블로그

파트너 스포트라이트: Threat Stack과 Squadcast 통합으로 더 큰 맥락으로 알림이 간소화됩니다.

F5 썸네일
F5
2021년 6월 24일 게시

Threat Stack은 이제 F5 Distributed Cloud App Infrastructure Protection (AIP)입니다. 오늘부터 팀과 함께 분산 클라우드 AIP를 사용해 보세요.

이것은 Squadcast와 Threat Stack의 게스트 게시물 협업입니다.

특히 클라우드 환경이 빠른 속도로 확장됨에 따라 보안 전문가가 엄청난 경고에 시달리는 일은 흔해졌습니다. 실제로 최근 SecOps 설문 조사 에 따르면 전문가의 83%가 경보 피로로 어려움을 겪고 있다고 보고했습니다. 하지만 가장 중요한 것은 맥락이며, 적절한 도구와 통합을 사용하면 알림을 세부적으로 조정하여 더욱 스마트한 통찰력을 얻고, 이를 통해 더 정보에 입각한 결정을 내리고 더 빠르게 조치를 취할 수 있습니다. 

Threat Stack에서는 MTTK(평균 인지 시간) 및 MTTR(평균 대응 시간)과 같은 주요 KPI를 낮추기 위해 노력하는 사이버보안 전문가에게 가장 의미 있는 알림을 제공하는 것이 얼마나 중요한지 알고 있습니다. 사고 대응(IR) 플랫폼인 Squadcast 와의 파트너십을 통해 Squadcast 사용자에게 Threat Stack의 업계 최고 규칙을 제공하고, 풍부한 맥락을 갖춘 실시간 위험 및 ML 기반 이상 탐지에서 얻은 강력한 통찰력을 제공합니다. 또한 AWS와 같은 선도적인 퍼블릭 클라우드 공급업체와 협력하여 고객의 클라우드 환경에 원활하게 통합하고, 여러 플랫폼을 왔다 갔다 하는 번거로움을 제거합니다. 

Squadcast와 Threat Stack 간의 이러한 파트너십과 통합을 통해 고객은 환경 내 위험을 더 잘 이해하기 위해 알림을 심각도 수준에 따라 집계할 수 있습니다.  

Full Stack Observability가 중요한 이유

클라우드 인프라에 익숙한 사람이라면 위험을 파악하고 면밀히 대응하기 위해 시스템을 모니터링해야 할 필요성을 이해할 것입니다. 사이버 범죄자들에게 시스템은 점점 더 분산되고 복잡해지며 수익성이 높은 표적이 되고 있습니다. 따라서 문제를 적극적으로 모니터링하고 신속하게 식별하여 해결하는 데 도움이 되는 도구를 갖는 것이 필수적입니다.

예를 들어, AWS에 인프라를 갖춘 회사는 기본적인 모니터링 목적으로 AWS CloudWatch와 같은 기본 도구를 사용할 수 있습니다. 그러나 기본적인 모니터링만으로는 부족하며, 보안팀은 환경에 대한 고급 모니터링 기능과 더욱 폭넓은 시각화 기능을 제공하는 추가적인 전용 도구를 활용해야 합니다.

Threat Stack은 인프라 및 애플리케이션 계층을 포함한 클라우드 워크로드에서 풍부한 원격 측정 데이터를 수집하여 전체 스택 관찰을 가능하게 하고, 보안 팀이 의심스러운 활동을 신속하게 발견할 수 있도록 지원합니다.


고급 모니터링으로 컨텍스트가 풍부한 보안 경고 가능

오늘날의 현대 SaaS 비즈니스 성공을 위해서는 보안 및 규정 준수 사고를 신속하게 해결하는 것이 중요합니다. 웹사이트나 서비스가 1분만이라도 다운되면 상당한 매출 손실, 브랜드 평판 손상, 고객 불신이 발생할 가능성이 있습니다. 

여기에서 Squadcast와 같은 최신 IR 플랫폼과 Threat Stack의 관찰 기능을 결합하는 것이 중요해집니다. 사고가 발생하면 Threat Stack의 자세한 이벤트를 Squadcast를 통해 해당 사용자에게 라우팅할 수 있습니다.

Threat Stack이 보안 위험 및/또는 이상을 감지하면 경고 소스 역할을 하여 이를 Squadcast로 전송합니다. Squadcast는 사이트 안정성 엔지니어링(SRE) 모범 사례를 활용하여 이러한 알림을 집계하고 당직 엔지니어에게 전달합니다. 그러나 SRE 및 보안 팀의 경우 해당 사고가 보고된 후에만 조치를 취합니다.

인프라의 다양한 구성 요소를 담당하는 여러 팀이 있을 수 있습니다. Squadcast는 다양한 애플리케이션 성능 모니터링(APM)/로깅 및 오류 추적 도구와 기본적으로 통합되므로, 알림을 지능적으로 라우팅하고 Squadcast 내에서 인시던트를 처리하기 위해 실시간으로 협업할 수 있도록 적절한 팀에 알릴 수 있습니다.

