결과 요약
문제점
Security Resource Group Inc., 즉 SRG는 연중무휴 24시간 제공하는 보안 모니터링 서비스를 위해 더 빠른 고객 온보딩과 보다 우수한 확장성을 선보이는 SIEM 솔루션이 필요했습니다.
업계 최고 수준의 관리형 보안 서비스 제공업체(MSSP)인 SRG의 전 세계적 고객 기반은 계속 확장되고 있었지만, 이 업체가 보유한 기존의 관리형 보안 정보 및 이벤트 관리(SIEM) 솔루션은 이러한 성장 속도를 따라가지 못했습니다. 이 솔루션은 온프레미스에서 실행되고 대량의 컴퓨팅 및 스토리지 리소스가 필요했기 때문에 유지 관리에 너무 많은 비용과 시간이 들었습니다. 또한 신규 고객을 온보딩하는 데 있어서 SIEM은 너무 복잡했습니다. 프로세스도 완료까지 60일이나 걸릴 정도로 긴 경우가 많았습니다.
궁극적으로 SRG는 MSSP의 성장, 민첩성, 신속한 가치 창출이라는 목표를 지원할 수 있는 최신 SIEM 솔루션으로 전환하고자 했습니다.
솔루션
SRG는 보안 팀을 다양한 기능으로 빈틈없이 무장하기 위해 여러 솔루션을 도입해야 할 수도 있다고 예상했고, 따라서 자사가 원하는 대안과 관련된 21가지 요구 사항 목록을 만들었습니다.
SRG의 사이버 서비스 및 기술 부문 부사장인 James Morris는 다음과 같이 설명합니다. “저희는 업계의 여러 SIEM을 철저히 검토한 후 세 가지 솔루션의 전체적 통합 테스트를 수행한 결과, 최종적으로는 Sumo Logic과 파트너십을 맺기로 했습니다. 지금 당장 말씀드리자면, 그 선택은 우리가 내린 최고의 결정입니다. Sumo Logic은 단일 솔루션으로서 저희에게 필요한 부분을 모두 충족했습니다. 플랫폼의 유연성 덕분에 보안 팀은 보안 모니터링에서 기존과는 다른 작업을 수행할 수 있었습니다.”
“들어오는 데이터의 일부만 보안 분석에 유용하고, 일반적인 MSSP라면 나머지는 전부 폐기하죠. SRG는 Sumo Logic을 통해 모든 데이터를 가져와서 고객이 저마다의 비즈니스 인텔리전스를 위한 로그 분석을 무료로 활용할 수 있도록 지원합니다.”
—James Morris, 사이버 서비스 및 기술 부문 부사장, SRG
결과
2시간 만의 온보딩에 따른 가치 실현 시간 단축
Sumo Logic의 MSSP 플랫폼은 단일한 통합 콘솔로 고객 관리를 간소화하고 SRG의 고객 기반 전체에 걸쳐 일일 2TB를 인제스트하는 멀티 테넌트 클라우드 네이티브 아키텍처를 선보입니다. 또한 플랫폼에 기본적으로 내재된 확장성을 통해 SRG는 성능 문제를 걱정하며 온보딩 프로세스의 그 어떤 사이클도 소모할 필요 없이 새로운 고객 환경을 가동할 수 있습니다.
SRG는 솔루션의 사용 편의성과 기본적인 API 통합에 힘입어 고객 온보딩을 가속화함으로써 큰 성공을 거두었습니다.
“Sumo Logic을 사용하면 새 계약을 체결한 시점부터 단 2시간 만에 고객이 SIEM을 실행하고 가치를 확인할 수 있습니다. 예전에는 기회의 규모와 범위에 따라 차이는 있었지만 60일이나 필요했는데, 이제는 온보딩 시간이 95%나 단축되었죠.”라고 Morris는 말합니다.
