사고 대응 프로세스가 자동화에 의해 계속 변형됨에 따라 사고 대응 성능이 어떻게 변화하는지 입증하는 것은 불가능에 가깝습니다. 이러한 새로운 측정항목을 활성화하지 않고
보안 팀이 변화하는 위협 환경에 대처하기 위해 조직의 보안 인프라를 재정의함에 따라 이러한 변화가 비즈니스 수익에 긍정적인 영향을 미치는 방식을 입증해야 하는 경우가 많습니다.
그러나 2016년에 SANS Institute는 조직의 71%가 사고 대응(IR) 성과에 대한 정기적인 측정 또는 측정이 없다는 사실을 발견했습니다. 이 비율은 최근 몇 년 동안 감소했지만(2017년에는 58%가 메트릭이 없다고 선언했습니다.) 많은 보안 팀은 주요 사이버 사고가 발생한 후에만 성능을 측정할 필요가 있다고 생각합니다.
>참조: 보안 작업:자동화가 자동을 의미해야 하나요?
사고 대응 프로세스를 자동화함으로써 기업은 사이버 보안 메트릭에 대한 완전히 새로운 접근 방식을 개발하고, 비용을 절감하고, 효율성을 높이고, 관리자에게 실행 가능한 목표를 제공할 수 있으며, 보안 운영을 강화할 뿐만 아니라 보안 접근 방식이 비즈니스와 일치하도록 할 수 있습니다. 6가지 새로운 측정항목은 다음과 같습니다.
CPI 메트릭은 사고 기간에 계층 1 분석가의 평균 시간당 비율을 곱한 값으로 측정할 수 있습니다. 많은 보안 팀이 IR 플레이북을 통해 탐지에서 대응 및 수정에 이르는 사고의 각 단계에 대해 해당 공식을 실행합니다.
>참고 항목: 보안 자동화:IT 생산성 및 네트워크 복원력 향상
자동화를 사용하면 전체 단계 또는 워크플로를 제거할 뿐만 아니라 가속을 제공하고 엄청난 비용 절감 효과를 제공하며 팀이 맹렬한 추격에 시간을 낭비하는 대신 사건을 검증하고 결론짓는 데 집중할 수 있으므로 효율성이 향상됩니다.
보안 팀은 보안 스택이 생성한 탐지 비율과 수신된 인간 탐지 횟수의 비율을 결정하기 위한 기준을 설정할 수 있습니다.
사람의 탐지를 파악하기 위해 보안 팀은 직원이 자신의 기계가 오작동하고 있음을 인식하거나 IT 관리자가 시스템이 비정상적인 방식으로 작동하고 있음을 인식하는 등 직원 탐지 횟수를 결정해야 합니다. 여기에 보안 팀이 정부/IT 관리자로부터 전화를 받은 횟수와 같은 외부 탐지 횟수와 보안 운영 직원이 보안 스택 또는 SEIM에서 데이터를 수동으로 합성하여 생성한 탐지 횟수를 추가하면 다음이 제공됩니다. 조직이 현재 시스템의 효율성을 인식합니다.
>참고 항목: 보안이 자동화와 함께 작동해야 하는 이동성 요구
기업은 사고 대응 프로세스를 자동화함으로써 이 비율이 방정식의 자동화 측면으로 크게 기울어질 것으로 기대할 수 있으며, 이는 더 나은 보안 운영 효율성을 의미합니다.
보안 작업은 이제 균열을 통해 미끄러지는 것을 결정할 수 있습니다. 조사와 경보 볼륨을 비교하여 기업은 현재 보안 운영의 위험 격차를 측정할 수 있습니다. 자동화된 사고 대응 프로세스를 통해 볼륨당 조사 비율이 크게 증가합니다.
예를 들어, 조직이 일반적으로 경고 100회마다 3회의 조사(3/100 또는 3%)를 수행한 다음 자동화를 구현하면 10%의 경고 종료율과 추가로 2회의 조사(5/10 또는 50)가 표시됩니다. %), 보안 운영 효율성이 1,500%나 증가합니다.
