본문 바로가기 주메뉴 바로가기

사이버홍보실

최신뉴스

[XDR·SOAR④] 차세대 보안관제 진화 돕는 SOAR

admin 2021-04-16 조회수 878
 [데이터넷] XDR과 SOAR를 함께 지원해 차세대 SOC의 요구를 만족시킨다는 주장도 있다. 대표적으로 팔로알토 네트웍스가 XDR 플랫폼 ‘코어텍스 XDR(Cortex XDR)’과 SOAR 플랫폼 ‘코어텍스 XSOAR(Cortex XSOAR)’를 제공하며 SecOps를 완성한다고 강조한다.

‘코어텍스 XDR’은 IT 및 멀티·하이브리드 클라우드 전반에서 예방, 탐지, 조사, 대응을 위한 통합된 경험을 제공하며, 완벽한 컨텍스트를 통해 공격 발견과 차단 방법을 재구상하고 운영을 간소화한다. ‘코어텍스 XDR’ 도입 사례를 분석하면 알림양 50배 감소, 조사속도 8배 향상, 44% 비용 절감 효과가 있었던 것으로 나타난다

‘코어텍스 XDR’은 타사 로그와 알림을 추가해 사일로화 된 포인트 제품 밖의 범위까지 가시서을 확장해 모든 네트워크 세그먼트 전반에서 지능적으로 의사결정을 할 수 있다. 특허받은 AI 기반 행동분석을 제공해 비정상 행위를 찾아내고, 클릭 한 번으로 모든 소스에서 알림을 분석할 수 있으며, 특허받은 분석엔진으로 수십억개의 보안 이벤트를 지속적으로 검토해 모든 위협 뒤에 숨은 인과관계를 식별하고 시각화한다. 더불어 빠르고 정확한 치료로 위협을 차단하며, 공격을 신속하게 조사해 차단할 수 있다.

‘코어텍스 XSOAR’는 모든 소스의 경보를 관리하고, 플레이북으로 프로세스를 표준화하며, 보안 사용 사례를 위한 대응을 자동하고 위협 인텔리전스 플랫폼까지 통합해 확장된 가시성과 대응 역량을 제공한다. 또 조직이 자체 축적한 인텔리전스도 적용해 해당 조직을 노리는 정교한 위협도 대응할 수 있게 한다.


SOAR의 경쟁력은 얼마나 많은 보안 솔루션과 한 몸처럼 유기적으로 연동하느냐에 달려있다. ‘코어텍스 XSOAR’는 500개 이상 공급업체와 통합할 수 있는 기능이 내장돼 있으며, 모든 비즈니스 로직을 평가에 통합할 수 있는 완벽한 통제력과 유연성을 제공한다. 이 솔루션은 개선된 머신러닝으로 탐지 정확도를 높였으며, 원격 작업자를 위해 향상된 보안 자동화 기능을 지원, 코로나19 기간 동안 원격·재택근무 해야 하는 SOC 인력을 보호했다.

‘코어텍스 XSOAR’의 가장 주목할만한 성공사례는 국내 최대 보안관제기업에 적용된 것이다. 이 기업은 하루 평균 공격 이벤트 170억건, 분석 대상 이벤트 수 2만건에 이르러 관제요원 업무 폭증으로 어려움을 겪었는데, XSOAR를 도입해 이벤트 당 분석시간 90%, 이벤트 처리 시 평균 접속 보안 솔루션을 80% 감축시켜 관제요원의 업무를 획기적으로 줄였다. 또 자체 개발한 플레이북과 자동화 프로세스, 위협 인텔리전스를 XSOAR에 통합시켜 진화하는 타깃 공격에 맞춤형으로 대응할 수 있었다.

이 회사는 XSOAR 플랫폼을 이용해 자사 보안관제 서비스를 업그레이드 하는 한편, 차세대 SOC 서비스를 고객에게 제공해 한층 효율적인 보안관제 서비스를 제공할 계획이다.

이외에도 XSOR는 전 세계 다양한 산업군의 고객에게 피싱, 보안 운영, 인시던트 경보 처리, 클라우드 보안 오케스트레이션, 취약점 관리, 위협 헌팅 등의 효과를 크게 개선시켜 호평 받았다.

AI 기반 통합·자동화·탐지 제공

포티넷은 ‘포티XDR’, ‘포티SOAR’, ‘포티AI’ 등의 탐지·대응 솔루션을 각각 출시하며 각 환경에 맞는 제품을 선택할 수 있게 했다. 포티XDR은 사고 대응 조사에 AI를 도입했으며, 포티EDR의 클라우드 내이티브 엔드포인트 플랫폼을 확장해 포티가드랩 보안 서비스를 기반으로 보안 패브릭과 위협 보호 기능을 강화한다.

이 솔루션에는 보안 분석 전문가의 역할을 하는 ‘포티AI’ 기술이 적용됐는데, 동적 제어 플로우(DCF) 엔진이 적용돼 숙련된 보안 전문가와 같은 사고 위협 유형·범위를 구분하고 최상의 대응 방법을 적용한다.

