SOAR 가이드

SOAR란 무엇인가요?

SOAR(보안, 오케스트레이션, 자동화 및 대응)은 조직이 위협 및 취약점 관리, 사고 대응, 보안 운영 자동화 등 다양한 영역에서 보안 운영을 간소화할 수 있게 해주는 소프트웨어를 말합니다.

SOAR는 무엇을 의미하나요?

SOAR 다음의 세 가지 핵심 기능이 특징입니다.

1. 보안 오케스트레이션: 보안 도구를 연결하고 서로 다른 보안 시스템을 통합합니다.
2. 보안 자동화: 보안 정보 및 이벤트 관리(SIEM)에서 새로운 경고 알림, 위반 및 검색 결과를 조회하거나 위협 인텔리전스에서 침해 지표(IoC)를 검색하는 등 보안 운영 관련 작업을 사람의 개입 없이 수행합니다.
3. 보안 대응: 조직이 사이버 공격과 데이터 침해의 영향을 방지하거나 완화할 수 있도록 하는 구조화된 다단계 프로세스입니다.

SOAR 시스템은 어떤 용도로 사용되나요?

SOAR 플랫폼과 솔루션은 로그 파일, 애플리케이션 메트릭, 클라우드 모니터링 서비스 등 다양한 소스에서 데이터를 수집한 다음 해당 데이터를 분석하여 침해 징후가 될 수 있는 이상 징후를 탐지하는 방식으로 작동합니다. 그런 다음 SOAR는 팀이 식별된 위협에 대한 대응 전략을 계획하고 실행할 수 있도록 지원하며, 자동화를 통해 위협 탐지와 해결 속도를 향상시킵니다.

Sumo Logic의 설문에 따르면, 보안 전문가의 57%는 시간이 많이 걸리는 작업을 자동화하는 것이 SOAR 솔루션의 가장 중요한 기능이라고 답했습니다.

효과적인 SOAR 솔루션을 사용하면 가장 중요한 순간에는 사람이 의사 결정을 할 수 있도록 하면서도 더 짧은 시간 안에 더 많은 성과를 달성할 수 있습니다. SOAR는 팀이 포인트 투 포인트 통합에 의존하는 단계를 넘어서도록 지원합니다. 대신 SOAR 도구는 목표를 달성하기 위해 적합한 인력과 기술을 연결하는 다양한 프로세스를 구축합니다.

종합적으로 SOAR는 현대 비즈니스에 엔드투엔드 보안 솔루션을 제공합니다.

SOAR 솔루션을 어떻게 구현하나요?

SOAR 도구 오케스트레이션 기능을 성공적으로 구현하기 위한 핵심 요소는 가장 많이 사용되는 기술에 대한 플러그인 라이브러리와 일반적인 사용 사례에 대한 사전 구축된 워크플로 세트를 보유하는 것입니다.

일반적으로 이러한 워크플로는 업계 표준 및 최신 모범 사례를 기반으로 사용자 지정 가능한 플레이북 또는 런북 형태로 제공됩니다. 이들은 피싱부터 무차별 대입 공격, 랜섬웨어 공격에 이르기까지 광범위한 시나리오를 다룹니다. 또한 플레이북은 사고 대응 라이프사이클의 상당 부분을 자동화할 수 있게 해준다는 점에서도 중요합니다.

도난된 자격 증명 플레이북 중 이뤄지는 강화 프로세스의 예시입니다.

다양한 플러그인나 통합 기능과 사전 구축된 플레이북을 통해 팀은 기술 스택을 쉽게 연결하고 보안 및 IT 프로세스를 자동화할 수 있습니다. 팀에 맞게 오케스트레이션이나 워크플로를 추가로 구축해야 할 수도 있지만, 미리 마련된 예제와 사용하기 쉬운 빌딩 블록을 활용하면 구현 속도를 높일 수 있습니다.

