MDR이란 무엇입니까?
모든 조직이 성숙한 사람을 호스팅할 수 있는 리소스를 가지고 있는 것은 아닙니다. 보안 운영 센터 (SOC) 사내. MDR 제공업체와 파트너십을 맺음으로써 조직은 보안 책임의 일부를 타사 제공업체에 아웃소싱합니다. MDR 제공자가 일반적으로 제공하는 서비스는 다음과 같습니다.
- 경고 조사: 보안 팀은 보안 솔루션에서 생성되는 방대한 양의 경고에 압도되는 경우가 많습니다. MDR 공급자는 머신 러닝, 데이터 분석 및 인적 조사를 사용하여 경고를 조사하여 실제 위협인지 또는 오탐인지 확인합니다.
- 인시던트 분류: 중요한 인시던트에 대한 신속한 대응은 비용과 조직에 미치는 영향을 최소화하는 데 필수적입니다. MDR 제공업체는 가장 중요한 문제가 먼저 해결되도록 보안 이벤트의 순위를 매깁니다.
- 수정: 침입의 영향을 최소화하려면 숙련된 인시던트 대응 팀의 신속한 대응이 필요합니다. MDR 제공업체는 고객 환경 내에서 사고를 원격으로 해결하여 영향을 최소화합니다.
- 사전 예방적 위협 헌팅: 일부 위협은 조직의 방어를 회피하고 회사 시스템에 액세스할 수 있습니다. 선제적 위협 사냥꾼은 조직의 환경에서 놓친 공격의 징후를 검색하고 수정합니다.
MDR 제공업체와 파트너십을 맺으면 다음과 같은 상당한 이점을 얻을 수 있습니다.
- 보안 전문 지식에 대한 액세스: 사이버 보안 기술 격차는 많은 조직이 보안 팀의 인력이 부족하고 전문 지식에 대한 접근이 부족하다는 것을 의미합니다. MDR은 전담 보안 팀을 제공하며 필요한 경우 전문가를 이용할 수 있습니다.
- Advanced Threat Detection(고급 위협 탐지): MDR 제공업체는 최첨단 솔루션을 갖춘 정교한 도구 세트를 보유하고 있습니다. 이를 통해 지능형 지속 위협(APT)에 의한 정교하고 미묘한 공격을 탐지하고 치료할 수 있습니다.
- 신속한 위협 식별: 많은 사이버 보안 사고가 오랫동안 감지되지 않아 비즈니스에 미치는 영향과 비용이 증폭됩니다. MDR 제공업체는 서비스 수준 계약(SLA) 지원 탐지 및 응답 시간을 제공합니다.
- 성숙한 보안 프로그램: MDR 제공업체는 조직이 사내에서 가능한 것보다 더 낮은 비용과 리소스 요구 사항으로 성숙한 보안 프로그램을 구현할 수 있도록 지원할 수 있습니다. 공급자의 고객 기반 전반에 걸친 비용 분담은 전문 보안 팀의 24/7 위협 탐지 및 대응에 대한 총 소유 비용(TCO)을 낮춥니다.
보안 정보 및 이벤트 관리(SIEM)란 무엇입니까?
조직의 인프라에 배포된 다양한 보안 솔루션은 모두 데이터를 수집하고, 위협을 식별하고, 경고를 생성합니다. 그러나 이러한 솔루션은 일반적으로 가시성이 제한되어 전체 퍼즐의 작은 조각만 볼 수 있습니다. 따라서 이러한 경고 중 상당수는 불완전한 정보로 인해 가양성일 수 있습니다.
SIEM(보안 정보 및 이벤트 관리)은 이러한 모든 보안 솔루션에서 데이터를 수집하고, 집계 및 정규화하고, 정규화된 데이터를 분석합니다. 보안 정보 및 이벤트 관리(SIEM)는 분석 및 기타 데이터 원본(예: 위협 인텔리전스 피드 또는 회사 보안 정책)을 기반으로 조직의 현재 보안 태세에 대한 광범위한 보기를 기반으로 보안 데이터 및 경고를 생성합니다.
SIEM(보안 정보 및 이벤트 관리)은 조직 전체의 보안 데이터에 액세스하고 SIEM에서 생성하는 경고를 다음과 같은 몇 가지 용도로 사용할 수 있습니다.
- 위협 탐지 및 분석: SIEM(보안 정보 및 이벤트 관리)은 보안 데이터를 분석하고 이 정보를 기반으로 경고를 생성합니다. 이러한 경고를 통해 조직의 보안 팀은 조직에 대한 잠재적인 위협을 식별하고 분석할 수 있습니다.
