결과 요약
문제점
Roku는 SIEM 솔루션을 도입할 때 경고 알림 피로를 예방하고 실제 문제를 신속히 해결하기 위해 민첩성을 꾸준히 유지해야 했습니다.
Roku에게는 강력한 보안 태세 유지가 필수적인 과제입니다. “저희 보안 팀은 인프라를 보호하고 고객에게 안정적인 서비스를 제공하기 위해 밤낮없이 노력하고 있습니다. 고객과 그들의 신뢰는 저희에게 매우 중요합니다.”라고 Roku의 시니어 보안 엔지니어인 Huseyin Karaarslan은 말했습니다.
이 전략에서 중요한 부분으로, Roku는 사이버 상황 인식을 증진하고 회사의 환경을 지속적으로 파악할 수 있는 SIEM 솔루션을 도입하고자 했습니다.
솔루션
사이버 상황 인식을 증진하기 위해 Roku는 자사 도메인에 대한 신속하고 정확한 인사이트를 확보함으로써 현재 상황을 파악하고 능동적인 대응자가 빠르고 정확한 의사 결정을 내릴 수 있기를 원했습니다. 이를 위해서는 데이터 수집과 분석에 투자하여 Roku의 인프라를 지속적으로 파악할 수 있어야 했으며, 이를 위해 Roku는 Sumo Logic 클라우드 SIEM을 선택했습니다.
“클라우드 SIEM을 사용하면 매우 강력한 규칙을 즉시 적용할 수 있습니다. 이러한 규칙을 조직과 인프라에 맞게 조율하면서 도구에 충분히 익숙해졌고 투자 가치도 입증할 수 있었으며, 플랫폼을 최적화하여 주의가 필요한 실제 경보에 집중할 수 있었습니다.”
—Huseyin Karaarslan, 시니어 보안 엔지니어
결과
규칙 튜닝을 통한 상황 인식 최적화
클라우드에 기본적으로 구축된 클라우드 SIEM을 사용하면 즉시 사용 가능한 대시보드, 쿼리, 규칙이 포함된 사전 구축 애플리케이션을 통해 심층적 보안 인사이트를 빠르고 손쉽게 얻을 수 있습니다. 700개 이상의 규칙이 MITRE ATT&CK 프레임워크와 관련된 전술 및 기법에 제각기 매핑되어 있어서 Roku의 보안 팀은 보안 인사이트 확보를 위한 탄탄한 출발점을 다질 수 있었습니다.
첫 번째 단계로, 팀원들은 클라우드 SIEM 규칙 튜닝에 착수했습니다. “클라우드 SIEM의 규칙은 강력하기 때문에 저희 조직과 인프라에 맞게 조정하고 싶었습니다. 도구에 익숙해지고 투자 가치를 입증하며 주의해야 할 실제 경보에 집중할 수 있도록 플랫폼을 최적화하기 위해선 튜닝 작업이 정말 중요했습니다.”라고 Karaarslan은 말합니다.
보안 팀의 튜닝 프로세스는 매우 효율적이었는데, 경고 알림을 가장 많이 생성한 규칙을 식별하는 쿼리를 작성하기 위해 Sumo Logic 플랫폼을 사용하는 일부터 시작했습니다. 그 후에 Karaarslan은 쿼리 결과를 더 잘 평가할 수 있도록 규칙 관련 대시보드를 만들었습니다. “천 개 이상의 경고 알림으로 작업하고 있었기 때문에 규칙 분석 대시보드를 통해 환경 내부의 상황을 자세히 파악하고 튜닝 작업과 관련된 패턴을 발견할 수 있었습니다.”라고 Karaarslan은 설명했습니다.
이 튜닝 단계를 통해 보안 팀은 규칙이 올바로 작동하는지, 추가적인 튜닝이 필요한지, 또는 더 이상 조직에 적용되지 않으므로 비활성화해야 하는지 신속히 판단할 수 있었습니다. 그에 따라 Roku는 보안 팀이 중요한 경고 알림을 신속히 식별하고 그에 대응할 수 있도록 지원하는 클라우드 SIEM을 통해 최적화된 사이버 상황 인식을 경험하고 있습니다.
