구루의 위험 및 규정 준수 담당자로서, 저는 우리가 게시한 기준 및 통제(우리가 해야 하는 보안 작업)의 정리 정돈에 시간을 할애하지만, 동시에 자동화 및 지식 관리가 "전술적 보안"을 가능하게 하는 방법에도 주의를 기울입니다. 이 관행에 대한 산업 용어는 "보안 오케스트레이션, 자동화 및 대응"(SOAR)이지만, 자체적으로는 자동화가 항상 성공적인 결과를 가져오지는 않습니다.
예를 들어, 타겟 매장이 2013년에 유명하게 침해되었을 때, 사이버 공격은 보안 직원이 보안 센서 피드의 대화 속에 묻힌 경고를 간과했기 때문에 일부 효과를 발휘했습니다. 침해는 결국 회사의 3억 달러 손실을 초래했고, 너무 많은 입력으로 인해 혼란을 초래할 수 있다는 경고의 사례로 작용했습니다.
물론 모든 놓친 경고가 타겟 크기의 침해로 이어지지는 않습니다. 더 작은 공격이 매일 발생합니다. 실제로 데이터 유출 지수에 따르면, 매 분마다 4000개 이상의 민감한 기록이 유출되고 있습니다. 이 사건들보다 앞서 가기 위해 조직들은 일반적으로 보안 스택을 고용하여 네트워크에 대한 비정상적인 행동이나 가능성 있는 침입을 표시합니다. 이 스택은 핵심 팀의 직원 또는 완전한 보안 운영 센터(SOC)에 의해 감시되며, 이러한 팀은 점점 더 SOAR 애플리케이션의 도움을 받아 디지털 찌꺼기를 분리하고 실제로 행동하도록 하고 있습니다. 새로운 SOAR 공급업체들이 등장하고 있으며, 가트너는 SOAR 분야에 12개 이상의 개별 회사를 보고하고 있습니다.
그러나 이러한 세련된 턴키 SOAR 애플리케이션은 스스로 지식 기반을 생성하고 채울 수 없으며, 분석가가 자신의 환경 내 사건에 대한 실행 가능한 반복 가능한 정보를 찾을 수 있는 장소입니다. 이 운영 관행은 SOC 직원이 지식의 함정에서 벗어나 더 넓은 팀을 위해 구체적인 절차를 문서화해야 한다는 것을 요구합니다.
문서화는 SOC 세계에서 특히 어렵습니다. 그 거친 속도가 플레이북 및 절차의 작성과 지속적인 유지 보수를 방해하기 때문입니다. 그러나 이 단계를 간과하는 것은 선택 사항이 아닙니다. 한 보안 블로거가 쓰기를, “플레이북이 없으면 분석가는 자신의 직감으로 돌아가는 경향이 있습니다 — 이는 개인에는 효과적일 수 있지만, 팀 전체는 그 분석가의 마음속에 존재하는 지식에 의해 좌우됩니다.”
그렇다면 스트레스 많은 보안 분석가는 어떻게 해야 할까요?
보안, 지식 관리와 만나다
해답은 일반적인 지식 관리 방식을 통해 제공되며, 이 방식은 바쁜 SOC 내 추가 의무뿐만 아니라 필수 기술 집합입니다. 예를 들어, NIST 사이버 보안 인력 프레임워크는 보안 직원의 핵심 전문 분야로서 지식 관리를 나열합니다. 여기에는 콘텐츠 생성, 협업 도구 관리 및 “지적 자본과 정보 콘텐츠를 식별, 문서화 및 접근하는” 일반적인 능력에 대한 숙련도가 포함됩니다.
업계 전문가들은 지식 기반이 SOC 내에서 큰 힘을 발휘하는 원동력이라고 동의합니다. 그의 기사 "지식 전송으로 SOC IQ 수준 끌어올리기"에서 Mike Fowler는 모두가 접근할 수 있고 쉽게 유지할 수 있는 콘텐츠 저장소의 특정 요구 사항을 언급합니다:
“중앙 집중식 데이터베이스와 구조화된 플레이북을 사용하는 자동화된 접근 방식을 구현하면 지식 전송 프로세스가 반복 가능하고, 방어 가능하며, 일관성을 유지할 수 있습니다.”