- 디지털 포렌식 및 위협 헌팅: 포렌식 분석가와 위협 사냥꾼 모두 조사 중인 시스템에 대한 자세한 데이터에 액세스해야 합니다. 보안 정보 및 이벤트 관리(SIEM)는 이미 이 데이터를 수집, 집계 및 분석하여 조사자가 훨씬 더 쉽게 액세스할 수 있도록 했습니다.
- 규제 컴플라이언스: 컴플라이언스 규제를 입증하려면 특정 보안 제어가 마련되어 있고 위반이 발생하지 않았음을 입증할 수 있어야 합니다. 보안 정보 및 이벤트 관리(SIEM)의 풍부한 보안 데이터 세트는 컴플라이언스 보고서 생성 프로세스를 단순화하고 간소화할 수 있습니다.
보안 정보 및 이벤트 관리(SIEM)는 강력한 도구가 될 수 있지만 올바르게 사용해야 합니다. 보안 정보 및 이벤트 관리(SIEM)의 몇 가지 주요 제한 사항은 다음과 같습니다.
- 인간 조작: 보안 정보 및 이벤트 관리(SIEM)는 조직 보안 팀의 효율성을 높일 수 있지만 숙련된 운영자가 필요합니다. 조직에 사내 보안 팀이 없는 경우 보안 정보 및 이벤트 관리(SIEM)는 거의 이점을 제공하지 않습니다.
- 복잡한 통합: 보안 정보 및 이벤트 관리(SIEM)는 다양한 보안 솔루션에서 데이터를 수집하도록 설계되었지만, 먼저 이러한 솔루션에 연결되어야 합니다. 조직에 필요한 데이터를 수집하기 위해 SIEM(보안 정보 및 이벤트 관리)을 설정하는 것은 시간이 많이 걸릴 수 있으며 상당한 보안 지식과 전문 지식이 필요합니다.
- 규칙 기반 검색: SIEM은 주로 사전 정의된 패턴과 규칙을 기반으로 위협을 식별합니다. 즉, 보안 정보 및 이벤트 관리(SIEM)는 새로운 위협을 간과할 수 있으며 보안 담당자가 이러한 규칙을 만들어야 합니다.
- 상황에 맞는 경고 유효성 검사 부족: SIEM(보안 정보 및 이벤트 관리)은 데이터 집계 및 추가 컨텍스트를 활용하여 보안 팀이 처리해야 하는 경고의 양을 줄일 수 있습니다. 그러나 보안 정보 및 이벤트 관리(SIEM)는 경고의 유효성을 검사하지 않으므로 추가 조사가 필요한 가양성을 생성할 수 있습니다.
MDR vs. 보안 정보 및 이벤트 관리(SIEM)
MDR 및 보안 정보 및 이벤트 관리(SIEM)는 모두 조직의 보안 팀이 책임을 충족하도록 확장할 수 있도록 설계되었습니다. 그러나 두 솔루션은 서로 다른 방식으로 수행합니다.
SIEM(보안 정보 및 이벤트 관리) 솔루션은 조직의 보안 솔루션에서 생성된 많은 보안 경고를 더 작은 고품질(그러나 잠재적으로 여전히 가양성) 경고 집합으로 추출하여 이를 달성합니다. 조직의 보안 팀은 여전히 SIEM(보안 정보 및 이벤트 관리)을 유지 관리 및 운영하고 경고를 조사하고 대응할 책임이 있습니다.
반면 MDR은 책임을 제3자 팀에 아웃소싱하여 보안을 단순화합니다. 이 팀은 경고를 조사하고, 이벤트를 심사하고, 인시던트를 수정하고, 사전 예방적 위협 헌팅을 수행합니다. 조직에는 여전히 사내 보안 팀이 있을 수 있지만 공급업체의 숙련된 전문가 팀이 지원합니다.
비즈니스에 적합한 솔루션 선택
보안 정보 및 이벤트 관리(SIEM)와 MDR 중 올바른 선택은 조직의 요구 사항과 보안 팀의 규모 및 성숙도에 따라 달라집니다. 확장만 하면 되는 숙련된 팀은 다음과 같은 보안 정보 및 이벤트 관리(SIEM)의 이점을 누릴 수 있습니다. 체크 포인트 Infinity SOC, 소음을 차단하고 가장 중요한 것에 주의를 집중합니다. 반면에 규모가 작거나 미숙한 보안 팀이 있는 조직은 체크 포인트의 전문 지식으로 기능을 강화함으로써 더 많은 이점을 얻을 수 있습니다. Infinity MDR.
특정 솔루션에 대해 자세히 알아보거나 조직에 적합한 솔루션을 결정하려면 SOC demo video 에 가입하십시오. free Infinity MDR demo 오늘.
피드백