포티SOAR는 2019년 인수한 사이버스폰스(CyberSponse) 기술을 이용한 것으로, 300개 이상 보안 플랫폼과 3000개 이상 작업을 통합해 SOC 생산성을 최적화한다. MSSP를 위한 멀티 테넌시 기능을 제공해 MDR을 서비스할 수 있도록 하고 지역과 글로벌 SOC 환경에서 운영을 지원할 수 있다.

AI 전용장비 ‘포티AI’는 딥러닝을 활용해 조직의 네트워크 정보를 학습하고 최초 감염자(Patient Zero)와 후속 감염, 비정상 행위를 실시간으로 찾아낸다. 버추얼 시큐리티 애널리스트(Virtual Security Analyst)를 지원해 온프레미스에서 지능형 위협을 초 단위 속도로 탐지할 수 있도록 지원한다.

더불어 포티넷은 ‘포티SIEM’에 존폭스(ZoneFox)를 인수하면서 확보한 UEBA 기술을 탑재해 차세대 SIEM의 요건도 갖췄다. 포티넷의 모든 보안 기술은 보안 패브릭에 통합돼 유기적인 침해 탐지와 대응을 제공한다.

DDI(DNS·DHCP·IPAM) 기업 인포블록스가 SOAR 전략 강화에 도움을 준다고 주장하고 나서 주목된다. 인포블록스는 ‘모든 연결의 시작은 DDI’라는 점을 강조하며, 연결과 관련된 컨텍스트와 데이터, 가시성을 제공하는 DDI를 통해 SOAR를 향상시킬 수 있다고 설명한다.

DDI는 기존의 네트워크 토폴로지, 클라우드, IoT, SD-WAN 등 모든 연결을 지원하며, 기기 유형, 네트워크 내 기기 위치, 소유자와 감사 추적, 기기 고유 정보 등을 제공하며, 이를 실시간·자동으로 SOAR와 공유할 수 있다. DDI에서 수집한 악의적인 이벤트와 데이터 정보를 SOAR에 전송하면 SOAR가 필요한 보안 시스템으로 보내 자동으로 대응하도록 할 수 있다.

축적된 보안관제 노하우 기반 SOAR 솔루션 등장

SOAR 도입 전 준비해야 하는 조건이 까다롭기 때문에 당장 SOAR 도입 프로세스를 진행할 수 있는 조지은 많지 않다. 이는 SOC만의 문제는 아니며, 기 도입된 보안 솔루션이 표준 API를 지원하지 않고 비표준 프로토콜을 사용해 통합이 어렵다는 문제도 있다. 그간 보안관제 서비스를 제공해 온 기업들은 이러한 문제를 해결해 온 노하우가 있기 때문에 SOAR 시장에서도 경쟁력을 가질 수 있다고 강조한다.

안랩의 경우 다양한 국내 기업·기관의 관제 서비스를 제공하면서 축적한 노하우와 자동화 프로세스, 플레이북을 기반으로 SOAR 솔루션 ‘세피니티 에어(AhnLab Sefinity AIR)’를 국내대형 금융사, 제조사 등에 공급했다. ‘세피니티 에어’는 고객 환경에 맞는 플레이북 제작을 지원하며, 보안 담당자 숙련도나 경험에 관련없이 일정한 수준의 보안운영을 보장할 수 있다.

세피니티 에어는 ▲보안위협·상황별 표준화 대응 매뉴얼 및 자동화 제공 ▲주요 보안솔루션 및 업무 시스템 연동한 통합 보안 운영 ▲머신러닝 기반 분석 엔진 등의 주요 기능 등을 제공한다.

이글루시큐리티 역시 오랜 기간 축적된 보안관제 노하우를 기반으로 한 ‘스파이더 SOAR(SPiDER SOAR)’를 출시했다. 이 제품은 이글루시큐리티가 20년 이상 보안관제를 수행하면서 매뉴얼화 한 플레이북과 국내 기업·기관이 사용하고 있는 플레이북을 토대로 탐지된 공격에 자동 분석·대응한다. AI와 위협 인텔리전스를 활용해 신변종 보안위협에 기민하게 대응할 수 있으며, 상관분석과 머신러닝 기반 경보분석으로 보안 이벤트의 정·오탐 여부와 위험도를 빠르게 판별한다.

한편 이글루시큐리티는 AI 보안관제 정확도를 높이기 위해 지속적으로 알고리즘을 개선하면서 관련 기술의 특허를 획득하고 있다. 학습 데이터 품질을 개선하고, 데이터 과학자의 특징을 추출해 보안관제에 최적화된 알고리즘을 만들고 있다. 또한 ‘설명 가능한 AI’를 통해 탐지 결과의 정당성을 확보하고 탐지 정확도를 높이는 근거를 만들어 갈 계획이다.

출처 : 데이터넷(http://www.datanet.co.kr)