SOAR와 플레이북이 함께 작동하는 한 예는 기계 경고가 보안 직원에게 대량의 데이터가 알려지지 않은 사이트로 빠져나가고 있다는 사실을 알릴 때입니다. 분석가 또는 전담 응답자가 경고에 따라 행동하고 그 사이트가 추가 회사 데이터를 수신하지 않도록 차단하지만, 이는 사건의 범위를 이해하고 영향을 평가하기 위한 일련의 인간 행동 중 첫 번째 단계에 불과합니다. 플레이북에는 "다운로드 사이트의 서버 주소와 도메인을 조회하십시오"라는 지시가 있을 수 있으며, 그 뒤에 "네트워크 로그를 검색하고 해당 서버로의 이전 다운로드를 찾으십시오"가 이어질 수 있습니다.
이러한 행동을 수행함으로써 사건 응답자는 결국 어떻게, 무엇을, 언제, 어디서 퍼즐을 맞추어 관리팀이 정보 제공을 하고 그에 따라 조치를 취할 수 있게 합니다(이는 아마도 자체 플레이북을 촉발할 것입니다).
지식 관리가 보안 스택의 일부여야 하는 이유
오늘날의 SOAR 도구들이 위협 지표를 찾아내고 그것을 분석가들에게 제공하는 데 도움을 줄 수 있지만, 단독으로 도구만으로는 사건에 대응하고 해결하기까지는 충분하지 않은 경우가 많습니다.
적절한 보안 분석, 예방 및 대응은 여전히 사람과 지식 공유의 변하지 않는 운영 기술에 의존하고 있습니다.
보안 인력은 각 새로운 사건에 대해 즉흥적으로 대처할 만큼 충분히 많지 않고 시간 제약도 많습니다. 쉽게 접근할 수 있고 업데이트된 반복 가능한 플레이북은 항상 잠재적으로 공격받을 수 있는 환경에서 더 스마트하게 작업하는 초석입니다.
구루의 위험 및 규정 준수 담당자로서, 저는 우리가 게시한 기준 및 통제(우리가 해야 하는 보안 작업)의 정리 정돈에 시간을 할애하지만, 동시에 자동화 및 지식 관리가 "전술적 보안"을 가능하게 하는 방법에도 주의를 기울입니다. 이 관행에 대한 산업 용어는 "보안 오케스트레이션, 자동화 및 대응"(SOAR)이지만, 자체적으로는 자동화가 항상 성공적인 결과를 가져오지는 않습니다.
예를 들어, 타겟 매장이 2013년에 유명하게 침해되었을 때, 사이버 공격은 보안 직원이 보안 센서 피드의 대화 속에 묻힌 경고를 간과했기 때문에 일부 효과를 발휘했습니다. 침해는 결국 회사의 3억 달러 손실을 초래했고, 너무 많은 입력으로 인해 혼란을 초래할 수 있다는 경고의 사례로 작용했습니다.
물론 모든 놓친 경고가 타겟 크기의 침해로 이어지지는 않습니다. 더 작은 공격이 매일 발생합니다. 실제로 데이터 유출 지수에 따르면, 매 분마다 4000개 이상의 민감한 기록이 유출되고 있습니다. 이 사건들보다 앞서 가기 위해 조직들은 일반적으로 보안 스택을 고용하여 네트워크에 대한 비정상적인 행동이나 가능성 있는 침입을 표시합니다. 이 스택은 핵심 팀의 직원 또는 완전한 보안 운영 센터(SOC)에 의해 감시되며, 이러한 팀은 점점 더 SOAR 애플리케이션의 도움을 받아 디지털 찌꺼기를 분리하고 실제로 행동하도록 하고 있습니다. 새로운 SOAR 공급업체들이 등장하고 있으며, 가트너는 SOAR 분야에 12개 이상의 개별 회사를 보고하고 있습니다.
