보안 운영에서 흔히 저지르는 세 가지 실수

최근 웹 세미나에서 스윔레인(Swimlane)의 창립자 겸 CEO인 코디 코넬(Cody Cornell)은 다음과 같은 내용을 논의했습니다. 네 가지 주요 원인 지속 불가능한 보안 운영의 문제점으로는 전례 없는 공격량, 경고 피로도, 시대에 뒤떨어진 대응 도구, 그리고 자격을 갖춘 사이버 보안 인력 부족 등이 있습니다. 이러한 문제에 대처하기 위해 여러 가지 보안 방법을 시도해 왔지만, 일부는 효과가 있는 반면, 오히려 역효과를 낳는 경우도 있습니다.

"라는 제목의 웹 세미나에서“보안 운영 자동화,코넬은 조직이 이러한 어려움을 극복하는 방법에 있어 일반적으로 저지르는 세 가지 실수를 살펴보았으며, 그 내용은 다음과 같습니다.

1. 모든 알림을 처리하는 대신 알림 우선순위 지정에 집중

많은 기업들이 어떤 알람에 어떤 순서로 대응해야 할지 결정하기 위해 우선순위 지정 방식을 사용합니다. 하지만 이 방식의 문제점은 엄청난 양의 알람이 발생하기 때문에 수동으로 처리할 수 있는 양에는 한계가 있다는 것입니다. 이로 인해 상당수의 알람이 처리되지 않은 채 남게 됩니다. 관리되지 않은 이벤트가 네트워크 환경에 방치되는 것은 일반적인 관행 위반일 뿐만 아니라, 감사 위험을 초래하고 기업에 예상치 못한 여러 가지 결과를 가져올 수 있습니다.

코넬이 설명했듯이, 조직이 마침내 우선순위가 낮은 경고에 대응할 때쯤이면 이미 매우 긴 체류 시간이 경과해 있을 것입니다. 다시 말해, 의심스러운 네트워크 활동이 감지된 시점부터 경고에 대응하는 데까지 걸리는 시간이 너무 길어진다는 뜻입니다. 이는 조직이 위협을 초기 단계에서 차단할 수 있는 능력을 저하시킵니다.

“코넬은 "현재 접수되는 경고 건수를 처리하고 팀의 대응 역량을 강화하기 위해 모든 보안 이벤트 및 활동에 대한 조직의 대응 방식을 증폭, 최적화 및 간소화하는 방법을 모색하고 있습니다."라고 말했습니다. "현재로서는 경고 우선순위 지정만으로는 충분하지 않습니다.".

2. 보안 운영 수명주기의 절반인 사고 대응을 무시하는 것

오늘날 기업들은 사용자 행동 분석부터 보안 정보 및 이벤트 관리(SIEM), 엔드포인트 탐지 및 대응(EDR), 위협 인텔리전스 도구에 이르기까지 다양한 최신 탐지 기술을 사용하여 보안 경보, 활동 및 작업을 식별합니다.

지난 수십 년 동안 많은 조직들이 이러한 탐지 도구에 막대한 투자를 해왔습니다. 그러나 이제는 조직들이 보안 라이프사이클의 백엔드, 즉 사고 대응의 성숙에 집중해야 한다는 인식이 확산되면서 패러다임의 변화가 일어나고 있는 듯합니다. 정교한 백엔드 보안 운영의 필요성을 간과하거나 제대로 인식하지 못하는 조직은 심각한 결과를 맞이할 가능성이 높습니다.

3. 구식 및/또는 수동 대응 도구에 의존

조직들이 여전히 메모장 문서, 스프레드시트 또는 오래된 티켓팅 시스템과 같은 시대에 뒤떨어진 대응 도구를 사용하여 위협을 해결하는 것을 보는 것은 드문 일이 아닙니다. 또는 일부 조직은 모든 경고에 대해 명령줄 작업을 활용하기도 합니다.

이러한 도구와 메커니즘이 여전히 해당 조직에서 사용되는 이유는 단순히 일선 직원들이 이러한 방식에 익숙해져 있고 그렇게 행동하도록 훈련받았기 때문입니다. 연구 결과는 다음과 같습니다. 평균적으로 기업들은 하루에 1만 건 이상의 보안 이벤트를 처리하는데, 이는 하루 333시간이라는 불가능한 작업량에 해당합니다. 수동적이고 시대에 뒤떨어진 프로세스는 비현실적이며 오히려 해를 끼칠 가능성이 더 큽니다.

동시에, 보안 경고 및 관련 작업을 제대로 처리할 수 있는 인력은 부족하며, 조직 입장에서는 이러한 숙련된 인력을 고용하는 데 상당한 비용이 소요될 수 있습니다. 이는 오늘날 조직들이 직면한 심각한 과제임이 분명합니다.

보안 운영 모범 사례 또는 잠재적으로 위험한 이러한 방법들에 대한 효과적인 대안에 대해 더 자세히 알아보고 싶으신가요? Swimlane의 최근 웨비나 "를 시청하세요"를 확인해 보세요.“보안 운영 자동화."”