Gartner에 따르면 SOAR는 "조직이 보안 운영팀에서 모니터링하는 입력을 수집할 수 있도록 하는 기술"로 구성되어 있습니다. "SOAR 도구를 사용하면 조직이 디지털 워크플로 형식으로 인시던트 분석 및 대응 절차를 정의할 수 있습니다."*
하지만 SOAR는 정확히 무엇 인가요 ? 이는 위협을 완화하고 분석을 수행하기 위해 함께 작동하는 모든 것을 아는 기술의 모음인가요? 사이버 공격을 방지하는 현실적인 터미네이터 와 같은 스카이넷 기술인가요? 특정 유형의 "SOAR 소프트웨어"가 있습니까? 아니면 사이버보안에 대한 권장 접근 방식을 제공하는 프레임워크일까요?
그것은 단순한 도구나 도구 세트 그 이상입니다. SOAR는 견고한 보안 계획을 수립하는 모델입니다. 네, 이 법안은 기관에 기술(예: 보안 정보 및 이벤트 관리자나 보안 로그 관리자와 같은 위협 인텔리전스 도구)에서 보안 데이터와 분석 처리 과정을 자동화하도록 요구합니다. 하지만 SOAR에는 인간의 개입을 장려하는 보안 오케스트레이션이라는 또 다른 측면이 있습니다.
보안 정보 및 이벤트 관리 솔루션이나 비슷한 도구가 잠재적인 사고를 식별하면 어떤 일이 일어나는지 생각해 보세요. 도구로 시작해서 보안 관리자로 끝나는 전체 워크플로 프로세스가 생성됩니다.
이 과정에서 해당 조직이 (바람직하게는) 이미 도입한 보안 정책을 기준으로 사고를 평가합니다. 고려사항은 다음과 같습니다.
그러면 보안 관리자는 포렌식 데이터에서 파생된 위협 인텔리전스를 가져와 해당 정보를 사용하여 문제를 즉시 조사하고 해결하고, 보안 정책을 적절히 조정하여 미래의 공격에 대비해 기관의 방어를 강화할 수 있습니다.
따라서 SOAR의 인적 요소가 중요해집니다. SOAR 프레임워크는 자동화를 강조하지만, 사람은 최후의 방어선이며 보안 강화를 담당하기 때문에 필수적인 요소입니다. 전문 지식과 적절한 보안 솔루션을 결합하면 조직은 악의적인 적보다 한발 앞서 나가는 데 도움이 될 수 있습니다.
SOAR는 적응성이 뛰어난 보안 프로그램을 구축하고 데이터를 사용하여 조직이 위협에 대응하는 방법을 지속적으로 개선하는 데 중점을 둡니다. 이는 정보를 활용하여 현재 위협을 정확히 파악하고 해당 사건에 대응하고 이를 통해 배우고 시간이 지남에 따라 적응하고 개선하도록 장려합니다.
F5에서는 조직이 보안 상태를 자동으로 조정할 수 있는 적응형 애플리케이션을 구축하도록 지원하는 데 중점을 두고 있습니다. 이러한 애플리케이션은 애플리케이션 데이터 경로(애플리케이션 트래픽이 애플리케이션에서 최종 사용자까지 이동하는 경로)를 따라 다양한 터치포인트에서 파생된 정보를 수집하고 분석합니다. 여기에는 사용자가 처음 애플리케이션에 액세스하는 경우(애플리케이션 인증 필요), 데이터가 인터넷을 통해 푸시되는 경우( 웹 애플리케이션 방화벽 사용 트리거) 등이 포함됩니다.
각 터치포인트는 자체적인 원격 측정 및 분석을 생성합니다. 이 데이터는 애플리케이션이 예상대로 수행되는지 여부를 감지하는 데 사용되거나 침해를 나타낼 수 있는 어떤 형태의 이상 현상이 있는지 확인하는 데 사용됩니다.
후자라면 애플리케이션은 잠재적 위협을 완화하기 위해 자동으로 적응할 수 있으므로 SOAR의 자동 대응 요구를 충족할 수 있습니다. 애플리케이션 데이터 경로의 어느 시점에서 갑자기 의심스러운 트래픽이 급증하는 현상이 감지되었다고 가정해 보겠습니다. 봇 관리 솔루션은 애플리케이션에 ping을 보내는 트래픽 유형(예: 인간 대 봇)을 기반으로 사기 활동을 자동으로 감지할 수 있습니다. 그러면 애플리케이션은 사전 정의된 보안 정책에 따라 의심스러운 트래픽을 자동으로 차단할 수 있습니다.
SOAR 프레임워크는 다양한 기술과 인간의 전문 지식을 활용하여 보안 정책을 시행하고 지속적으로 개선하는 자동화되고 반응성이 뛰어나며 민첩한 시스템을 구축하기 위한 훌륭한 청사진입니다. 이는 현재 및 미래의 위협에 대항하여 매우 효과적인 억제력을 제공합니다.
____
*Gartner 용어집, SOAR, https://www.gartner.com/en/information-technology/glossary/security-orchestration-automation-response-soar