SOAR 채택 증가 추세

SOAR라는 용어는 2017년가트너에서 만든 용어입니다. 분석가들에 따르면, SOAR 채택은 세 가지 주요 요인으로 인해 빠르게 증가하고 있다고 합니다.

사이버 보안 위협의 복잡성 증가

공격자가 자신의 활동을 감추기 위해 고안된 기법을 채택함에 따라 보안 위협은 점점 더 복잡해지고 있습니다. 예를 들어, 공격자는 가상 머신을 사용하여 공격을 실행할 수 있는데, 이 경우 공격이 이미 발생한 후에야 표적이 된 머신의 메트릭이 변경되기 때문에 공격을 탐지하기 훨씬 어렵습니다. 다른 시나리오에서는 멀웨어가 시스템의 보안 프로세스를 능동적으로 종료하여 기존 보안 도구가 멀웨어의 존재를 탐지하지 못하도록 할 수 있습니다.

위협이 점점 더 복잡해짐에 따라 SOAR는 더 심층적이고 포괄적인 보안 분석을 제공하여 위협을 더 빠르게 진단하고 해결하도록 지원합니다. SOAR 솔루션을 사용하면 기업은 더 많은 데이터를 자동으로 수집하고 집중적으로 분석하여 위협을 식별하고 조사 속도를 높일 수 있습니다.

>> 자세히 알아보기- SOAR 솔루션이 압도적인 게임체인저인 이유

사이버 보안 위협 및 경고 알림의 규모 증가

위협은 점점 더 복잡해지는 동시에 그 확산 범위 또한 더욱 넓어지고 있습니다. 2021년 은 사이버 공격의 범위와 빈도 면에서 기록적인 해였고, 2023년 역시 같은 수준으로 치닫고 있음이 분명합니다.

그 결과 보안팀은 그 어느 때보다 더 많은 경고 알림에 대응해야 합니다. 이른바 경고 알림 피로 는 보안팀이 겪는 가장 고질적인 문제 중 하나입니다. 보안팀은 방대한 양의 경고 알림을 처리하면서 오탐과 미탐을 구분하고 우선적으로 다뤄야 할 경고 알림을 판단하는 데 어려움을 겪습니다.

Sumo Logic이 보안 전문가를 대상으로 실시한 설문조사에서 오탐과 알림 경고 피로가 문제로 지적되었습니다.

SOAR는 다양한 도구에서 수집한 보안 위협 정보를 맥락화하여 실행 가능한 형태로 제공함으로써 이러한 문제를 해결합니다. SOAR는 단순히 위험을 식별하는 데 그치지 않고 위협 수준에 따라 이를 분류합니다. 많은 경우 SOAR은 팀이 위협에 가장 효율적으로 대응할 수 있는 방법에 대한 지침을 제공합니다. 또한 앞서 언급했듯이 SOAR는 기존 보안 도구를 오케스트레이션하여 일부 시나리오에서는 특정 위협을 자동으로 해결할 수 있습니다.

사이버 보안 인력 부족

현대의 위협 규모를 감당하기 어려운 이유는 이에 대응할 수 있는 숙련된 엔지니어 인력이 부족하기 때문입니다.

2022년 기준, 미국 내 미충원 사이버 보안 일자리는 43만 5천 개로, 2019년 314,000개에서 증가했습니다. 이러한 ‘기술 인력 부족 현상‘은 개선되기보다는 더 악화될 것으로 보입니다.

소규모 사이버 보안팀도 SOAR 도구를 사용하여 위협에 대응할 수 있습니다. SOAR는 복잡한 보안 워크플로우를 자동화하는 동시에 모든 필수 이해관계자가 보안 대응 활동을 조율할 수 있도록 지원합니다.

>> SOAR 솔루션용 GigaOM 레이더 보고서 읽기

SOAR과 SIEM의 차이점

SOAR는 때때로 SIEM과 비교되곤 합니다. 일반적으로 SIEM 플랫폼은 다음과 같은 기능을 수행합니다.

• 방화벽, 데이터베이스, 서버, 애플리케이션, 네트워크 어플라이언스, 침입 탐지 시스템(IDS)과 같은 특정 IT 환경에서 로그를 수집 및 집계
• 로그 감사 수행
• 실시간 경고 알림 분석 수행
• 규정 준수 보고서 생성

조직에서 SOAR를 SIEM으로 대체할 수 있나요?

지금까지 조직은 위협 탐지를 위해 SIEM에 의존해 왔지만, 그 기능은 대개 그 수준에 머뭅니다.

이와 달리 위협 인텔리전스를 실행 가능한 형태로 만들기 위해 보안 대응을 오케스트레이션합니다. SOAR를 사용하면 타사 엔드포인트 보안 제공업체, 외부 위협 인텔리전스 피드, 기타 외부 도구 등 서로 다른 기술을 조정하여 함께 작동하도록 할 수 있습니다.

많은 기업이 보다 완벽한 위협 관리 솔루션을 위해 SOAR와 SIEM을 함께 활용합니다.

SOAR 솔루션의 주요 이점

워크플로 구축 및 운영 간소화를 지원하는 SOAR

SOAR를 도입함으로써 기업은 다른 유형의 보안 도구로는 얻을 수 없는 다양한 이점을 누릴 수 있습니다.

간소화된 보안 대응 및 자동화

SOAR는 모든 이해관계자가 보안 위협 관련 모든 데이터를 사용할 수 있도록 하고, 대응 활동을 조율함으로써 위협에 대한 추정이나 임시 대응 방식을 취할 필요가 없도록 합니다.

결과적으로 SOAR는 위협 억제 및 해결에 소요되는 시간을 최소화할 수 있도록 지원하며, 이는 활성 침해로 인해 분당 수백만 달러의 비용이 발생할 수 있다는 점을 고려할 때 매우 중요합니다.

향상된 경고 알림 관리 기능을 제공하여 SOC 팀을 지원하는 SOAR

SOAR는 SOC 팀이 보안 알림을 더 잘 이해하여 전반적인 보안 태세를 강화할 수 있도록 도와줍니다. SOAR를 사용하면 수동 조사를 하지 않고도 어떤 시스템이 위협의 영향을 받았는지 즉시 확인하고 사이버 위협의 심각도를 파악할 수 있습니다. 또한 SOAR를 사용하면 오탐 가능성이 있는 경고 알림을 더 쉽게 식별할 수 있습니다.

Sumo Logic Cloud SOAR는 경고 알림 조사에 대해 사전 예방적 접근 방식을 취합니다.

일반적으로 레거시 SIEM에서 보안 분석가는 방대한 양의 경고 알림을 처리해야 하므로 경고 알림 분류 작업의 업무 부담이 큽니다. 들어오는 데이터를 선별하여 실제 경고 알림과 허위 경고 알림을 구분하고, 경고 알림의 우선 순위를 정하며, 이를 인시던트로 전환하고, 최적의 사고 대응 방안을 마련하고, 사고 대응 활동을 조율하는 작업은 엄청난 시간이 소요됩니다. 또한 보안 분석가가 아무리 세심히 일하더라도 발생할 수 있으며, 이로 인해 위협을 탐지하지 못하여 조직에 피해를 줄 수 있습니다.

SOAR 자동화

SOAR 플랫폼의 근본적인 장점 중 하나는 분류 프로세스를 자동화하고 오케스트레이션한다는 점입니다. SOAR는 엑사바이트급 데이터를 자동으로 처리하고, 다양한 도구 스택을 사용하며, 다양한 프로세스를 통합하여 의사 결정의 정확도를 높이고, 경보 조사, 보강 및 위협 탐지를 수행할 수 있습니다. 특히 머신러닝 엔진이 SOAR를 구동하는 경우, SOAR는 사람보다 훨씬 빠르고 효율적으로 분류 작업을 수행합니다. SOAR 자동화의 이점은 다음과 같습니다.

• 허위 경고 알림 및 불필요한 경보 최소화
• 대응 시간 단축
• MTTR(평균 해결 시간) 단축
• 플레이북을 통한 보안 사고 대응 간소화
• 보안 운영 효율성 향상

이러한 방식으로 SOAR를 사용하면 보다 효율적으로 경고 알림을 관리할 수 있습니다. SOAR을 도입한 팀은 보안 알림이 들어올 때마다 개별적으로 처리하는 대신, 각 경고 알림의 심각도와 영향을 받는 리소스의 범위에 따라 선제적이고 전략적으로 대응할 수 있습니다.

서로 다른 도구 세트를 통합할 수 있는 SOAR

SOAR는 기존 보안 도구를 대체하지 않지만, 보안 관련 데이터를 수집, 분석, 대응하기 위한 중앙 집중식 플랫폼 역할을 수함으로써 보안 도구를 통합할 수 있도록 지원합니다.

보안 전문가의 32%는 단일 보안 사고에 대응하기 위해 6~10개의 도구가 필요하다고 응답했습니다. SOAR는 커넥터 역할 수행하며, 단일 플랫폼을 중심으로 보안 운영을 중앙 중앙화할 수 있도록 지원합니다.

SOAR가 없다면 보안 위협에 대응하기 위해 로그 애그리게이터, 메트릭 수집 서비스, SIEM, 위협 인텔리전스, 방화벽, IDS, IPS, EDR, IT 서비스, 티켓팅 시스템, IAM, 분석 및 모니터링, 샌드박스, XDR, 이메일 및 웹 게이트웨이, 프록시, URL 필터링, 취약성 관리, IoT 모니터링, CASB, OT 보안 도구 등 다양한 도구를 동시에 다뤄야할 것입니다. SOAR는 이러한 모든 도구의 공통 커넥터 역할을 하므로 단일 플랫폼에서 중앙집중식 보안 운영이 가능하게 합니다.

SOAR 시스템을 통한 비용 절감

궁극적으로 SOAR는 두 가지 방식으로 비용을 절감할 수 있습니다.

첫째, SOAR는 엔지니어가 보안 위협을 수작업으로 식별하고 대응하는 데 소요되는 시간을 줄여줍니다. 이는 인건비 절감으로 이어집니다.

둘째, SOAR는 침해 사고를 억제하고 해결하는 데 소요되는 시간을 단축함으로써 사이버 보안 사고로 인한 재정적 피해를 최소화하는 데 도움을 줄 수 있습니다. 또한 SOAR 플랫폼은 보안 침해 시 노출되는 데이터 양을 줄여 기업의 평판을 보호하고 규제 위반 벌금을 피할 수 있도록 돕습니다. 사이버 공격에 대한 책임이 오직 보안팀에게 있다는 인식이 일반적이지만 이는 사실이 아닙니다. 사이버 보안 인식은 개선의 여지가 있습니다. 사이버 보안을 고려하지 않은 채 프로젝트를 개발하는 모든 부서는 회사 전체를 위험에 빠뜨립니다.

보안팀 간 유연성, 확장성, 협업 증대

보안팀이 SOAR의 주요 사용자라 하더라도, 보안 분석가 혼자서 문제를 해결하는 경우는 거의 없습니다. 조직에서 여러 팀이 함께 사용해야 하는 기술을 쓰지만, 다양한 부분들이 항상 통합되어 있지는 않습니다. 예를 들어 위협의 근본 원인이 코드 취약점인 경우 개발자와 협력하여 이를 수정해야 합니다. 애플리케이션 또는 클라우드 서비스의 구성 문제라면 IT 엔지니어의 도움이 필요합니다. SOAR를 사용하면 개발자, IT 엔지니어 및 프로세스에 참여해야 하는 기타 부서가 즉시 협업하여 모든 단계와 관련 시간을 추적하여 신속하고 효과적인 대응을 수행할 수 있습니다.

최상의 SOAR 솔루션 선택

SOAR를 처음 사용하든, 현재 사용 중인 SOAR 공급업체를 교체하든, 보안 운영팀의 요구 사항과 맞는 적합한 SOAR 솔루션을 선택하는 것이 중요합니다. SOAR는 보안 운영 센터(SOC)에 상당한 영향을 미칠 수 있으므로 최적의 SOAR 솔루션을 선택하기 위해 사용 가능한 옵션을 이해하는 것이 중요합니다. 워크플로를 조정하든, 통합 기능을 생성 및 관리하든, 완전히 새로운 프로세스를 구축하든, SOAR 솔루션과 공급업체를 비교하는 방법을 이해하는 것이 중요합니다. 최적의 SOAR 솔루션을 찾기 위한 기준은 다음과 같습니다.

• 양방향 통합을 손쉽고 유연하게 구축할 수 있습니다.
• Syslog, 데이터베이스 연결, API, 이메일, 온라인 양식 등 일반적인 데이터 수집 방법과 CEF, OpenIOC, STIX/TAXII와 같은 데이터 표준을 지원합니다.
• 프로그래밍 지식 없이도 표준 운영 절차(SOP)를 정의할 수 있도록 플레이북에 작업을 추가하여 워크플로우를 쉽게 구축할 수 있습니다.
• 사례 추적, 사고 과정에서 취한 조치 기록, 중요 메트릭 및 KPI 보고 등 사고 대응 전 단계 대응 및 라이프사이클을 관리하기 위한 추가 기능이 포함되어 있습니다.
• 다양한 종류의 위협 인텔리전스를 오케스트레이션하고 자동화합니다.
• 단일 호스트 내에서 다중 인스턴스를 지원하고, 각 테넌트의 정보에 대한 정확한 데이터 분리 및 액세스 제어를 제공합니다.

기업들이 Sumo Logic Cloud SOAR를 선택하는 이유

SOAR라는 이름의 솔루션을 제공하는 다양한 공급업체가 있습니다. SOAR 시장에 대한 가이드를 확인하려면 당사의 SOAR 구매자 가이드를 참조하세요. 대부분의 솔루션은 기본 SOAR 기능이 일부 추가된 SIEM 플랫폼에 불과합니다. 특정 환경이나 특정 유형의 인프라에서만 작동하는 SOAR 솔루션도 있습니다.

Sumo Logic Cloud SOAR는 프라이빗 클라우드, 단일 클라우드, 멀티 클라우드 또는 하이브리드 클라우드 등 어떤 클라우드 환경에서도 완전한 SOAR 기능을 제공하도록 처음부터 설계되었습니다. 다음은 Sumo Logic Cloud SOAR와의 비교를 요약한 차트입니다.