고객을 위한 차별화된 MSSP 서비스 제공
Sumo Logic은 MSSP의 기본적 클라우드 SIEM 요구 사항부터 로그 분석, 인프라 모니터링 등에 이르기까지 다양한 사용 사례를 지원하는 단일한 통합형 로그 관리 플랫폼을 SRG에 제공합니다. 이처럼 광범위한 로그 텔레메트리를 통해 SRG의 보안 팀은 고객의 보안 운영 센터(SOC) 관리에 필요한 데이터를 수집할 뿐만 아니라 고객의 운영 인텔리전스를 위한 로그 분석 기능도 제공할 수 있게 되었습니다.
Sumo Logic의 폭넓은 데이터 인사이트를 활용하는 SRG의 고유한 접근 방식은 시장에서 차별화된 MSSP 상품 개발로 이어지고 SRG와 고객 모두에게 이점을 제공합니다.
“들어오는 데이터의 일부만 보안 분석에 유용하고, 일반적인 MSSP라면 나머지는 전부 폐기하죠. SRG는 Sumo Logic을 통해 모든 데이터를 가져와서 고객이 저마다의 비즈니스 인텔리전스를 위한 로그 분석을 무료로 활용할 수 있도록 지원합니다.”라고 Morris는 설명합니다.
Morris는 이러한 특징이 SRG와 고객 모두에게 어떻게 이점으로 작용하는지 다음과 같이 자세히 설명합니다. “Sumo Logic은 무차별 대입 공격과 잘못된 구성으로 인한 그 외의 위험을 식별하는 데 유용한 원스톱 인제스트 숍을 제공합니다. 따라서 저희는 구성 수정이 필요한 부분을 고객에게 조언하여 보안 분석의 품질을 향상시킬 수 있습니다. 그 결과 저희 팀은 실제 탐지에 집중하여 15분 만에 탐지부터 대응까지 완료되는 서비스 수준 계약을 달성할 수 있었습니다.”
위협 헌팅과 고객 가치에 집중할 시간 확보
SRG가 예전에 이용하던 SIEM 솔루션은 오탐으로 보안 팀에 상당한 스트레스를 주었고 매일 처리할 수 있는 티켓 수도 제한적이었습니다. 이러한 모든 문제는 Sumo Logic으로 해결되었습니다. 이 플랫폼의 고급 분석 기능은 데이터에서 정규화된 기록을 파싱, 매핑 및 생성하고 탐지된 위협을 상관 분석하여 SRG의 경고 알림 노이즈를 75%나 줄이고 담당 팀의 이벤트 관리 결정 시간을 1시간에서 3분으로 단축했습니다. 그 결과 SRG의 보안 분석가들은 스트레스를 덜고 가장 중요한 위협에 집중하면서 시간 효율성을 향상하게 되었습니다.
“고객을 위해 SOC를 운영한다는 건 항상 처음부터 빠르고 올바르게 대응해야 한다는 뜻입니다. Sumo Logic은 이를 가능하게 해줍니다. 이제 위협 헌팅, 가치 제공, 고객을 위한 자문 서비스에 더 많은 시간을 할애할 수 있게 되었습니다.”라고 Morris는 말합니다. Morris는 고객에 미치는 긍정적인 영향에 대해 설명하며 다음과 같이 이야기했습니다. “위협 헌팅의 탐지 소요 시간이 200% 넘게 단축되고 정확도도 3배로 늘었습니다.”
통합 가시성에 힘입은 고객 협업 촉진
SRG의 분석가들은 Sumo Logic을 활용함으로써 고객 기반을 전체적으로 파악하는 데 꼭 필요한 대시보드와 특정 고객의 보안 태세를 깊이 통찰할 수 있는 간편한 심층 분석 기능을 확보했습니다. 또한 플랫폼의 역할 기반 액세스 제어(RBAC)를 통해 SRG는 자사 데이터를 고객이 확인할 수 있도록 했으며, 따라서 고객도 SRG와 동일한 데이터와 인사이트를 볼 수 있게 되었습니다.
“고객이 Sumo Logic에 액세스할 수 있도록 함으로써 협업을 촉진하여 동일한 데이터를 바탕으로 함께 작업할 수 있습니다. 고객들이 저마다의 환경을 자세히 파악하고 있으므로 로그 항목을 함께 검토하여 이해해야 할 때 프로세스가 훨씬 빠르고 깔끔해집니다.”라고 Morris는 말합니다.