SOC(보안 운영 센터) 역할 및 책임

SOC의 책임

SOC의 주요 임무는 사이버 공격으로부터 조직을 보호하는 것입니다. SOC 팀은 보안 인시던트를 효과적으로 관리하기 위해 다음과 같은 여러 책임을 이행해야 합니다.

• 잠재적 인시던트 조사: SOC 팀은 많은 수의 경고를 받지만 모든 경고가 실제 공격을 가리키는 것은 아닙니다. SOC 분석가는 잠재적인 인시던트를 조사하여 실제 공격인지 아니면 가양성인지 확인할 책임이 있습니다.
• 감지된 인시던트 심사 및 우선 순위 지정: 모든 보안 인시던트가 동일하게 생성되는 것은 아니며 조직의 인시던트 대응 리소스는 제한적입니다. 인시던트가 식별되면 리소스 활용을 최적화하고 엔터프라이즈 위험을 최소화하기 위해 인시던트를 분류하고 우선 순위를 지정해야 합니다.
• 인시던트 대응 조정: 인시던트에 대응하려면 여러 이해 관계자와 협력하고 다양한 도구를 사용해야 합니다. SOC 분석가는 감독으로 인해 수정이 지연되거나 불완전하지 않도록 이 프로세스를 오케스트레이션해야 합니다.

그러나 SOC의 역할은 사고 대응에만 국한되지 않습니다. 다른 SOC 역할 및 책임은 다음과 같습니다.

• 관련성 유지: 사이버 위협 환경은 끊임없이 진화하고 있으며 SOC 팀은 조직에 대한 최신 위협을 관리할 수 있어야 합니다. 여기에는 새로운 공격과 최신 공격에 대응하고 보안 시스템에 이러한 공격을 탐지하는 데 도움이 되는 업데이트된 규칙 집합이 있는지 확인하는 것이 포함됩니다.
• 취약한 시스템 패치: 취약성 악용은 사이버 범죄자의 일반적인 공격 벡터입니다. SOC 팀은 취약한 엔터프라이즈 시스템 및 소프트웨어에 대한 패치를 식별, 적용 및 테스트할 책임이 있습니다.
• 인프라 관리: 사이버 위협 환경이 변화하고 엔터프라이즈 네트워크가 진화함에 따라 새로운 보안 솔루션이 필요합니다. SOC 팀은 보안 인프라를 식별, 배포, 구성 및 관리할 책임이 있습니다.
• 지원 티켓 주소 지정: 많은 SOC 팀이 IT 부서에 속해 있습니다. 즉, SOC 분석가는 조직 직원의 지원 티켓을 처리하도록 요청받을 수 있습니다.
• 경영진에게 보고: 보안은 비즈니스의 일부이며 SOC 팀은 다른 부서와 마찬가지로 경영진에게 보고해야 합니다. 이를 위해서는 보안 비용과 투자 수익을 비즈니스 대상에게 효과적으로 전달할 수 있는 능력이 필요합니다.

분명히 SOC 팀에는 다양한 역할과 책임이 있습니다. 그리고 이러한 팀이 인력이 부족하거나 충분한 자원이 부족하면 이러한 책임 중 일부가 중도에 무의미해질 수 있습니다.

일반적인 SOC 과제

SOC의 책임이 용량을 초과하는 경우가 많습니다. SOC 팀이 역할을 수행할 때 직면하는 가장 일반적인 과제는 다음과 같습니다.

• 중요한 역할 인력 배치: 사이버 보안 산업은 상당한 기술 격차를 경험하고 있습니다. 이로 인해 조직은 사이버 위협으로부터 스스로를 보호하는 데 필요한 인재를 유치하고 유지하기가 어렵습니다.
• 오탐 제거: 평균적인 SOC는 매일 수만 건의 경고를 받지만 실제 위협에서 비롯된 경고는 극히 일부에 불과합니다. SOC 분석가는 귀중한 시간과 리소스를 소비하는 대규모 로그 및 경고 더미에서 바늘을 식별해야 합니다.
• 운영 영향 최소화: 조직 네트워크 내에서 의심스러운 모든 것이 악의적이고 실제 공격의 일부인 것은 아닙니다. SOC는 합법적인 비즈니스가 지속될 수 있도록 허용하면서 실제 공격만 노출하고 차단해야 합니다.
• 공격에 대한 신속한 대응: 공격자가 조직의 네트워크에 액세스하는 시간이 길어질수록 조직의 비용과 피해가 커집니다. SOC 팀은 회사에 미치는 영향을 최소화하기 위해 공격을 신속하게 식별하고 수정해야 합니다.
• 데이터 수집 및 집계: 많은 조직에는 다양한 지점 보안 솔루션이 있습니다. 그 결과 불완전하고 연결이 끊긴 네트워크 가시성은 효과적인 사고 감지 및 대응을 방해합니다.

많은 조직에는 이러한 문제를 극복할 수 있는 리소스가 부족합니다. SOC as a Service 오퍼링 활용과 같은 보안 혁신은 사이버 위협으로부터 기업을 보호하는 데 필수적입니다.

최신 SOC 역량 강화

수많은 SOC 팀이 네트워크 내에서 악의적인 활동을 식별하는 것은 매우 어렵습니다. 그들은 종종 여러 모니터링 솔루션의 정보를 취합하고 터무니없는 양의 일일 경고를 처리해야 합니다. 그 결과는 어떠하였습니까? 심각한 공격은 너무 늦을 때까지 간과됩니다.

사이버 보안 인재에 대한 제한된 접근과 같이 SOC가 직면한 일부 과제는 조만간 해결될 것 같지 않습니다. 기업을 효과적으로 보호하기 위해 SOC 팀은 제한된 팀과 리소스의 효율성을 극대화 할 수 있는 도구가 필요합니다.

Check Point Infinity SOC enables SOC teams to more rapidly identify, investigate, and remediate cybersecurity incidents. It offers 99.9% precision across an organization’s entire IT infrastructure, including network, cloud, endpoint, mobile and IoT devices. Detection is driven by threat intelligence generated and curated by Check Point Research.

To learn more about Check Point Infinity, check out this demo video. You’re also welcome to sign up for a free trial to try it out for yourself.