상시킬 것입니다.

5. 플레이북을 만드는 과정은 어떻게 되나요?

가치 있는 SOAR 플랫폼의 플레이북은 1급 분석가와 도메인 전문가가 쉽게 작성할 수 있을 만큼 기술적으로 간결해야 합니다. 동시에 자동화 기능의 정교함도 유지해야 합니다. 보안 팀이 효율적이고 맞춤 설정 가능한 환경에서 실무를 연습할 수 있도록 사람이 읽기 쉬운 플레이북 빌더를 제공하는 솔루션을 찾아보세요.

SOAR 솔루션은 스크립팅에 얽매이지 않고 플레이북을 구축하고 수정할 수 있는 드래그 앤 드롭 UI를 제공해야 합니다.

6. 플레이북을 비즈니스 프로세스에 맞게 맞춤 설정할 수 있습니까?

강력한 워크플로 빌더는 사용자 정의 코드뿐만 아니라 기본 제공 콘텐츠와도 호환되어 모든 조직 환경에 적응할 수 있어야 합니다. 중요 인프라, 금융 서비스 및 MSSP(관리형 보안 서비스 제공업체)와 같이 귀사와 유사한 업계의 고객을 보유한 SOAR 공급업체를 찾아보십시오. 이러한 조직의 요구 사항은 고유한 시스템 전반에 걸쳐 성공적인 가시성을 확보하기 위한 맞춤형 솔루션을 필요로 합니다.

7. 해당 플랫폼에 사례 관리 기능이 내장되어 있습니까?

사례 관리는 단순한 저장소 이상의 역할을 해야 합니다. 개별 사례 기록은 완전한 상호작용 기능을 갖추고, 필요한 데이터를 자동으로 표시하도록 조정되어야 합니다. 영업 담당자를 위한 Salesforce, 인사 담당자를 위한 Workday, IT 전문가를 위한 ServiceNow처럼, SOAR 플랫폼은 모든 보안 관련 정보를 통합적으로 관리하는 허브 역할을 해야 합니다. 또한, 대응 과정에서 기계 데이터와 자동화된 기능뿐만 아니라 사람의 판단까지 모두 기록하고 관리할 수 있어야 합니다.

SOAR 플랫폼은 진정으로 "“기록 시스템”전체 기술 스택에 걸쳐 가시성과 보고 기능을 제공하여 조직 내 이해관계자에게 실행 가능한 정보를 제공할 수 있도록 해야 합니다.

8. 핵심성과지표(KPI)를 보여주는 대시보드를 만들 수 있습니까?

사용자는 필요에 맞춰 데이터를 표시할 수 있도록 대시보드를 무제한으로 생성하고 수정할 수 있어야 합니다. 대시보드는 SOC 관리자, CISO, 심지어 이사회 구성원까지 다양한 사용자가 직관적으로 쉽게 맞춤 설정할 수 있어야 합니다.

우수한 SOAR 플랫폼은 사례 관리, 대시보드 및 보고 기능을 통해 인간의 지능과 기계의 지능을 결합합니다. 이를 통해 보안 운영팀은 실행 가능한 인사이트를 더 쉽게 얻을 수 있습니다. KPI 지표 MTTD, MTTR, MITRE ATTACK 프레임워크 벤치마크와 같은 것들 말입니다.

9. 규모가 커지거나 확장될 경우에도 핵심성과지표(KPI)를 충족할 수 있을까요?

SOAR 플랫폼이 접근하기 어려운 곳에서 가져온 더 크고 다양한 데이터 세트를 수집할 수 있는지 확인하십시오. 솔루션이 평균 해결 시간(MTTR)과 같은 보안 성능을 향상시키고 체류 시간을 줄일 수 있는지 확인하십시오. 이를 위해서는 대부분의 SOAR 솔루션이 제공하는 것보다 더 높은 처리량과 처리 능력이 필요합니다.

SOAR 플랫폼은 SOC의 성장과 확장에 맞춰 장기간 사용할 수 있어야 합니다. 가장 뛰어난 SOAR 솔루션은 방대한 양과 다양한 유형의 데이터 세트를 처리할 수 있어야 합니다. 분산형 빅데이터 수집, 인라인 데이터 보강, 전처리 및 관련 기능과 같이 이를 지원하는 솔루션 기능을 살펴보십시오.

10. 해당 분야별 규제 법률 및 산업 표준과 어떻게 부합합니까?

다양한 산업 분야의 조직들은 끊임없이 증가하는 업계 규정 및 준수 요구 사항으로 어려움을 겪고 있습니다. 이러한 문제를 해결하기 위해 SOAR 플랫폼은 보안 제어 및 절차를 넘어 자동화 기능을 제공해야 합니다. 모든 보안 활동을 캡처하고 문서화하며 보고하는 기능을 자동화해야 합니다. 규정 준수를 보장합니다 또한 규정 위반을 피해야 합니다.

문서화 및 규정 준수 보고가 간편한 SOAR 플랫폼을 찾으십시오. 이것이 향후 골칫거리를 줄이는 핵심입니다.

11. 예상 투자수익률(ROI)은 얼마입니까?

보안 예산은 여전히 제한적이기 때문에 모든 새로운 투자는 그만한 가치가 있어야 합니다. SOAR 플랫폼의 가치는 그 자체로 입증되어야 합니다. 직원 급여, 직원 지원(교육, 도구 등 포함), 추가 보안 도구 및 대응 비용 절감액이 모두 투자 가치가 있어야 합니다. 신뢰할 수 있는 SOAR 공급업체는 초기 비용과 지속적인 비용에 대한 투명성을 제공하여 이러한 결정을 돕습니다. 솔루션의 투자수익률(ROI)을 계산합니다..

SOAR는 대부분의 조직에서 핵심적인 보안 제품으로, 주요 보안 프로세스를 자동화하고 사고에 대응하는 데 사용됩니다. 조직에서 선택하는 SOAR 플랫폼이 최고의 투자 수익률(ROI)을 제공하도록 하려면, 최적의 플랫폼을 선택하는 데 도움이 되는 질문들을 스스로(그리고 공급업체와 함께) 던져보는 것이 중요합니다.

스윔레인 ROI 계산기

스윔레인 터빈을 통해 얻을 수 있는 절감액을 추산해 보세요.

절약액 계산하기