SOAR, TI

 

 

 

 

 

 

 

 

지난 시간에 이어서 SOAR에 대하여 알아보겠습니다.

 

 

 

 

보안 오케스트레이션, 자동화 및 대응 시스템(SOAR)

 

가트너의 정의에 대해 소개하도록 하겠습니다. SOAR는 SOA, SIRP, TIP를 폭넓게 포함하는 개념으로 보안 운영에 있어 유입되는 위협에 대해 대응 수준을 자동으로 분류하고, 표준화된 업무 프로세스에 따라 사람과 기계가 유기적으로 협력할 수 있도록 지원하는 대응 플랫폼을 말한다. 보안 위협에 대한 자동화된 분석과 대응 환경을 만들어 보안 인력을 효율적으로 운영하면서 분석의 정확도를 높이고 대응 시간을 단축시키려는 노력을 하는 솔루션입니다. 일반적으로 "자동화된 통합보안관제 솔루션"이라고 합니다. 

 

주요 기능에 대하여 알아보도록 하겠습니다. SIRP, SOA, TIP에 대해서도 하나씩 소개하겠습니다.

SIRP는 Security Incident Response Platform의 약자로 보안 사고 대응 플랫폼입니다. 다양한 보안 이벤트 유형별로 업무 특성에 맞는 업무 프로세스(워크플로우)를 정의하는 기능으로 보안운영센터 SOC가 있습니다. SOC는 Security Operation Center의 약자입니다. SOC는 단순하고 반복적인 업무를 자동화하여 업무 처리 시간을 단축할 수 있습니다. 이해하기 쉽게 설명해보도록 하겠습니다. 업무 PC에서 악성코드 전파 행쉬가 발생하면 PC담당자에게 작업을 할당합니다. 그 후 PC격리 및 사용자 연락, 분석 및 조치 등 일련의 업무 프로세스를 정의합니다.

다음으로 SOA에 대하여 소개하겠습니다. SOA는 Security Orchestration and Automation의 약자로 보안 오케스트레이션 및 자동화입니다. 다양한 IT와 보안 시스템을 통합하고 자동화하는 기능으로 SIRP에서 정의한 업무 프로세스의 실행을 지원합니다. 예를 들면 PC격리를 위해 NAC솔루션 연동, 사용자 연락을 위해 SMS 서버 연동, PC분석 및 대응을 위하여 엔드포인트 보안 솔루션들을 연동합니다. 여기서 말하는 엔트포인트 보안 솔루션에는 백신이나 EDR이 있습니다. 

마지막으로 TIP에 대하여 소개하겠습니다. TIP는 Threat Intelligence Platform 위협 인텔리전스 플랫폼으로 입니다. 보안 위협을 판단하기 위해 다양한 내부나 외부 위협 인텔리전스를 활용하는 기능으로 보안 분석가의 판단을 보조하는 역할을 합니다. 탐지한 의심 파일의 악성 여부를 판단하기 위해서 외부 위협 인텔리전스 정보를 활용합니다. 여기서 말하는 외부 위협 인텔리전스에는 VirusTotal 등이 있습니다. 

 

위협 인텔리전스 (TI:Threat Intelligence)  서비스

 

TI에 대하여 설명하도록 하겠습니다. 최근 고도화되는 사이버 위협에 효과적으로 대응하기 위해 과거 조직 내부뿐만이 아닌 다양한 외부 조직에서 겪은 수많은 위협 정보를 수집/분석/활용을 통해서 생성하는 증거 기반 정보입니다. SIEM, SOAR 등 보안관제 솔루션과 연계하여 위협에 대한 분석과 대응을 효과적으로 수행하도록 지원합니다. 사이버 위협 인텔리전스는 CTI, Cyber Threat Intelligence라고도 하며 외부 위협 동향에 대해 쉽게 파악할 수 있습니다. 알려지지 않은 위협과 지능형 지속 위협(APT) 같은 공격에도 효과적으로 대응할 수 있습니다. 여기서 사용하는 주요 정의에 가트너정의와 아이사이트 파트너스와 한국인터넷진흥원 정의가 있습니다. 가트너 정의는 현존하거나 발생 가능한 위협에 대한 대응을 결정하는데 사용하도록 위협의 맥락이나 메커니즘, 지표 및 예상결과와 실행할 수 있는 조언 등을 포함하고 있는 증거 기반 지식입니다. 아이사이트 파트너스 정의에 대하여 알아보도록 하겠습니다. 사이버 위협의 공격자와 그 동기, 의도, 방법에 대한 지식으로 이 지식은 다양한 경로로 수집하고 분석하며 보안조직과 운영조직의 직급별 담당자가 기업 주요 자산을 보호하는데 기여합니다. 한국인터넷진흥원(KISA) 정의에 대하여 설명하도록 하겠습니다. 악성코드 정보나 취약점 및 침해사고 분석 정보 등 사이버 위협 정보를 보다 체계적으로 수집합니다. 이 정보들을 종합적으로 연관 분석하여 관계기관들 사이에 자동화하여 정보를 공유하는 목적으로 하는 예방 대응 시스템입니다.