보안 자동화를 통한 투자 극대화

우리는 수년간 보안 자동화에 대해 이야기해 왔습니다. 무엇을, 언제, 어떻게 자동화할지 고민했습니다. 우리는 인간 대 기계 주제에 대해 토론했습니다. 그리고 특정 시점에서 우리가 "화상"(오류로 시스템을 자동으로 종료)했을 때 자동화를 위한 공간이 전혀 없는지 궁금했습니다. 그러나 마음 속으로는 자동화가 미래라는 사실을 오랫동안 알고 있었습니다. 이제 미래가 여기에 있습니다.

ThreatQuotient의 Noor Boulos는 대부분의 조직이 주요 보안 및 IR(사고 대응) 프로세스를 최소한으로 자동화했지만 2020년의 사건이 전환점이 되었다고 말했습니다. . 새로운 SANS 보고서에서는 글로벌 팬데믹으로 인해 많은 조직이 자동화 계획을 가속화하고 투자와 미래 계획에 우선순위를 부여한 방법에 대해 설명합니다. 이 설문조사는 다양한 산업이 혼합되어 있고 북미, 유럽, 아시아 태평양 및 아프리카에서 사업을 영위하고 있는 모든 규모의 기업을 대상으로 했습니다.

주요 결과는 다음과 같습니다.

<울>

조직의 거의 1/3이 COVID-19 전염병으로 인해 자동화 계획이 가속화되었다고 밝혔습니다.

<울>

80% 이상의 조직이 주요 보안 및 IR 프로세스를 최소한 부분적으로 자동화하고 있으며, 이는 2020년의 47%에서 증가한 수치입니다.

<울>

IR 프로세스를 더 자세히 살펴보면 광범위한 자동화가 2020년 10.5%에서 2021년 28.3%로 거의 18% 증가하여 자동화에서 가장 큰 성장을 보였습니다.

<울>

보안 운영 및 이벤트 또는 경고 처리는 35.5%가 광범위한 자동화를 보고하는 자동화의 주요 영역으로 남아 있습니다.

<울>

85%가 향후 12개월 동안만 주요 보안 및 IR 프로세스를 자동화할 계획을 갖고 있는 가운데 보안 자동화의 미래는 밝습니다.

미래를 내다보고 이러한 설문 조사 결과를 사용하여 보안 운영 내에서 자동화 사용을 확장하는 방법을 더 잘 이해하는 데 도움이 될 때 비즈니스 가치를 극대화하기 위해 보안 수명 주기 내에서 자동화를 적용할 시기를 고려하는 것이 중요합니다.

ThreatQuotient는 데이터가 탐지 및 대응 자동화의 생명선이라고 오랫동안 믿어왔습니다. 따라서 효과적인 자동화의 핵심은 데이터에서 시작됩니다. 보고서의 두 가지 주요 사용 사례인 경보 분류 및 사고 대응을 예로 들어 보겠습니다.

경고 분류:

분석가는 잡음이 많은 SIEM 규칙 및 기본 방어 인프라로 인해 생성되는 사람의 주의가 필요한 경보의 수로 인해 범람하고 있습니다. 분석가는 매일 처리해야 하는 보안 경고의 양과 속도를 줄이기 위해 외부 위협 데이터와 위협 인텔리전스 피드를 SIEM에 직접 적용하지만 두 가지 주요 이유로 문제가 계속됩니다.

<노스크립트>

첫째, 외부 위협 데이터의 양이 어마어마합니다. 상관 관계 분석을 위해 이 모든 데이터를 SIEM으로 직접 전송하면 수많은 비문맥적 경고가 발생하며, 각 경고에는 분석가가 조사해야 하는 상당한 작업이 필요합니다. 둘째, 위협 인텔리전스 피드를 SIEM에 직접 적용하기 전에 관련성을 결정하기 위한 추가 컨텍스트와 이해를 제공하는 현재 도구의 의사 결정 지원 기능이 부족합니다. 경고 분류 프로세스 중에 취해야 할 적절한 다음 조치를 집중하고 결정하려면 우선 순위를 지정하는 것이 중요합니다.

ThreatQ 플랫폼을 사용하면 경보 분류 문제를 해결하고 조직과 관련된 위협 인텔리전스만 제공하여 불필요한 경보가 발생하기 전에 중지할 수 있습니다. SIEM에 적용하기 전에 위협 데이터에 컨텍스트, 관련성 및 우선 순위를 자동으로 적용함으로써 SIEM이 더욱 효율적이고 효과적이 됩니다.

컨텍스트와 결합하여 설정한 매개변수를 기반으로 하는 맞춤형 위협 인텔리전스 점수를 통해 특정 환경과 관련된 항목에 따라 우선 순위를 지정할 수 있습니다. 이제 위협 인텔리전스로 선별된 위협 데이터의 하위 집합을 사용하여 추가 오버레이를 통해 SIEM이 더 적은 오탐을 생성하고 더 적은 확장성 문제에 직면할 수 있습니다.

사고 대응:

보안 오케스트레이션, 자동화 및 대응(SOAR)에 대한 현재 접근 방식은 프로세스 자동화에 중점을 두고 있습니다. 문제는 탐지 및 대응에 적용할 때 의사 결정 기준과 논리가 플레이북에 내장되어 있고 각 플레이북에서 업데이트가 이루어져야 하기 때문에 프로세스 중심 플레이북이 본질적으로 비효율적이고 복잡하다는 것입니다. 이 복잡성은 플레이북의 수가 증가함에 따라 기하급수적으로 증가합니다. 잡음이 많은 데이터를 자동화하고 조정하면 잡음이 증폭될 뿐입니다.

ThreatQ TDR Orchestrator를 사용하면 데이터 또는 정보가 플레이북 시작을 주도하고 취한 조치를 통해 학습한 데이터가 분석 및 향후 대응 개선에 사용되는 SOAR에 대한 간소화된 데이터 중심 접근 방식을 취할 수 있습니다. 개별 플레이북이 아닌 "플랫폼에 스마트"를 적용하면 구성 및 유지 관리가 더 단순해지고 더 효율적이고 효과적인 자동화 결과가 제공됩니다. 사용자는 데이터를 미리 선별하고 우선 순위를 지정하고, 관련성을 자동화하고, 수행하는 작업을 단순화할 수 있습니다.

저자는 ThreatQuotient의 Noor Boulos입니다.