보안 운영 팀이 가능한 한 적은 시간을 낭비하고 있는지 확인하는 것은 모든 조직의 이익이며, 응답 지표에 대한 조사의 비율은 조사된 항목의 수를 결정하는 데 도움이 되어 응답 워크플로가 완료되는 데 도움이 됩니다.
>참고 항목: 2018년 사이버 보안 예측
사고 대응 프로세스를 자동화하면 단순히 의심되는 공격이 아니라 검증된 결론에 대한 조사가 더 많아지기 때문에 조사에서 대응으로의 수렴으로 이어질 것입니다.
이 메트릭은 경고 생성 후 결정을 내리는 데 걸리는 시간을 측정합니다. '분석 마비'와 보안 운영 불확실성으로 인해 체류 시간이 늘어나고 공격이 확산될 위험이 있습니다. 동시에 발생할 수 있는 다른 공격을 조사하고 대응하는 데에도 시간이 걸립니다.
자동화를 구현하기 전과 후에 결정 비율을 측정함으로써 보안 운영 팀은 부족한 인력을 추가하지 않고도 민첩성을 입증하고 대응 능력을 높일 수 있습니다.
이 지표는 비즈니스 중단을 측정합니다. 프로세스를 자동화함으로써 가능해진 수술적 원격 대응이 많을수록 최종 사용자의 엔드포인트를 재이미징하는 "큰 망치" 수정이 더 적어집니다. 즉, 비즈니스 중단과 직원의 불편이 줄어듭니다. 누군가의 노트북을 하루 동안 가져가거나 지불 처리 서버를 중단하면 핫 백업 및 클러스터형 장애 조치가 솔루션의 일부인 경우에도 보안 운영에 심각한 지장을 줄 수 있다는 것을 쉽게 알 수 있습니다.
>참조: T소매점 IT의 사이버 보안 과제
사고 대응 프로세스를 자동화하면 외과적 교정 및 심층 분석을 자동으로 시작할 수 있는 실행 가능한 규칙 생성을 통해 이러한 중단을 방지할 수 있습니다.
인시던트 대응 프로세스가 자동화에 의해 계속 변모함에 따라 이 새로운 메트릭을 사용하지 않고 인시던트 대응 성능을 어떻게 변화시키는지 증명하는 것은 거의 불가능에 가까울 것입니다.
간단히 말해서, 이러한 각각의 새로운 메트릭은 사고 대응 프로세스의 자동화가 보안 인프라를 강화할 수 있을 뿐만 아니라 수익에도 영향을 미치는 방법을 보여줄 수 있습니다.
출처: Andrew Bushby, Fidelis Cybersecurity 영국 이사
자동화 제어 시스템
사우스캐롤라이나주 그린빌 – 11월 5일 그랜드 오프닝 행사에서 Fives DyAG Corp.(스마트 자동화 솔루션 사업부)는 사우스캐롤라이나주 그린빌에서 제어 엔지니어링을 위한 새로운 센터의 출범을 축하했습니다. 새로운 시설은 노스캐롤라이나 주 샬럿에 있는 Fives DyAG Corp.의 이전 작업을 대체하여 기존 고객에게 더 가까운 자동화 지원을 제공하는 동시에 지역 상업 제조 내에서 가시성을 확장합니다. 제어 엔지니어링, 프로젝트 관리, 유지보수 및 장비 설치 지원에 대한 전문 지식을 제공해야 하는 증가하는 수요를 충족합니
자동화는 한때 큰 공장에서만 가능했지만 이제는 작은 작업장에서도 혜택을 볼 수 있습니다. 인더스트리 4.0의 영향, 숙련된 제조 노동력의 지속적인 부족, 코로나19 대유행의 결합으로 인해 작업장 자동화가 가속화되고 있습니다. 그 어느 때보다 맞춤화된 로봇 및 자재 운반 옵션의 가용성은 소규모 제조업체가 더 많은 것을 생산하는 동시에 운영자를 더 많은 부가가치 작업으로 이동하는 데 도움이 됩니다. 개인 보호 장비(PPE)에 대한 급증하는 수요와 작업자를 보호해야 할 필요성도 함께 상점의 자동화 노력을 강화했습니다. 대유행 기간
