SPS Commerce가 Sumo Logic의 보안 인사이트로 사이버 보안을 개선하는 방법
결과 요약
문제점
사이버 위협으로부터 비즈니스를 보호하면서 그 성장과 변화에 보조를 맞추기란 정말 어려운 일이었습니다.
광범위한 인프라의 사이버 보안을 관리하기 위해 SPS Commerce는 사내의 보안 운영 센터(SOC) 팀과 모니터링 경고 알림을 연중무휴 24시간 지원하는 관리형 서비스 제공업체를 포함한 하이브리드 인력 배치 모델을 활용했습니다.
“공격자는 한 번만 성공하면 되지만 우리 SOC 팀은 매번 100% 성공해야 한다는 건 너무도 당연한 사실입니다. 따라서 이러한 위협을 탐지하고 그에 대응할 수 있는 가시성과 데이터가 정말 필요했습니다.”라고 SPS Commerce의 SOC 및 인시던트 대응 관리자인 Nick Kemske는 말합니다.
솔루션
SPS Commerce는 회사의 공격 표면 전반에 대한 가시성을 확보하기 위해 SOC 팀에 정확한 보안 가시성과 인사이트를 제공할 수 있도록 모든 데이터 소스에 중앙 집중식으로 액세스해야 했습니다. 즉 SIEM 솔루션 투자가 필요한 순간이었습니다.
SOC 팀이 보낸 요청의 일환으로서, 이들은 회사의 다른 부서에서 환경 모니터링을 위해 수집하는 것과 동일한 시스템, 로그, 메트릭을 보여줌으로써 가치를 한층 더한 솔루션을 원했습니다. Sumo Logic은 인프라 팀이 이미 옵저버빌리티 사용 사례에 이 플랫폼을 사용하고 있었으므로 완벽한 솔루션이라 할 수 있었습니다.
“SIEM을 선택할 때 저희는 인프라 부문 파트너들의 실제 업무와 너무 동떨어지는 일은 피하고 싶었습니다. 저희의 SIEM 관련 요구 사항을 포괄하도록 회사의 Sumo Logic 활용도를 넓히면 문제 발생 시점에 담당 팀과 협업하고 제휴하여 해결할 기회가 더 커집니다.”라고 Kemske는 말합니다.
“SIEM을 선택할 때 저희는 인프라 부문 파트너들의 실제 업무와 너무 동떨어지는 일은 피하고 싶었습니다. 저희의 SIEM 관련 요구 사항을 포괄하도록 회사의 Sumo Logic 활용도를 넓히면 문제 발생 시점에 담당 팀과 협업하고 제휴하여 해결할 기회가 더 커집니다.”
—Nick Kemske, SOC 및 인시던트 대응 관리자, SPS Commerce
결과
신속한 구현과 램프업을 통한 SOC 요구 사항 지원
인프라 팀이 이미 Sumo Logic 플랫폼을 배포하고 인프라 데이터 소스에서 회사의 로그를 수집하고 있던 덕분에 SOC 팀은 도입 작업을 빠르게 시작할 수 있었습니다. 이 플랫폼의 클라우드 수집기를 활용함에 따라 팀원들은 회사의 CrowdStrike 및 Tenable 솔루션 같은 보안 도구에서 추가적 데이터 소스를 통합하는 턴키 프로세스를 마련할 수 있었습니다.
“Sumo Logic 덕분에 즉시 사용 가능한 보안 규칙 세트처럼 애플리케이션에 미리 구축된 모든 것을 활용하여 시작하기가 한결 간편해졌습니다.”라고 Kemske는 말하며 “전체 플랫폼의 작동 방식을 정말 훌륭하게 설명해 주는 문서가 많아서 신속하게 속도를 낼 수 있었다”고 덧붙였습니다.
보안 텔레메트리와 인사이트를 위한 단일 소스
이제 이 솔루션은 원하는 모든 로그 데이터를 인제스트하는 Sumo Logic에 힘입어 SOC 팀의 권위 있는 보안 데이터 소스로 자리매김했습니다. “보안 모니터링과 관련된 모든 데이터는 Sumo Logic을 통해 처리합니다. 전체를 모니터링하는 일과 보안의 중요성에 대해 이야기할 때 저는 팀원들에게 ‘모든 것은 말 그대로 모든 것을 의미한다’는 말을 자주 합니다.”라고 Kemske는 전합니다.
스위치와 라우터에서 AWS 로그와 Azure 로그에 이르기까지, 모든 텔레메트리 정보가 Sumo Logic 안에서 하나로 모여 회사 인프라 전반의 경고 알림 분류와 위협 상관 분석을 지원합니다. SOC 팀은 보안 분석과 관련된 데이터 소스 사용 사례를 토대로 Sumo Logic의 유연한 데이터 계층화를 활용함으로써 클라우드 SIEM이 지속적으로 처리하고 분석해야 할 소스를 표시합니다.
또한 SOC 팀은 통합된 위협 인텔리전스 피드를 통해 700개가 넘게 사전 작성된 클라우드 SIEM의 규칙과 팀의 사용자 지정 규칙을 활용하여 풍부하고 실행 가능한 인사이트를 확보합니다. “그 모두가 클라우드 SIEM에서 하나로 모이면 저희 팀의 조사 워크플로가 시작됩니다. 그 여정은 정말 훌륭하고 매끄럽지요.”라고 Kemske는 말합니다.
자동화와 단일 창 보기에 힘입은 조사 가속화
클라우드 SIEM 도입 이전의 SOC 팀은 20개의 서로 다른 시스템 대시보드에 의존하는 조사 워크플로로 인해 시간이 오래 걸리는 수작업 방식으로 회사의 전체 현황을 파악해야 했습니다. 이제 팀원들은 클라우드 SIEM 도입 이후로 여러 도구를 찾아다닐 필요 없이 환경의 현황을 단일 콘솔에서 모두 파악할 수 있게 되었습니다.
“클라우드 SIEM은 매우 기계적으로 반복되고 수작업적이던 프로세스에서 훨씬 더 자동화된 프로세스로의 전환을 뒷받침했으며, 이는 가시성을 확보하고 조사 시간을 줄이는 데 큰 도움이 되었습니다.”라고 Kemske는 설명하면서 다음과 같이 덧붙였습니다. “또한 클라우드 SIEM에서 JIRA 티켓을 손쉽게 시작할 수 있으므로 사내 딜리버리 팀과 파트너와의 통합을 그들이 기대하는 방식으로 훨씬 더 원활히 진행할 수 있습니다.”
