Open in app

Sign in

Write

Sign in

보안관제를 위한 머스트해브 플랫폼 D3 SOAR

chaning
StealthSolution
Published in
5 min readDec 2, 2021

안녕하세요. 스텔스솔루션 기획마케팅팀의 Chaning입니다.

오늘은 저희 파트너사인 D3 Security의 NextGen SOAR 2.0을 소개해드리려고 합니다.

사이버 공격이 점점 다양해지고 고도화되는 지금, 다양한 솔루션들이 존재하지만 이것들을 합쳐서 대응책을 마련하려면 억겁의 시간이 필요합니다.(ㅠㅠ)

오늘 소개해드릴 SOAR는 이 모든 문제를 해결합니다.

SOAR가 무엇인지부터 설명할게요.(기대하세요!!!)

SOAR란?

SOAR(쏘-아)

SOAR는 Security Orchestration, Automation and Response의 약자로,

각기 다른 도구에서 생성되는 보안 사고, 이벤트, 로그 등의 내용을 통합하고 설계한 결과물을 보여주는 절차를 자동화합니다. 그리고 공격 받는 자산에 알림을 생성하여 보안 사고에 빠르고 정확하게 대응할 수 있도록 지원하는 플랫폼입니다.

그렇다면 SOAR가 왜 필요할까요?

현재 보안관제 팀의 상황을 보시면 확- 이해되실거에요.

보안관제 팀의 업무는 보안 위협 분석, 대응 절차를 구성하는 일과 컴플라이언스 점검에 대비하는 일입니다.

현재의 보안관제 팀은 아래와 같은 이유들로 어려움을 겪고 있습니다.(머리 빠지겠네요..)

  • 제품 별로 위험 경보 알림이 과도하게 많이 울려 중요한 정보와 공격을 구분하는 데에 오탐이 생깁니다.
  • 여러 제품을 연동하는 데에 있어 제품에 대한 옵션이 너무 많고 상호 운용성이 떨어져 대응 프로세스를 구축하는 일에 시간이 많이 소요됩니다.
  • 컴플라이언스 점검을 준비하기 위해 이전에 있던 자료와 보고서 등을 검토해서 작성하려면 인력과 시간이 많이 필요합니다.

그렇기 때문에 SOAR는 보호해야 할 환경과 관리해야 할 도구가 늘어날 때 발생할 수 있는 오탐과 알림 과부하를 줄여주고 위험성을 평가하는 보안 관제 팀의 업무 효율성을 증가시키기 위해 필요합니다.

우리가 살아가면서 업무를 진행 하거나 사고 발생 시 그에 대한 매뉴얼이 존재합니다. 매뉴얼이 있다면 절차대로 처리하는 데에 큰 도움이 되죠. 이 매뉴얼을 스스로 만들어 나가려면 많은 시행착오가 존재합니다. 사용자 입장에서는 전문적으로 만들어진 매뉴얼을 사용하는 것이 훨씬 편하고 원하는 결론에 빠르게 도달할 수 있겠죠.

보안관제 업무를 담당하시는 분들에게 SOAR는 그런 존재라고 할 수 있겠습니다.

보안 사고에 대응하는 데에 필요한 다양한 도구를 종합해서 하나의 프로세스를 만드는 과정을 자동화해서 제공해주니, 빠르고 쉬운 대처가 가능해지는 것이죠!(편-리)

Gartner에서는 SOAR를 3가지 기술의 결합으로 정의했네요.

  • 오케스트레이션 및 자동화

서로 다른 제품들을 서로 통합하고 도구 대 도구 워크플로우(Tool-to-Tool workflow)를 통해 제품 간 작업을 자동화하여 제공합니다. 공격받는 자산에 대한 알림을 생성하고 손쉽게 대응 할 수 있도록 도와줍니다.

  • 보안 사고 대응

보안 사고 발생 문서, 업무 할당, 조사 및 케이스 관리를 포함합니다.

  • 위협 인텔리전스(구면이시죠?)

다양한 외부의 위협 인텔리전스로부터 정보를 수집하여 하나로 통합할 수 있습니다. 통합과정에서 정보간에 연관 가능성이 높을 경우 보다 확장된 가시성을 제공할 수 있습니다.

SOAR 플랫폼 중 으뜸!

D3 SOAR의 장점 10억 개 중에서 2가지만 짚어보고 가시죠.(많다는 뜻ㅎ)

1) 코딩 없는 플레이북

다루기 쉬운 플레이북입니다!

우선 플레이북에 대해서 간단하게 설명해드리겠습니다.

플레이북이란 각각의 솔루션이 필요한 시기에 일어나는 활동을 순서에 맞춰 적은 문서입니다. 쉽게 말해 어떤 시점에 어떤 도구가 필요한지 순서대로 적어 놓은 문서입니다. 우리말로 ‘절차서’라고 할 수 있습니다.

이전 버전 SOAR의 경우 플레이북을 작성할 때 Python 코딩이 필요했습니다.(코.딩.싫.어.)

하지만 D3 SOAR 2.0은 그럴 필요가 없습니다. 300개 이상의 벤더사의 기능을 미리 입력해놓았기 때문이죠. 코딩 없이 마우스만 가지고 드래그 앤 드랍을 통해 원하는 대로 쉽고 빠르게 플레이북을 구축할 수 있어 시간과 비용을 절약할 수 있습니다.(물론 코딩으로도 가능합니다😉)

그럼, 새내기 보안 관제 담당자도 숙련된 담당자가 정리한 것 같은 워크플로우로 구성된 플레이북을 활용하면 업무에 빠르게 적응할 수 있습니다.

2) MITRE ATT&CK

MITRE ATT&CK 기반의 실시간 이벤트 화면

D3 SOAR는 MITRE ATT&CK 기반으로 들어오는 모든 이벤트를 전체적으로 보여주고 기록해줍니다. 또한 코멘트를 남길 수 있는 노트도 제공됩니다. 잘 활용하면 자신만의 매뉴얼을 가지고 효율적으로 업무를 처리할 수 있겠죠.

아, MITRE ATT&CK이 뭐냐구요?..

최신의 사이버 공격자 전술, 기술 및 절차(TTPs)을 분석하여 다양한 공격기법에 대한 정보를 목록화 해놓은 세계 최대 지식 기반의 표준 데이터입니다.

공격자가 무엇을 하려고 하는지 이해하고 있다면 공격에 미리 대응할 수 있습니다. D3 SOAR는 한눈에 쏙 들어오는 대시보드를 보며 TTP의 발생을 확인할 수 있는 모니터링 화면을 제공합니다. 화면에서 제공되는 모든 이벤트는 MITRE ATT&CK의 TTP 상관 관계를 거치도록 되어있어 현재 어떤 기술을 사용하는지, 어떻게 공격을 중지하는지에 대한 내용을 즉각적으로 알 수 있습니다.

이외에도 보고서 작성을 위한 리포트 및 분석 제공, 사건 별 연관 관계를 제공해주는 케이스 관리 등 많은 특장점을 가지고 있습니다.

D3 SOAR를 보면 “잘 차려진 밥상에 수저만 뜨면 된다”는 어느 영화배우의 수상 소감이 떠오릅니다.

다 떠먹여주네요.(ㅎㅎㅎ)

보안 관제팀의 사랑을 받을 D3 SOAR 플랫폼이었습니다.

감사합니다.

Soar
Gartner
Compliance
Security Orchestration
Soar Platform

--

--

chaning
StealthSolution

Written by chaning

1 Follower
Editor for

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams