정보관리기술/정보보안

SOAR

아이티신비 2024. 1. 31. 10:00

문제6) SOAR(SOAR)의 개념 및 등장 배경, 구성 요소, 주요 기능, 기대효과, 도입 시 고려사항에 대하여 설명하시오

 

답)

 

 

1. SOC(Security Operation Center)업무의 자동화, SOAR의 개요

가. SOAR(Security Orchestration, Automation and Response)의 개념

  • 다양한 사이버위협에 대해 대응수준을 자동으로 분류하고 표준화된 업무 프로세스에 따라 보안업무 담당자와 솔루션이 유기적으로 협력할 수 있도록 지원하는 새로운 보안 플랫폼

 

나. SOAR(Security Orchestration, Automation and Response)의 개념

 
사이버 공격의 진화
  • 랜섬웨어, APT 등 사이버 공격의 진화 및 고도화
  • 클라우드, IoT 등 기업의 도입 IT 시스템 증가로 범위 확대, 공격대상 급증
기존 보안관제 한계
  • 다양한 이기종 보안장비로부터 보안 데이터 수집으로 분석에 한계
  • 탐지된 이벤트를 분석하고 원인과 대응책을 마련하는데 많은 시간 소요

 

2. SOAR의 아키텍처와 주요 기능

가. SOAR의 아키텍처

아키텍처
설명
  • SOA(Security Orchestration and Automation)보안조직이 보유한 여러 개의 Workfolw 관리
  • SIRP(Security Incident Response Platform)SIEM 에서 탐지된 위협대응을 자동화하도록 지원
  • TIP(Threat Intelligence Platform) 위협 인텔리전스 중 관련 데이터를 찾아 자동분석하여 환경에 맞는 최적의 대응 솔루션 제시
  • SOAR 는 SOA, SIRP, TIP 3가지 플랫폼의 조합으로 구성됨

 

나. SOAR의 주요기능

구분
기능
설명
Orchestration
  • 보안솔루션 연동 기능
  • 다양한 보안솔루션의 연동, 탐지된 이벤트 자동 분석
  • 하나의 화면에서 현재의 보안상황 확인 및 운영
  • 가시성 제공
  • 대시보드 제공
  • 특정 액션의 자동화, 사이버킬제인 적용, 대응절차 시각화
Automation
  • 업무 자동화 및 집중도 향상
  • 단순 반복되던 업무는 자동화하여 편의성 제공
  • 보안담당자는 분석 및 공격시나리오 설계 등 가치 높은 업무에 집중하도록 환경 제공
  • 동적 플레이북 제공
  • 사전 정의된 플레이북으로 일관된 프로세스로 작업을 처리하여 품질 편차 최소화
  • 작업 및 스크립트
  • 위크플로우에서 스크립트 기능을 추가해 플랫폼ㅁ 기능 자동화 운영
Response
  • 사고대응 및 협업
  • 사고대응 내역과 대응방식 등 의사결정에 대한 기록관리
  • SOC 관리자 간 협업체계 지원
  • 리포팅
  • 사고 대응에 대한 지표 관리로 의사결정 지원
  • SOAR 도입 시 다양한 보안업무에 활용은 가능하나 환경분석 등 다양한 측면을 고려한 후 도입 필요

 

3. SOAR 도입 시 고려사항

고려사항
설명
업무프로세스의
명확한 정의
  • 정해진 업무프로세스에 대한 오케스트레이션 제품이므로 존재하지 않는 업무프로세스 처리 불가
  • 세부적인 업무 프로세스까지 정의하여 SOAR 도입 후 적용
자동화 RISK 고려
  • 모든 업무의 자동화 적용은 불가하여 최종 판단은 보안전문인력이 수행
  • 연계하는 다양한 보안시스템들의 API 기능 오류 등의 예상 못한 오작동을 고려하여 자동화 설계
도입 후 운영방식
충분한 사전준비
  • 기업의 업무프로세스의 지속적인 변화로 SOAR 도입 후 지속적인 유지관리 필요
  • 연계된 보안솔루션 제품 또는 기능 변경 시 API 수정 개발 필요
  • 국내에서는 안랩이 Sefinity AIR 라는 자체 개발 솔루션으로 가장 먼저 선보였으며, 해외는 IBM 리질리언트, 팔로알토의 데미스토 술루션을 출시함

 

4. SOAR 적용 시 기대효과 및 고려사항

구분
세부
설명
기대효과
전사적 관점
  • 다양한 보안 기술 통합 관리 및 운영 통한 보안 스택의 ROI 향상
  • 개인 정보 침해 규제, 의무 이행 복잡성 제거 통한 정보 대응 관리 최소화
실무 관점
  • 3rd 보안 솔루션 연동 통한 위협 정보 분석, 정형화 사고 자동 대응
  • 히스토리 통합 관리를 통해 향후 유사 공격에 대한 대응력 확보 가능
관리자 관점
  • 조직 내 전체 보안 사고에 대한 과거/현재 사고 대응 현황 파악, 관리
  • 보고 시스템 일원화 통한 사고 발생 시 혼란 감소, 타 부서 협업 환경 구축
고려사항
조직 관점
  • 보안 사고 발생 시 조치 및 대응 방안에 대한 사고 대응 프로세스 정의
  • 사고 대응 프로세스 분석을 통한 자동화 기능 영역 확인
업체 선정
  • 유 연성 : 사고 대응 플랫폼에서 다양한 사고 유형에 대한 대응 가능성
  • 가시성 : 보안 사고 발생 시 법무팀, 임원진 공유 가능 여부
  • 통합성 : 기존 보안 IT 툴과 통합 운영 가능 여부 및 편의성 확인
  • 민감 정보 보호 : 개인 정보 보호 규정 및 침해 통보 기능 포함 여부

 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥

 

'정보관리기술 > 정보보안' 카테고리의 다른 글

클라우드 보안  (26) 2024.01.31
전자서명법  (1) 2024.01.31
접근제어, LDAP  (54) 2024.01.31
정보보호 관리 체계(Information Security Management System)  (1) 2024.01.31
ISO/IEC 27017  (13) 2024.01.30

'정보관리기술/정보보안'의 다른글

  • 현재글SOAR

관련글

티스토리툴바