액션	Sumo Logic 도입 전	Sumo Logic 도입 후
인시던트 할당	인시던트는 여러 도구에서 수작업으로 수집한 정보를 바탕으로 티켓팅 시스템을 통해 할당됩니다. 그렇게 수집된 정보에 대한 결과 분석은 간단하지 않습니다.	Sumo Logic Cloud SOAR는 실제 위협이 탐지된 경우에만 자동으로 인시던트를 생성하고, 이를 특정 분석가 또는 분석가 그룹에 할당합니다. 사례 관리자의 인시던트는 모든 필수 정보로 보강되어 SOC 팀이 즉각적이고 투명하게 협업할 수 있도록 하며 더 나은 사례 관리가 가능하게 합니다.
플레이북 활성화	SOC 팀이 문서화된 인시던트 대응 절차를 보유하고 있다면, 여러 도구 인터페이스를 관리함으로써 그 절차를 따라야 합니다. 이러한 절차가 미리 마련되어 있지 않으면, 분석가는 종종 자신의 경험과 역량을 바탕으로 즉흥적으로 대응합니다.	Sumo Logic Cloud SOAR는 경보 유형에 따라 자동으로 플레이북 권장안을 생성합니다. 이를 통해 보안 분석가는 특정 상황에 맞는 올바른 표준 운영 절차와 작업을 활성화할 수 있습니다. 또한, 이를 통해 SOC 팀은 대응 역량을 확장하고 대응 시간을 단축할 수 있습니다.
표준 운영 절차 작업 관리	SOC 팀은 개별 도구의 다양한 기능을 관리하고 서면 지침(있는 경우)을 따라야 합니다.	Sumo Logic Cloud SOAR는 SOC 팀의 전체 보안 스택을 오케스트레이션하고 점진적인 자동화를 통해 시간이 많이 소요되는 작업을 자동화합니다. 이를 통해 사용자는 표준 응답 프로세스를 자동화하는 방법을 결정할 수 있습니다.
보고서 생성	분석가가 모든 관련 정보를 수집하고 보고서를 수작업으로 작성해야 합니다.	Sumo Logic Cloud SOAR는 SOC 팀을 위한 상세한 인시던트 보고서를 자동으로 생성합니다.

캘리포니아 대학교 데이비스(UC Davis)에서 Cloud SOAR로 위협 대응 속도를 높인 방법

연구자, 학생, 교수진, 교직원을 위한 UC Davis 시스템은 초당 10,000개의 이벤트를 생성합니다. 보안 문제에 더해, UC Davis는 개방형 액세스 정책으로 운영되며 캠퍼스 전체에 걸쳐 연합 IT 거버넌스 모델을 적용하고 있습니다.

SOC 팀은 보안 운영의 일부 프로세스를 자동화하기 위해 학생이 개발한 Python 스크립트로 지원되는 API 중심 스크립팅 모델을 개발했지만, 여전히 일부 보안 공백이 존재합니다. UC Davis는 하이브리드 클라우드 아키텍처를 통해 위협 대응 속도를 높이고 SOC 효율성을 높이기 위해 Sumo Logic Cloud SOAR를 사용합니다.

Cloud SOAR의 개방형 통합 프레임워크는 SOC의 기존 Python 스크립트와 호환되므로 팀이 새로운 통합을 구축하지 않아도 됩니다. Cloud SOAR는 SOC 워크플로우에서 누락된 부분을 제공하여 기존에 사용하는 모든 기술과 통합될 뿐만 아니라 보안 요구 사항까지 충족시킵니다.

Cloud SOAR를 통해 UC Davis는 연구 활동을 지원하고 잠재적인 공격으로부터 스스로를 보호하기 위한 보안 정책과 절차를 확보합니다.

Cloud SOAR 체험하기

Sumo Logic Cloud SOAR는 처리해야 하는 경보의 수, SOAR에 연결해야 하는 다른 보안 도구, 마주하게 되는 보안 위협 유형에 관계없이 보안팀이 효율적이고 선제적으로 작업할 수 있게 합니다.

Sumo Logic Cloud SOAR는 개방형 통합 프레임워크를 사용하여 배포된 환경 내에서 용이하게 결합되고 SIEM을 비롯한 다양한 보안 기술과도 원활하게 통합됩니다. 여러 대시보드를 전환하는 대신, Cloud SOAR는 인시던트의 식별부터 문제 해결까지 상세한 사례 정보를 단일 대시보드에서 다룹니다. 이를 통해 보안팀은 완전한 가시성을 확보하여 사고 대응 프로세스를 구축하고 유지 관리하며 Cloud SOAR와 Cloud SIEM을 조화롭게 활용할 수 있습니다.

Cloud SOAR가 인프라의 핵심 구성 요소로 얼마나 빠르게 자리잡을 수 있는지 알아보려면 Sumo Logic Cloud SOAR 데모를 요청하세요.