"보안, 사고 대응에 초점을 맞춘다" SOAR의 효과와 도입 선택 기준, 한국IBM 보안사업부 김승준 실장 (요약)

최근 SOC가 고민하고 있는 현안

- 보안 사고유형 별 표준화된 대응 프로세스 부재
- 업무에 대한 성과관리 어려움
- 사고 대응 업무에 대한 데이터 공유 어려움
- 보안 사고 대응 시 외부 및 내부 협업 프로세스 부재
- 보안 인력 확보의 어려움과 인력 부재 시 업무 처리에 대한 이슈 발생(지연 또는 단절)

- 복잡한 컴플라이언스 대응의 어려움

조직의 57%가 사이버 공격을 확인하고 대응하기까지 걸리는 시간이 증가하고 있으며, 60%가 넘는 조직이 보안 사고의 피해와 심각성이 점점 더 커지고 있다고 우려 - ‘2019년 기업 사이버공격 대응 실태’ 보고서 -

 

SOAR란

다양한 보안위협에 대한 대응 프로세스를 자동화해 낮은 수준의 보안 이벤트는 사람의 도움없이 처리하고, 보안 사고 발생시 표준화된 업무 프로세스에 따라 직원이 쉽게 대응할 수 있게 도와주는 협업 솔루션으로,

보안 오케스트 레이션 및 자동화(Security Orchestration and Automation, SOA), 보안사고 대응 플랫폼(Security Incident Response Platform, SIRP), 위협 인텔리 전스 플랫폼(Threat Intelligence Platform, TIP)의 세 가지 보안대응 영역 제공

 

IBM, 리질리언트 SOAR 플랫폼(Resilient SOAR Platform)

현재 SOAR 분야에서 30개국 300곳 이상의 고객을 보유하고 있는 IBM Resilient는 OODA(Observe, Orient, Decide, and Act) 루프 방법론을 기반으로, 100가지가 넘는 보안 툴과 통합할 수 있어 기존 보안 환경과 사고대응 프로세스를 연결하는 중앙 허브를 형성하며, 이를 통해 침해사고대응 프로세스를 좀 더 빠르고 정확하게 처리할 수 있는 환경제공

 

SOAR를 도입하기 전 확인할 주요 사항

- 사람, 기술 그리고 프로세스를 통합해 다양한 사고 유형에 대한 유연한 대응이 가능한가

- 자동화를 통해 좀 더 신속하고 효과적인 사고 대응을 지원하는가

- 사고 대응 플랫폼의 효과를 추적하고 측정할 수 있는 시스템을 제공하는가

- 침해사고 법무팀, HR, 마케팅 또는 임원진 등과 업무공유 시스템이 있는가

- 팀에서 사람의 개입이 필요한 업무와 자동화를 결합한 사고 대응 워크플로우를 구축할 수 있는가

- 상황에 맞는 관련 위협 인텔리전스를 활용하는가
- 플랫폼에 개인정보보호 규정 및 데이터 침해 통보 워크플로우가 포함되어 있는가

 

※ 원문: "보안, 사고 대응에 초점을 맞춘다" SOAR의 효과와 도입 선택 기준