그러나 이러한 세련된 턴키 SOAR 애플리케이션은 스스로 지식 기반을 생성하고 채울 수 없으며, 분석가가 자신의 환경 내 사건에 대한 실행 가능한 반복 가능한 정보를 찾을 수 있는 장소입니다. 이 운영 관행은 SOC 직원이 지식의 함정에서 벗어나 더 넓은 팀을 위해 구체적인 절차를 문서화해야 한다는 것을 요구합니다.
문서화는 SOC 세계에서 특히 어렵습니다. 그 거친 속도가 플레이북 및 절차의 작성과 지속적인 유지 보수를 방해하기 때문입니다. 그러나 이 단계를 간과하는 것은 선택 사항이 아닙니다. 한 보안 블로거가 쓰기를, “플레이북이 없으면 분석가는 자신의 직감으로 돌아가는 경향이 있습니다 — 이는 개인에는 효과적일 수 있지만, 팀 전체는 그 분석가의 마음속에 존재하는 지식에 의해 좌우됩니다.”
그렇다면 스트레스 많은 보안 분석가는 어떻게 해야 할까요?
보안, 지식 관리와 만나다
해답은 일반적인 지식 관리 방식을 통해 제공되며, 이 방식은 바쁜 SOC 내 추가 의무뿐만 아니라 필수 기술 집합입니다. 예를 들어, NIST 사이버 보안 인력 프레임워크는 보안 직원의 핵심 전문 분야로서 지식 관리를 나열합니다. 여기에는 콘텐츠 생성, 협업 도구 관리 및 “지적 자본과 정보 콘텐츠를 식별, 문서화 및 접근하는” 일반적인 능력에 대한 숙련도가 포함됩니다.
업계 전문가들은 지식 기반이 SOC 내에서 큰 힘을 발휘하는 원동력이라고 동의합니다. 그의 기사 "지식 전송으로 SOC IQ 수준 끌어올리기"에서 Mike Fowler는 모두가 접근할 수 있고 쉽게 유지할 수 있는 콘텐츠 저장소의 특정 요구 사항을 언급합니다:
“중앙 집중식 데이터베이스와 구조화된 플레이북을 사용하는 자동화된 접근 방식을 구현하면 지식 전송 프로세스가 반복 가능하고, 방어 가능하며, 일관성을 유지할 수 있습니다.”
SOAR와 플레이북이 함께 작동하는 한 예는 기계 경고가 보안 직원에게 대량의 데이터가 알려지지 않은 사이트로 빠져나가고 있다는 사실을 알릴 때입니다. 분석가 또는 전담 응답자가 경고에 따라 행동하고 그 사이트가 추가 회사 데이터를 수신하지 않도록 차단하지만, 이는 사건의 범위를 이해하고 영향을 평가하기 위한 일련의 인간 행동 중 첫 번째 단계에 불과합니다. 플레이북에는 "다운로드 사이트의 서버 주소와 도메인을 조회하십시오"라는 지시가 있을 수 있으며, 그 뒤에 "네트워크 로그를 검색하고 해당 서버로의 이전 다운로드를 찾으십시오"가 이어질 수 있습니다.
이러한 행동을 수행함으로써 사건 응답자는 결국 어떻게, 무엇을, 언제, 어디서 퍼즐을 맞추어 관리팀이 정보 제공을 하고 그에 따라 조치를 취할 수 있게 합니다(이는 아마도 자체 플레이북을 촉발할 것입니다).
지식 관리가 보안 스택의 일부여야 하는 이유
오늘날의 SOAR 도구들이 위협 지표를 찾아내고 그것을 분석가들에게 제공하는 데 도움을 줄 수 있지만, 단독으로 도구만으로는 사건에 대응하고 해결하기까지는 충분하지 않은 경우가 많습니다.
적절한 보안 분석, 예방 및 대응은 여전히 사람과 지식 공유의 변하지 않는 운영 기술에 의존하고 있습니다.
보안 인력은 각 새로운 사건에 대해 즉흥적으로 대처할 만큼 충분히 많지 않고 시간 제약도 많습니다. 쉽게 접근할 수 있고 업데이트된 반복 가능한 플레이북은 항상 잠재적으로 공격받을 수 있는 환경에서 더 스마트하게 작업하는 초석입니다.
