SIEM과 SOAR는 둘 다 필요한가? - 위드네트웍스

정보 보안 영역에 정말 많은 용어들이 있기 때문에, 각 용어들이 무엇을 의미하는지 혼동하기 쉽습니다.

보안 정보와 이벤트 관리(Security Information and Event Management) 즉, SIEM은

보안 오케스트레이션, 자동화 및 대응(Security Orchestration, Automation and Response), SOAR와 종종 혼동되곤 합니다.

 

SIEM과 SOAR는 보안 운영 센터에서 운영되며 조직이 위협을 조직적으로 시간에 맞게 탐지하고 대응하도록 돕는 핵심 기술입니다.

결과적으로, 이 두가지 솔루션은 서로 보완하지만 각 기능과 역할에서는 차이가 있습니다.

 

이 두 솔루션의 차이에 대한 이해를 돕기 위해 살펴보겠습니다. 이를 통해 SIEM과 SOAR에서 최상의 가치를 도출할 수 있습니다.

 

SIEM이란 무엇인가?

 

SIEM(Security Information and Event Management; 보안 정보와 이벤트 관리)은 기업의 환경에 있는 포인트 시스템, 기기, 어플리케이션에서 제공되는 로그, 이벤트, 보안 데이터를 하나의 플랫폼에서 수집합니다. 이를 통해 여러 다른 소스에서 수집한 이벤트를 상호연계하고 네트워크 안에서 발생할 수 있는 잠재적인 악성 활동에 대한 경보를 발생하여 잠재적인 사고에 대한 “점들을 연결”하도록 돕습니다.

 

하지만 많은 수작업, 시간이 필요하며 경보가 반복되기 때문에 분석가가 많은 용량에 압도될 수있다는 것을 포함해서 많은 불편이 발생하여 중요한 것을 누락하거나 삭제하는 등의 나쁜 결과를 초래할 수 있습니다.

 

SOAR란 무엇인가?

SOAR(Security Orchestration, Automation and Response; 보안 오케스트레이션, 자동화 및 대응)는 여러 소스에서 추출한 데이터를 수집하고 분석하여 IT 시스템에서 보안 사건을 확인할 수 있도록 하는 보안 솔루션입니다. 뿐만 아니라 SOAR는 자동화된 플레이북을 통해 보안 이슈에 대한 관리의 능률을 향상시킬 수 있으며, 여러 보안 솔루션을 하나의 인터페이스로 관리하여 보안 사건에 효율적으로 대응할 수 있도록 돕습니다.

 

 

SOAR 솔루션은 세 개의 주요 요소로 구성되어 있습니다.

Orchestration (오케스트레이션): 보안 오케스트레이션은 보안 운영 팀이 위협을 선별, 조사 및 완화하기 위해 사용하는 도구들을 통합하고 관리하는 것을 말합니다. 보안 오케스트레이션은 구체적인 위협을 다루기 위해 필요한 프로세스와 관련 도구를 정의하는 플레이북을 통해 이루어지며, 이러한 도구의 API를 활용하여 관련 기능을 실행하고 여러 콘솔을 계속 변경해야하는 필요를 해결합니다.

 

Automation (자동화): 보안 자동화는 보안 직원에 의해 실행되었던 업무를 수행하는 소프트웨어 도구를 사용하는 것을 의미합니다. 모든 보안 업무가 완전히 자동화되는 것은 아니지만, 많은 업무들이 자동화될 수 있습니다.

위협 인텔리전스를 통한 데이터 보충과 같은 반복적인 업무를 완수하는 것에서부터 샌드박스에서 파일을 분해해서 분석하는 것까지 이러한 업무에 자동화를 적용하면 분석가들이 일에서 해방되어 더욱 결정적인 사고를 요구하는 전략적 활동에 전념할 수 있게 됩니다.

 

Response (대응): 보안 대응은 보안 이슈에 반응하고 치료하는 것을 의미합니다. 이것은 먼저 이슈를 보관 및 해결하고 위협이 다시 발생하지 않도록 조치를 취하도록 요구합니다. 대응을 시작하도록 하는 결정이 자동화되는 경우는 극히 드물지만, 반복되는 업무를 제거하여, 사용자 크리덴셜 재세팅 또는 악성 URL 차단과 같은 위협 제거 활동은 SOAR 플랫폼에 의해 시작될 수 있습니다.

 

 

SOAR와 SIEM이 모두 필요한가?

 

SOAR와 SIEM 도입을 고려할 때 이 두 개의 솔루션이 양자택일의 관계가 아니라 서로 보완하는 기능이라는 것을 유념해야합니다.

SIEM은 경보 조사 및 추적을 위한 중앙 인터페이스를 제공하여 여러 소스에서 보안 데이터와 로그를 수집하여 상호 연계하며, 보안 팀에게 경보를 발생하여 위협을 조사할 수 있도록 합니다.

하지만 SIEM 플랫폼은 발생한 경보에 대한 효과적이고 효율적인 선별, 조사 및 대응하는데 요구되는 프로세스를 다루지 않습니다. 뿐만 아니라, SOAR와 같은 오케스트레이션과 자동화를 제공하지 않습니다.

SIEM은 보안 운영의 능률을 높이기 위해 필요한 통합과 다양한 기능보다는 대부분 모니터링과 경보 알람에 더욱 집중합니다.

이것이 대부분의 조직들이 SIEM과 SOAR를 함께 사용하는 이유입니다. SIEM이 로그 수집과 경보 발생의 역할을 할 때, SOAR는 보안 팀의 주요 워크 벤치로서 위협을 진단하고 대응하며 추적할 뿐 아니라 SOC 활동을 측정하는 역할을 제공할 합니다.

 

 

 

 

위드네트웍스에서는 Fortinet의 SIEM과 SOAR를 통해 최적화된 네트워크 운영 및 관리를 제공합니다!