Squadcast와 Threat Stack의 힘을 결합

Squadcast + Threat Stack 통합 의 심층적인 내용을 완전히 이해하기 위해 AWS에 인프라를 구축한 고객의 이전 사례를 살펴보겠습니다. 이 시나리오에서 Threat Stack Cloud Security Platform®은 환경 내에서 다양한 동작을 감지하기 위해 현대 인프라의 여러 계층을 관찰합니다. AWS CloudWatch와 결합된 이 솔루션을 사용하면 인프라/애플리케이션 스택을 모니터링하고 서비스 수준 지표(SLI)와 서비스 수준 목표(SLO)를 추적할 수 있습니다. SLO가 위반되면 경고가 Squadcast 플랫폼으로 전송됩니다. 

간단히 말해서, Threat Stack 플랫폼에 알림이 발생할 때마다 Squadcast에 대해 구성된 Webhook이 신호를 받고 인시던트가 생성됩니다. 마찬가지로, Threat Stack이 두 개 이상의 알림을 보내는 경우 Squadcast 플랫폼은 알림을 구성하고 그룹화 (중복 제거) 하여 인시던트 해결 작업을 진행하는 사용자에게 전체적인 맥락을 제공할 수 있습니다. 이것이 왜 유익한지 알아보겠습니다.

 

클라우드 모니터링 및 사고 대응 플랫폼을 통합하는 4가지 이점

더 빠른 복구 시간: 최적의 사고 관리를 향한 첫 번째 단계는 사고가 감지되면 해당 사고에 관련 맥락을 추가하는 것입니다. Threat Stack에서 Squadcast로 전송되는 사고 페이로드에 태그를 추가하여 경고의 맥락을 더욱 풍부하게 만들 수 있습니다. 이러한 태그의 예로는 사고 우선순위 , 사고 심각도 , 환경 이름 등이 있습니다. 이를 통해 보안 엔지니어가 알림을 받았을 때 더욱 자세한 맥락 정보를 얻을 수 있어 사고 대응을 더욱 빠르게 시작하고 궁극적으로 MTTR을 단축하는 데 도움이 됩니다.

더 큰 사건 투명성: 일반적으로 투명성이 높아지면 사고 관리 및 대응 프로세스가 개선될 뿐만 아니라, 더 중요하게도 팀원 간의 신뢰가 높아집니다. 이를 통해 문제를 해결하기 위한 다음 단계를 계획하기 전에 잘못된 부분을 더 잘 해결할 수 있습니다.

Threat Stack과 Squadcast를 함께 사용하면 위험에 대한 완전한 투명성과 실시간 대응 기능을 통해 사고 관리에 대한 종합적인 접근 방식을 구축할 수 있습니다. 이 모든 것이 사고 대응 라이프사이클의 마찰을 최소화합니다. 마찬가지로, 보다 나은 협업과 투명성을 통해 중요한 IT 시스템과 서비스의 전반적인 안정성이 크게 향상됩니다.

비난 없는 사후 검시: 인프라 자동화, 런북, 기능 플래그, 버전 제어, 지속적인 배포와 같은 도구를 사용하면 많은 사고를 신속하게 해결할 수 있으며, 이를 통해 팀은 채팅옵스 및 상태 페이지를 통해 최신 정보를 얻을 수 있습니다. 이러한 조치는 현재 상황을 해결하는 데 도움이 되지만, 보안팀이 실패한 부분과 그 이유를 이해하는 데 큰 도움이 되지 않습니다. 그러나 이를 이해하는 것은 유사한 사고가 앞으로 발생하지 않도록 예방하고 팀에서 비난 없는 사고 사후 검토를 중심으로 한 문화를 개발하는 데 중요한 단계입니다. 사고 정보를 수집하고 재사용 가능한 체크리스트와 템플릿을 사용하여 최종 보고서를 게시하는 쉽고 자동화된 방식을 제공하면 사고 사후 검토 회의가 덜 끔찍해질 수 있다는 점도 주목할 만합니다.  

세분화된 신뢰성 통찰력: Squadcast의 보고 및 분석 기능은 경고를 인식하고 해결하는 팀의 성과를 보여주고 개선 영역을 식별하는 데 도움이 됩니다. 이를 통해 팀은 특정 기간 동안의 서비스 간 인시던트 분포와 각 서비스 상태를 시각화하고 분석할 수 있습니다.

사고가 늘어나면서 빈번하게 발생하는 문제를 두 배로 늘리는 여러 가지 패턴이 나타날 것입니다. 그래픽 표현을 사용하여 탐색적 데이터 분석을 수행하고 과거 사건에 대해 더 자세히 이해할 수 있습니다. 이 데이터는 심각도 태그, 경고 소스, 상태, 날짜 및 시간 등 사고에 포함된 태그를 기준으로 필터링하여 내보낼 수도 있습니다.

결론적으로 Threat Stack과 Squadcast의 힘을 결합하면 클라우드 작업 부하 전반에서 보안 및 규정 준수 위험을 신속하게 감지하고 대응하는 데 도움이 되며, MTTK와 MTTR과 같은 KPI를 낮추는 데 크게 기여할 수 있습니다.

이 두 도구를 통합하는 데 관심이 있으시다면 Squadcast와 Threat Stack 지원팀이 귀하의 성공을 도울 수 있습니다. 공유할 다른 모범 사례가 있거나 Threat Stack/Squadcast 통합 설정과 관련하여 도움이 필요하면 Squadcast 지원팀에 문의해 주세요. 

Threat Stack은 이제 F5 Distributed Cloud App Infrastructure Protection (AIP)입니다. 오늘부터 팀과 함께 분산 클라우드 AIP를 사용해 보세요.