결과 요약
문제점
비효율적인 SIEM 솔루션을 사용하면서 크나우프의 SOC팀은 회사 성장 속도에 맞춰 확장할 수 없는 상황에 처했습니다.
1932년부터 사업을 운영해 온 크나우프의 IT 인프라는 수년에 걸쳐 확장되면서 분산된 SCADA 시스템과 생산 도구, 여러 지역 거점을 포함한 대규모 레거시 온프레미스 환경이 되었습니다. 크나우프는 확장된 환경에 대한 실시간 보안 모니터링을 위해 온프레미스에서 McAfee Enterprise Security Manager(ESM)를 SIEM 솔루션으로 운용하고 있었습니다. 그러나 McAfee 솔루션은 신뢰성이 떨어졌습니다.
크나우프의 SOC 매니저인 다비드 크로흐말(Dawid Krochmal)은 “McAfee ESM은 매우 비효율적이었습니다. 분석가는 쿼리가 실행되는 동안 커피를 마시러 가는 정도가 아니라 점심을 먹으러 갈 수 있을 정도였죠. 한 시간이 지나서야 쿼리에 오류가 있다는 것을 알게 되고, 다시 처음부터 시작해 또 한 시간을 기다려야 했습니다.”라고 설명했습니다.
솔루션
McAfee ESM은 더 이상 회사의 요구 사항을 충족하지 못하고 있었고, 동시에 크나우프는 빠르게 성장하면서 IT 환경에 대한 대대적인 전환을 추진하고자 했습니다. 목표는 기존 온프레미스 시스템에서 벗어나 크나우프의 IT 보안 및 운영을 더 효율적이고 효과적이며 원활하게 운용할 수 있는 클라우드 네이티브 아키텍처로 전환하는 것이었습니다.
크나우프는 새로운 SIEM 솔루션을 위한 클라우드 네이티브 전략을 추진하면서 열 개 벤더의 솔루션을 심층 평가한 뒤 최종적으로 Sumo Logic 클라우드 SIEM을 자사의 핵심 보안 플랫폼으로 선택했습니다.
“회사가 심각한 사이버 공격을 받았을 때, Sumo Logic의 대시보드를 통해 감염된 영역과 적절한 대응 조치에 집중할 수 있었습니다.”
—다비드 크로흐말(Dawid Krochmal), SOC 매니저
결과
배포와 사용이 쉬운 현대적인 클라우드 SIEM
SOC팀이 클라우드 SIEM으로 거둔 첫 번째 큰 성과는 조직 환경 전반을 중앙에서 한눈에 파악할 수 있게 된 점과, 600개가 넘는 기본 제공 규칙을 포함한 사용자 친화적인 기능이었습니다. 이를 통해 보안팀은 매우 손쉽게 온보딩을 진행하여 두 시간 안에 사용을 시작할 수 있었습니다.
“Sumo Logic은 매우 사용자 친화적입니다. 도움이 되는 지원팀, 기본 제공 규칙, ‘클릭 앤 고’ 방식의 통합 기능 덕분에 큰 수고를 덜 수 있었습니다. 몇 시간 안에 규칙을 실제로 적용해 사용할 수 있었고, 이후 이틀에서 사흘에 걸쳐 이를 튜닝했습니다. 그 뒤에는 문제없이 운영이 가능했습니다.”라고 크로흐말은 말했습니다.
위협 조사 관리를 위한 가치 있는 인사이트
클라우드 SIEM은 위협 조사를 처리하는 데 있어 SOC팀의 역량을 크게 향상시켜 주었습니다. 클라우드 네이티브 아키텍처를 바탕으로 이제 팀은 로그 인제스천을 위한 디스크 공간이나 검색 결과를 얻기까지 지연되는 시간에 대해 더 이상 걱정할 필요가 없습니다. 클라우드 SIEM의 고급 분석 기능을 통해 크나우프는 수백만 개에 달하는 위협 신호를 정제하여 SOC팀이 집중해야 할 핵심 인사이트로 전환합니다.
사이버 공격은 곧바로 클라우드 SIEM이 의미 있는 인사이트를 제공할 수 있는지를 시험했습니다. “회사에 심각한 사이버 공격이 발생했는데, Sumo Logic의 대시보드 덕분에 감염된 부분과 적절한 대응 조치에 집중할 수 있었습니다.”라고 크로흐말은 말하며, “클라우드 SIEM에서 특히 마음에 드는 점은 화면에 표시되는 내용입니다. 멋진 레이더와 빨간 점들이 조사 작업의 방향을 잡는 데 도움을 줍니다.”라고 덧붙였습니다.
새로운 사용 사례를 지원하는 유연성
강력한 SIEM 기반을 확보한 지금, 크나우프의 SOC는 Sumo Logic 플랫폼을 활용해 새로운 사용 사례를 추진할 준비가 되어 있습니다. 다음 단계로 더 일반적이고 대응이 쉬운 워크플로에 대해 인시던트 대응 조치를 자동화하여 시정 조치를 신속하게 수행하고 회사의 보안 태세를 한층 향상시킬 계획입니다.
또한 클라우드 SIEM을 활용해 선제적인 위협 헌팅과 위협 인텔리전스를 도입하고 모든 보안 관행을 통합해 사이버 융합을 구현하려고 합니다. 사기 탐지와 취약점 관리를 포함한 사이버 융합 기능을 추가함으로써 팀 간 기능의 경계를 허물고 협업을 촉진하여 잠재적 위협에 대응하기 위한 통합된 접근 방식을 크나우프에 제공하게 될 것입니다.
