결과 요약
문제점
수만에 이르는 고객사의 클라우드 인프라와 HashiCorp 자체 운영을 종합적으로 지원하는 과정에서 다양한 이벤트가 대규모로 발생합니다.
보안팀이 일련의 관련 이벤트에 대한 단일 보안 조사 및 검색을 수행하기 위해 이 텔레메트리 데이터를 선별하는 작업은 시간이 매우 오래 걸리는 과정이었고, 검색 결과 도출 속도가 극도로 느려 골머리를 앓고 있었습니다.
“데이터의 방대한 양 때문에 모든 것이 느려졌습니다. 필요한 모든 이벤트를 수집하고 경고 알림의 맥락을 파악하며 실제로 무슨 일이 일어나고 있는지 확인하는 전 과정에서 어떤 것이 관련성이 있는지 실시간으로 조사하거나 매우 중요한 항목을 찾아내기가 불가능했습니다.”라고 HashiCorp의 시니어 보안 엔지니어인 라이언 브리드(Ryan Breed)는 말했습니다. 이어서 그는 “대규모 검색을 한 번 실행하는 데 너무 오래 걸려서 분석가의 집중력이 떨어지고, 조사 과정 전체가 느려졌습니다.”라고 덧붙였습니다.
솔루션
끊임없이 혁신을 추진하는 기업으로 알려진 HashiCorp는 그 혁신을 뒷받침할 보안이 필요합니다. 그런 이유로 그들은 Sumo Logic을 선택했습니다.
HashiCorp를 위한 보안 가시성을 확보하려면 세 개의 서비스형 인프라(Infrastructure-as-a-Service, IaaS) 클라우드 환경과 각 클라우드 벤더의 전체 제품군과의 API 통합에 걸쳐 있는 회사의 복잡한 운영 환경 전반을 실시간으로 모니터링할 수 있어야 했습니다.
클라우드 네이티브 솔루션인 Sumo Logic은 HashiCorp와 그 고객사의 멀티 클라우드 환경 전반에 대해 보안을 위한 로그 및 보안 정보와 이벤트 관리(클라우드 SIEM)를 중앙 집중식의 확장 가능한 방식으로 제공합니다.
라이언 브리드의 말에 따르면, “Sumo Logic은 우리가 보안 가시성을 확장하고 신제품을 출시하고, 고객을 추가하고, 새로운 도구를 도입할 때 비즈니스 속도를 따라갈 수 있도록 도와줍니다. 회사가 성장함에 따라 가시성을 추가하고 기존 역량을 강화하는 데 드는 한계 비용이 최소화되어 상당히 근본적인 변화를 수용하면서도 비즈니스를 훨씬 더 빠르게 확장할 수 있습니다.”
“Sumo Logic은 경고 알림의 중요성을 선제적으로 파악하는 데 도움을 주며 어떤 경우에는 경고 알림을 자동으로 처리하기도 합니다.”
—라이언 브리드(Ryan Breed), 시니어 보안 엔지니어
결과
짧은 지연 시간, 인사이트 기반의 실시간 보안 조사
회사 인프라 전반에서 나오는 모든 텔레메트리를 통합하고 인제스트하기 위해 Sumo Logic 클라우드 SIEM을 배포한 후, HashiCorp는 보안 조사 관리의 첫 번째 판도 변화를 경험했습니다. 바로 짧은 지연 시간으로 검색을 수행하는 능력이었습니다.
Sumo Logic의 클라우드 규모는 HashiCorp 보안 전문가들이 실시간으로 검색하고 조사를 수행할 수 있도록 지원합니다. 또한 클라우드 SIEM을 통해 워크플로가 간소화되면서 보안 운영 센터(Security Operations Center, SOC)팀은 경고 알림이 발생하면 자동으로 검색을 시작하는 시스템을 구현할 수 있었습니다.
브리드는 “Sumo Logic은 경고 알림이 중요한지 아닌지와 관계없이 저희가 해당 경고 알림을 이해하는 데 선제적으로 도움을 주고, 어떤 경우에는 경고 알림을 자동으로 처리합니다.”라고 말하며, “지연 시간이 짧은 Sumo Logic의 검색 시스템 덕분에 이러한 유형의 실시간 워크플로 자동화가 가능해집니다.”라고 덧붙였습니다.
보안 조사 최적화를 위한 경고 알림 및 탐지 전략(Alerting and Detection Strategy, ADS) 적용
클라우드 SIEM은 HashiCorp의 정형 및 비정형 데이터로부터 인제스트되는 정보를 파싱, 매핑하고 정규화된 레코드를 생성한 다음 경고 알림을 자동으로 분류하여 보안 전문가들에게 실행 가능한 인사이트를 제공합니다. 하루 수만 건에 이르는 경고 알림을 걸러내는 클라우드 SIEM의 성능을 더욱 최적화하기 위해 SOC팀은 Palantir의 ADS 프레임워크를 적용하고 있습니다.
이 프레임워크는 보안팀이 가설을 세우고 조사 시 클라우드 SIEM을 어떻게 가장 잘 활용할지 깊이 있게 고민하는 것을 돕습니다. 예를 들어, 위협 행위자가 인프라에 남길 수 있는 흔적을 찾아내기 위한 위협 헌팅 검색 쿼리 및 그러한 흔적 중 하나를 발견했을 때 분석가가 취해야 할 다음 단계를 지원하는 워크플로를 설계해 두었습니다.
“ADS를 활용하면 클라우드 SIEM을 사용할 때 성능 측면에 더욱 집중할 수 있게 됩니다. 무엇을 찾으려는지 미리 알고 있으면 필드 추출과 같은 작업을 최적화하고 가장 흔한 검색 패턴으로 결과를 매우 빠르게 반환하도록 하는 데 도움이 됩니다. 이를 통해 분석가는 조사 과정에 여러 계층의 추상화가 얽혀 있더라도 흐름을 유지할 수 있고, 클라우드 SIEM은 그러한 모든 지원 정보를 사전에 제공해 줍니다.”라고 브리드는 말했습니다.
인터랙티브 대시보드로 의사 결정 시간 단축
Sumo Logic의 보안 분석 및 대시보드는 HashiCorp의 방대한 클라우드 환경 전반에 걸쳐 단일 화면에서 확인 가능한 가시성을 보안팀에 제공합니다. SOC는 또한 팀의 플레이북과 일상적인 조사 수행 프로세스를 고도화하기 위해 다양한 맞춤형 대시보드를 구현했습니다.
예를 들어 분석가가 의심스러운 로그인 활동을 조사하는 경우, 사용자 ID나 시간 범위와 같은 중요한 매개변수를 대시보드에 입력하면 분석가가 ‘클릭’하여 특정 데이터를 자세히 분석할 수 있는 인터랙티브 헤드업 디스플레이가 제공됩니다.
“인터랙티브 대시보드는 보안 분석가들의 의사 결정 시간을 최소화하는 데 도움이 되는 맥락과 풍부한 정보를 제공합니다. 매개변수만 입력하면 매우 빠르게 정보를 얻을 수 있어 결정을 내리고 조치를 취하기 위해 하던 일을 멈출 필요가 없습니다.”라고 브리드는 말했습니다.
