SOC에서 자동화해야 할 세 가지 작업

이 블로그에서 자주 다루는 주제 중 하나는 오늘날 조직이 받는 보안 경고의 속도와 양에 효과적으로 대응하기 위해서는 반복적인 프로세스의 일부를 자동화해야 한다는 것입니다. 또한 우리는 다음 사항을 강조해 왔습니다. 자동화된 보안 운영 보안 운영 센터(SOC)의 전반적인 효율성을 향상시키기 위해 2단계 및 3단계 분석가가 복잡한 공격을 추적하고 이를 해결하기 위한 새로운 프로세스를 구축하는 데 집중할 수 있도록 시간을 확보해 줍니다.

다음으로 자연스럽게 떠오르는 질문은 SOC가 어떤 프로세스를 자동화해야 하는가입니다. 모든 경우에 적용되는 정답은 없으며, 각 조직은 자체 운영 방식을 면밀히 검토하여 자동화를 통해 가장 많은 시간을 절약할 수 있는 프로세스를 결정해야 합니다. 하지만 거의 모든 SOC가 자동화 도구를 활용하면 이점을 얻을 수 있는 반복적이고 복잡성이 낮은 작업들이 몇 가지 있습니다.

1. 오탐지: 포네몬 연구소는 최근 630명의 IT 보안 전문가를 대상으로 설문조사를 실시한 결과, 조직들이 엄청난 양의 정보를 낭비하고 있다는 사실을 발견했습니다. 395시간 평균적으로 매주 수많은 사용자가 오탐을 조사하고 있습니다. 같은 연구에 따르면 조직의 41%만이 실제 위협을 식별하는 자동화 도구를 활용하고 있으며, 자동화된 보안 운영을 활용하는 조직은 평균적으로 악성코드 차단의 60%를 사람의 개입 없이 처리할 수 있다고 추정합니다. 이러한 수치는 오탐이 엄청난 문제라는 점을 분명히 보여줍니다. 시간 낭비 자동화는 그 시간을 되찾는 효과적인 방법입니다.

2. 티켓 발급: 지원 이메일이나 탐지 도구에서 정보를 복사하여 붙여넣는 작업(많은 조직에서 여전히 숙련된 직원에게 맡기는 작업)은 시간 낭비일 뿐입니다. 오히려 전문가들은 새로운 위협 완화 기술을 개발하거나 주니어 팀원을 SOC의 핵심 인력으로 육성하는 데 시간을 투자해야 합니다. 티켓 생성은 단순하고 반복적인 작업의 가장 좋은 예이며, 따라서 자동화에 매우 적합합니다.

3. 보고서 생성: 모니터링 주요 지표 CISO와 CIO가 직원 생산성을 향상시키고 SOC의 전반적인 효율성을 면밀히 모니터링하려면 보고 및 대시보드 표시가 매우 중요합니다. 특히 최고 경영진이 보안 업데이트나 기술 투자 정당화를 위한 근거를 요청할 때, 이러한 지표를 명확하게 전달하는 보고서와 대시보드로 변환하는 것은 필수적입니다. 보고는 SOC의 중요한 기능이며 절대 간과되어서는 안 됩니다. 뒷전으로 밀려났다하지만 지표를 명확한 요약으로 정리하는 과정은 수동으로 완료할 필요도 없습니다.

귀사의 SOC가 자동화된 보안 운영을 통해 이점을 얻을 수 있다고 생각하시나요? 해당 기술이 실제로 어떻게 작동하는지 보고 싶으신가요? 시작해 볼까요!