SPS Commerce가 Sumo Logic의 보안 인사이트로 사이버 보안을 개선하는 방법
결과 요약
문제점
사이버 위협으로부터 비즈니스를 보호하면서 그 성장과 변화에 보조를 맞추기란 정말 어려운 일이었습니다.
광범위한 인프라의 사이버 보안을 관리하기 위해 SPS Commerce는 사내 보안 운영 센터(SOC) 팀과 관리형 서비스 제공업체를 함께 활용하는 하이브리드 인력 배치 모델을 채택했습니다. 관리형 서비스 제공업체는 알림을 연중무휴 모니터링할 수 있도록 지원했습니다.
SPS Commerce의 SOC 및 인시던트 대응 관리자인 Nick Kemske는 다음과 같이 말했습니다. “공격자는 단 한 번만 성공하면 되지만 SOC 팀은 항상 성공해야 한다는 말은 다소 진부하게 들릴 수 있지만 사실입니다. 따라서 이러한 위협을 탐지하고 대응하려면 가시성과 데이터가 반드시 필요했습니다.”
솔루션
SPS Commerce는 회사의 공격 표면 전반에 대한 가시성을 확보하고 SOC 팀에 정확한 보안 인사이트를 제공하기 위해 모든 데이터 소스에 중앙 집중식으로 액세스해야 했습니다. 이를 위해서는 SIEM 솔루션에 투자할 필요가 있었습니다.
SOC 팀의 요구 사항 중 하나는 회사의 다른 부서에서 환경 모니터링을 위해 수집하는 것과 동일한 시스템, 로그 및 메트릭을 함께 확인할 수 있는 솔루션이었습니다. 이러한 기능은 SOC 팀에 추가적인 가치를 제공할 수 있었습니다. 마침 인프라 팀이 이미 옵저버빌리티 사용 사례에 Sumo Logic 플랫폼을 사용하고 있었기 때문에 Sumo Logic은 이러한 요구에 완벽하게 부합했습니다.
Kemske는 다음과 같이 말했습니다. “SIEM을 선택할 때 인프라 파트너 팀이 수행하는 업무와 지나치게 동떨어지거나 분리되는 것을 원하지 않았습니다. 회사의 Sumo Logic 사용 범위를 SIEM 요구 사항까지 확대함으로써 문제가 발생했을 때 다른 팀과 협업하고 긴밀히 공조하여 문제를 해결할 수 있는 기회가 더 많아졌습니다.”

Nick Kemske
SOC 및 인시던트 대응 매니저
결과
SOC 요구 사항을 지원하는 신속한 구현 및 조기 안정화
인프라 팀이 이미 Sumo Logic 플랫폼을 구축하고 인프라 데이터 소스에서 회사의 로그를 수집하고 있었기 때문에 SOC 팀은 도입 작업을 빠르게 시작할 수 있었습니다. 또한 플랫폼의 클라우드 수집기를 활용하여 CrowdStrike 및 Tenable 솔루션과 같은 보안 도구의 추가 데이터 소스를 즉시 사용할 수 있는 방식으로 손쉽게 통합했습니다.
“Sumo Logic은 기본 제공되는 보안 규칙 세트 등 애플리케이션에 사전 구축된 모든 기능을 활용할 수 있어 쉽게 시작할 수 있습니다.”라고 Kemske는 말하며 “전체 플랫폼의 작동 방식을 정말 훌륭하게 설명해 주는 문서가 많아서 신속하게 속도를 낼 수 있었다”고 덧붙였습니다.
보안 텔레메트리와 인사이트를 위한 단일 소스
Sumo Logic이 필요한 모든 로그 데이터를 수집하면서 이제 이 솔루션은 SOC 팀이 신뢰하는 공식 보안 데이터 소스가 되었습니다. Kemske는 “보안 모니터링에 필요한 모든 데이터가 Sumo Logic으로 전송됩니다. 우리 팀에서는 보안과 모든 것을 모니터링하는 일의 중요성을 생각할 때 ‘전부란 말 그대로 전부를 뜻한다’고 말하곤 합니다.”라고 설명했습니다.
스위치와 라우터부터 AWS 및 Azure 로그에 이르기까지 모든 텔레메트리가 Sumo Logic에 통합되어 회사 인프라 전반에서 알림을 분류하고 위협의 상관관계를 분석하는 데 활용됩니다. SOC 팀은 보안 분석을 위한 각 데이터 소스의 사용 사례에 따라 Sumo Logic의 유연한 데이터 티어링을 활용하여 클라우드 SIEM이 지속적으로 처리하고 분석해야 할 데이터 소스를 지정합니다.
통합 위협 인텔리전스 피드를 활용하는 SOC 팀은 클라우드 SIEM에 사전 구축된 700개 이상의 규칙과 팀의 맞춤형 규칙을 함께 사용하여 보강된 실행 가능한 인사이트를 확보합니다. Kemske는 “이 모든 것이 클라우드 SIEM에서 하나로 결합되고, 이어서 우리 팀의 조사 워크플로가 시작됩니다. 정말 훌륭하고 원활한 과정입니다.”라고 말했습니다.
자동화와 단일 화면을 통한 조사 가속화
클라우드 SIEM을 도입하기 전, SOC 팀의 조사 워크플로는 20개의 개별 시스템 대시보드에 의존하고 있었기 때문에 회사의 전체 인프라 현황을 파악하려면 많은 시간을 들여 수작업으로 정보를 종합해야 했습니다. 클라우드 SIEM을 도입한 현재는 여러 도구를 오갈 필요 없이 단일 콘솔에서 환경에서 발생하는 상황을 파악할 수 있습니다.
Kemske는 “클라우드 SIEM은 매우 반복적인 수동 프로세스에서 훨씬 더 자동화된 프로세스로 전환하는 기반이 되었습니다. 덕분에 가시성을 확보하고 조사 시간을 절약하는 데 큰 도움이 되었습니다.”라고 설명했습니다. 이어 “클라우드 SIEM에서 JIRA 티켓도 쉽게 생성할 수 있으므로 제공 팀 및 파트너가 기대하는 방식에 맞춰 이들과 훨씬 원활하게 통합할 수 있습니다.”라고 덧붙였습니다.