SOAR로 보안 운영 센터를 강화하세요

코로나19는 오늘날 보안 운영 센터(SOC)에 이미 어려운 위협 환경을 더욱 악화시켰으며, 악의적인 공격자들은 이러한 혼란을 틈타 기회를 포착하고 있습니다. 관련 취약점으로는 피싱 공격 증가, 의심스러운 도메인 등록, VPN 모니터링 강화 등이 있습니다.

보안 오케스트레이션, 자동화 및 대응(SOAR) 솔루션은 조직의 인력, 프로세스 및 기술을 오케스트레이션하는 동시에 시간 소모적인 사고 대응 작업을 자동화하여 SOC(보안 운영 센터)의 역량을 최적화합니다. 특히 이례적인 시기에 SOAR의 중요성이 더욱 커지고 있는 세 가지 활용 사례는 피싱, 도메인 모니터링 및 VPN 모니터링입니다. 다음 글에서는 이러한 각 활용 사례를 좀 더 자세히 살펴보고 SOAR의 장점에 대해 알아보겠습니다. 인포그래픽 마지막에!

피싱

한 사람에 따르면 CIO Dive의 최근 보고서, 2020년 2월과 3월 사이에 바이러스를 사칭한 피싱 공격이 6,67% 증가했습니다. 포브스의 최근 보고서 관련 피싱 웹사이트에서 350% 오류가 급증하는 현상이 관찰되었습니다.

피싱 공격 분류 자동화 시, 조직은 일반적으로 다음과 같은 문서화된 프로세스를 따릅니다.

1. SOAR 솔루션은 사용자가 스팸 및 피싱으로 의심되는 이메일을 보내는 조직의 사서함을 모니터링하도록 설정됩니다.
2. 이메일이 도착하면 자동으로 분석됩니다.
3. 제목, 본문, 이메일 주소와 같은 세부 정보는 사례 기록의 데이터 필드에 입력됩니다.
4. IP 주소, URL, 도메인 이름과 같은 다른 잠재적 지표들도 이메일에서 추출되어 해당 레코드 필드에 추가됩니다.
5. SOAR 플랫폼에서 사용하는 다른 도구와의 통합을 통해 데이터를 풍부하게 하고 해당 사례를 어떻게 처리해야 할지 결정하는 데 도움을 줄 수 있습니다.

에서 피싱 사용 사례 이메일이 악성으로 판단될 경우, 격리 태그를 적용하거나 엔드포인트 탐지 및 대응(EDR) 도구 또는 엔드포인트 정책 관리(EPM) 도구를 사용하여 호스트 시스템을 격리하는 등의 조치를 취할 수 있습니다. SOAR 솔루션은 Slack, SMS 또는 이메일과 같은 메시징 도구를 사용하여 보안 운영 센터(SOC)와 이메일을 제출한 사용자에게 즉시 알림을 보낼 수 있습니다. 사용자에게 자동화된 워크플로의 진행 상황을 알려주고, 이메일 제출 및 잠재적 위협 탐지에 도움을 준 것에 대해 감사를 표할 수 있습니다. 악성 이메일은 모든 사용자 사서함에서 삭제하여 추가적인 위험을 방지할 수도 있습니다. 정상적인 이메일의 경우, 사용자에게 이메일 제출에 대한 감사를 표하고 결과를 알려주는 알림을 보낼 수 있습니다. 이 외에도 다양한 조치를 취할 수 있습니다.

도메인 모니터링

도메인 모니터링 현재 긴급 상황과 관련된 다른 도메인을 탐지하고 차단하는 데 사용할 수 있습니다. 예를 들어 "COVID" 또는 "백신"과 같은 이름이나 조직에서 평가하고자 하는 모든 이름을 사용할 수 있습니다.

A Computer Business Review의 최근 보고서 한 주 동안 등록된 6,000개 도메인 중 3분의 1 이상이 의심스러운 것으로 간주되었으며, 보고서 작성 시점에 이미 의심스러운 것으로 간주된 도메인 중 93개가 악성으로 확인되었습니다. 공격자가 도메인을 즉시 활성화하거나 악성 코드로 전환하는 것은 아니라는 점을 기억해야 합니다. 도메인은 일정 기간 동안 휴면 상태로 있다가 악성으로 변할 수 있습니다. 따라서 실제로는 93개보다 훨씬 더 많은 도메인이 악용되었을 가능성이 있습니다.

SOAR를 사용하면 SOC 팀은 잠재적인 도메인 무단 점유를 감시하기 위해 모니터링 대상 도메인 집합을 정의할 수 있습니다. 사용자가 지정한 간격(일반적으로 하루에 한 번)으로 SOAR 솔루션은 새로 등록된 도메인을 다운로드하고 모니터링 대상 도메인 목록과 비교하여 패턴 유사성을 확인합니다.

SOC 팀은 기록을 검토하여 실제 도메인 무단 점유 시도인지 여부를 판단할 수 있습니다. 도메인 확인에 실패한 경우 해당 기록은 대기열에 남아 있으며 SOAR 플랫폼은 정기적으로 연결을 시도합니다. 사이트가 활성화되면 스냅샷이 생성되어 분석가 대기열에 추가됩니다. 분석가는 각 기록을 검토하여 도메인을 악성, 정상 또는 알 수 없음으로 표시할 수 있습니다.

VPN 모니터링

다양한 IoT 기기부터 사이버 보안 인식이 부족한 직원들에 이르기까지, SOC 팀은 대부분의 직원이 원격 근무 환경으로 전환한 이후 추적해야 할 취약점이 많아졌습니다. 더불어, 여러 기업들은 VPN을 통해 사무실 자원에 대한 안전한 원격 접속을 제공하려고 노력하고 있습니다.

VPN 모니터링 SOAR를 사용하면 직원이 VPN 상태를 신속하게 확인하고, 발생하는 장애를 파악하며, 서비스 재시작과 같은 기본적인 문제 해결을 수행할 수 있습니다. 대부분의 경우 SOAR 플랫폼은 서비스를 자동으로 복구하거나 사용자가 VPN 문제를 식별하고 초기 문제 해결을 시도한 후 남은 문제를 상위 담당자에게 보고할 수 있도록 지원합니다.

SOAR의 이점은 이러한 세 가지 사용 사례를 넘어섭니다. SOAR를 통해 SOC는 기존 자원을 효율적으로 활용할 수 있습니다. 인력은 수동적이고 반복적이며 시간이 많이 소요되는 작업에 얽매이지 않고, 오케스트레이션, 자동화 및 대응이 기계적인 속도로 이루어집니다. 또한 진정한 SOAR 솔루션은 기존 도구와 통합되어 최적화된 SOC를 위한 단일하고 강력한 도구를 제공합니다.

보안 오케스트레이션, 자동화 및 대응 기능을 통해 SOC를 강화하세요

공격자들은 현재 상황을 악용하여 조직의 기존 및 새로운 취약점을 집중적으로 공격하고 있습니다. 보안 운영팀은 이미 보유하고 있는 리소스를 최적화하는 것이 매우 중요합니다. 바로 이 부분에서 보안 오케스트레이션, 자동화 및 대응(SOAR) 솔루션이 도움이 될 수 있습니다. 이 인포그래픽을 다운로드하여 자세히 알아보세요!

지금 다운로드하세요