조직에 보안 오케스트레이션이 필요한 이유
기업 환경은 점점 더 복잡해지고 있습니다. 이제 조직은 온프레미스 데이터 센터와 클라우드 기반 배포에 다양한 시스템이 흩어져 있습니다. 원격 근무의 증가는 직원들이 개인 및 모바일 디바이스로 작업함에 따라 문제를 더욱 복잡하게 만듭니다.
최신 엔터프라이즈 환경을 보호하려면 광범위한 공격 벡터로부터 여러 플랫폼을 방어할 수 있는 보안 솔루션이 필요합니다. 대부분의 경우 조직은 특정 사용 사례를 해결하기 위해 독립형 보안 솔루션을 배포하기로 선택했습니다.
이 접근 방식의 문제점은 보안 팀이 보안 경고의 홍수에 압도되어 복잡한 사이버 보안 아키텍처를 효과적으로 관리하고 모니터링하는 데 어려움을 겪는다는 것입니다. 보안 오케스트레이션은 위협 탐지 및 대응을 간소화하고 자동화하여 이 문제를 해결하는 데 도움이 됩니다.
SOAR vs. 보안 정보 및 이벤트 관리(SIEM) vs. XDR
일반적인 보안 운영 센터에서 사용되는 다양한 도구 중 사용되는 세 가지 주요 도구는 레거시 보안 정보 및 이벤트 관리(SIEM) 및 SOAR와 최근 유행하는 XDR 도구입니다.
보안 정보 및 이벤트 관리( 보안 정보 및 이벤트 관리 (SIEM)) 도구는 다양한 소스의 데이터를 결합하고 분석을 사용하여 가장 가능성이 높은 위협을 탐지합니다.
SOAR 솔루션은 정기적으로 다양한 공급업체의 많은 모듈을 통합하도록 구축되었습니다. 이를 통해 기업은 공격 관리, 대응 및 보안 운영 자동화와 같은 몇 가지 영역에서 보안 운영을 합리화할 수 있습니다.
XDR(Extended Detection and Response ) 도구는 게이트웨이, 엔드포인트, 클라우드, 모바일 및 IoT를 포함한 기업의 전체 조직에 대한 보안 가시성을 동화하여 지능형 및 분산 위협을 식별하고, 데이터 분석 및 위협 인텔리전스를 활용하고, 인식된 공격에 자동으로 대응합니다. XDR은 분석가가 인시던트 심사, 조사 및 신속한 수정을 지원할 수 있는 컨텍스트와 흐름을 만듭니다.
Where 보안 정보 및 이벤트 관리(SIEM) Falls Short
SIEM은 다양한 이점에도 불구하고 보안 운영 센터 (SOC) 분석가가 직면한 문제에 대한 이상적인 솔루션은 아닙니다. SIEM의 가장 두드러진 한계 중 일부는 보안 정보 및 이벤트 관리(SIEM) 솔루션을 구성하고 현재 보안 아키텍처와 통합하는 데 많은 시간을 소비하는 것입니다. 위협 탐지 기능은 주로 규칙 기반이며, 새로운 공격이 누락되거나 설정된 패턴을 따르지 않는 공격이 누락됩니다. 또한 경고는 조직 전체의 다양한 솔루션에서 집계된 데이터를 기반으로 생성됩니다. 그러나 유효성 검사가 수행되지 않아 가양성 검색이 생성됩니다.
보안 정보 및 이벤트 관리(SIEM)의 주요 단점은 완전한 "공격 스토리"를 만들고 분석가에게 실행 가능한 방식으로 시각화할 수 있는 기능이 부족하다는 것입니다. 대신, 로그는 상관 관계가 있을 뿐이므로 분석가는 이벤트가 상관 관계가 있는 이유와 무슨 일이 발생했는지 결정해야 합니다.
SOAR의 이점과 한계
SOAR 솔루션은 종종 서로 다른 공급업체의 여러 보안 구성 요소를 통합하도록 설계되었습니다. 호환 가능한 보안 도구 스택을 통해 기업은 공격에 대한 데이터를 수집하고 사람의 개입 없이 대응할 수 있습니다. SOAR 툴의 주요 목표는 보안 운영의 효율성을 높이는 것입니다. SOAR 툴의 주요 메커니즘은 보안 오케스트레이션, 자동화 및 대응입니다.
이점에 관계없이 SOAR 도구에는 사용 가능한 API가 없으며 일부 데이터 통합 문제와 감지 작업에서 분리된 워크플로가 있습니다. SOAR은 많은 디바이스에서 입력을 수신하지만 엔드포인트, 게이트웨이, 이메일 솔루션 등의 적용 지점이 없습니다. 또한 사용자들은 많은 공급업체에서 SOAR의 잠재력을 최대한 발휘하기 위해 진지한 작업이 필요하다고 증언합니다.
XDR로 전환하기
중간 규모 조직의 경우 XDR은 대기업에서 사용하는 비싸고 복잡한 보안 정보 및 이벤트 관리(SIEM)/SOAR 스택에 대한 대안을 제공합니다. XDR은 현재 사용 가능한 제한된 솔루션의 대안으로 잘 자리 잡고 있습니다.
실용적인 접근 방식을 찾고 있는 이러한 조직의 경우 XDR은 예방 우선 접근 방식, 탐지, 조사, 위협 헌팅, 대응 및 수정을 모두 수행할 수 있는 단일 플랫폼입니다.
보안 정보 및 이벤트 관리(SIEM) 등을 포함하여 이미 멀티 벤더 보안 솔루션을 갖춘 성숙한 조직을 위해 XDR은 기존 스택 위에 기능과 이점을 사용할 수 있는 API를 제공합니다. SOAR 솔루션은 통합, 플레이북 개발 등을 위한 리소스가 있는 경우 더 유명한 조직에서 작동할 수 있습니다.
체크 포인트로 보안 작업 배포
With Check point’s Infinity XDR/XPR you will be able to use a single application across all vectors to maximize ROI and operational efficiency. It allows you to use a single SaaS solution to detect, investigate, hunt, respond to attacks across all threat vectors, and leverage your existing Check Point security stack by reusing the infrastructure for detection and response.
또한 보안 정보 및 이벤트 관리(SIEM)/SOAR 플랫폼을 포함한 현재 에코시스템과 통합되므로 온보딩이 간단합니다. 체크 포인트 보안 운영 솔루션은 보안 정보 및 이벤트 관리(SIEM) 및 SOAR 고객에게 API 세트를 제공합니다. 또한 자동화된 플레이북이 제공되어 인시던트 대응을 최적화 및 가속화하고 클릭 한 번으로 효과적인 문제 해결을 적용할 수 있으며, 원활한 엔드 투 엔드 프로세스 흐름을 위해 주요 SOAR 플랫폼과 통합됩니다.
피드백