SIEM이란 무엇인가? 더 효율적인 SOC를 위한 로드맵 - 위드네트웍스

 

 최근 데이터 유출의 빈도와 강도가 계속 증가하면서, 사용자들은 더욱 개인 정보에 대한 보안과 프라이버시를 중시하게 되었습니다. 그리고 여러 기관, 기업들은 네트워크 및 민감 데이트를 안전하게 보호하기 위해 시스템을 꾸준히 개선하고 있습니다.

 

 SIEM (Security Information and Event Management, 보안 정보와 이벤트 관리)는 기계에서 발생한 중요 데이터 수집, 위협 측정하여 경보 발생시킵니다. 또한 IT 보안 전담 인력을 보조하고 보안 이벤트 강조 및 우선순위를 위한 표와 대시보드를 제공합니다.

 

 하지만 전통적인 SIEM 솔루션은 의미있는 결과를 얻기 위해 필요한 정보가 방대할 뿐만 아니라 보안 전담 인력의 수작업이 필요하다는 한계가 있습니다. 따라서 오늘은 SIEM의 기능, 장·단점과 차세대 SIEM에 대해 알아보겠습니다.

 

 

SIEM은 무엇인가?

SIEM은 잠재적인 위협과 사이버 공격에 반응하고 보안 정책을 효과적으로 구성하기 위해 데이터를 보안 정보로 변환하는데 사용됩니다. SIEM은 자동 로그 시스템, 내장 보고 및 방화벽 또는 안티바이러스 소프트웨어에서 생성된 경고와 같은 스트림 이벤트에서 데이터를 소싱합니다. 이렇게 수집된 데이터는 필터링을 거쳐 머신 러닝과 통계 방식을 사용하는 시스템에 제공됩니다. 이후 비정상 행위를 탐지하고 IT 전담 인력에게 우선순위에 따라 경보를 발생시킵니다.

 

 SIEM은  전체 IT 인프라에서 비롯된 모든 보안 데이터를 모으는 센터입니다. 이렇게 수집된 데이터로 실시간으로 사건을 관리하며, 지난 문제를 자세하게 탐지하고 감사합니다. 또한 데이터 컴플라이언스 요구 조건에 대한 문서를 작성합니다.

 

 네트워크의 소프트웨어와 어플리케이션가 제공하는 광대하고 고도로 세분화된 데이터들을 직접 분류하고 상호 연관시키는 것은 불가능합니다. 이때 SIEM은 이러한 문제를 해결하기 때문에 보안 운영에 있어서 매우 중요합니다.

 

 

 

SIEM이 작동하는 방법

 SIEM은 SOC에서 사용되며 주로 모든 보안 이슈에 대응하는 역할을 합니다. 전형적으로 위협 탐지와 사건 대응과 같은 기술적인 업무를 포함합니다.

 

 SIEM은 관련 시스템에서 데이터를 수집합니다. 예를 들어 엔드 유저 어플리케이션이나 기기, 네트워크 요소와 IDS, AV와 방화벽과 같은 다른 소프트웨어에 설치된 수집 에이전트에서 데이터를 수집합니다. 수집된 로그와 이벤트데이터는 카테고리로 분류되며 관련성에 의해 필터링 됩니다. 이후 분석가과 기술자들이 감독하는 관리 콘솔과 같은 중앙 저장소로 보내집니다. 예를 들어, 한 계정이 한 시간 안에 수십번 로그인 시도를 하면 이와 같은 특정 사건은 데이터로 보내지고 경보로 변환됩니다. 

 

 SOC는 SIEM을 사용해 보안 이벤트와 로그 데이터를 수집하고 분석해 모든 종류의 기본적인 리포팅과 인사이트를 만듭니다. SIEM이 없다면, 가공되지 않은 보안 데이터는 보안 팀이 필요한 활성화된 대시보드나 경보로 변환될 수 없을 것입니다.

 

SIEM 의 장점

 SIEM의 장점을 파악하면 현재 가지고 있는 리소스를 더욱 잘 활용할 수 있고, 보안 유출이나 위협을 발생시킬 수 있는 실수를 줄일 수 있씁니다.

 

< SIEM의 일반적인 장점 >

- 로그 수집

SIEM의 가장 핵심 기능은 바로 로그 수집입니다. 방대하게 발생한 데0이터를 자동적으로 수집하여 관리 합니다.

 

- 통합

SIEM은 다른 보안 솔루션들이 기업 보안 생태계의 다른 부분과 소통하도록 하며 필요한 곳에 데이터를 전송합니다. 

 

- 빌트인 리포팅

시스템 퍼포먼스를 자동으로 리뷰하여 일반적인 보안 이슈에 대해 표준화된 리포트를 제공합니다. 뿐만 아니라 특정 비즈니스 용도를 위한 커스터 마이징된 대시보드를 제공합니다.

 

- 경보와 알림

경보와 알림을 발생하여 분석가들이 최소한의 지연으로 중요한 이벤트에 대해 필요한 정보를 얻고 우선순위를 매길 수 있도록 도와줍니다.

 

- 모니터링, 사건 및 비정상 탐지

자동적으로 의심되는 행위를 표시하여 분석에 소요되는 시간을 획기적으로 줄입니다.

 

- 포렌식 기능과 대응 워크플로우

포렌식 기능으로 특정 사건을 조사하기 용이해집니다. 또한 이슈에 대응하는 표준 절차를 만들어 냅니다.

 

 

<SIEM만의 특화된 장점>

- 전사 가시성

전사의 네트워크 가시성을 제공하여 전체 네트워크에 또는 시스템의 퍼포먼스와 위협을 더욱 잘 파악할 수 있습니다.

 

- 엄격한 컴플라이언스

SIEM은 자동화으로 로그를 수집하고 보고하기 때문에 더 이상 수작업으로 데이터를 수집하지 않아도 됩니다. 따라서 데이터 가버넌스, 규제, 요구 조건을 충족하기 용이합니다.

 

- 보다 빠른 문제 해결

SIEM은 파이프 라인에 따라 이벤트가 움직이게 하고 지능적으로 우선순위를 매기기 때문에, 분석가들은 실시간으로 더욱 빠르게 정보를 얻고 올바른 문제에 대응할 수 있습니다.

 

- 보다 쉬운 확장

SIEM은 많은 양의 정보를 다루는데 최적화되어 있으며 주요 데이터 소스는 로그 데이터와 네트워크 이벤트입니다. 따라서 확장성이 뛰어나며 조직과 유저가 증가하더라도 안정된 서비스를 제공할 수 있습니다.

 

- 보다 정교화된 분석

SIEM이 제공하는 경보, 통합, 보고와 포렌식 도구들을 통해 이전에 분석하지 못했던 복잡한 위협을 세부 분석할 수 있습니다. 

 

올바른 SIEM 도구를 고르는 방법

 지금까지 일반적인 SIEM 도구의 특징에 대해 알아보았습니다. 이제부터는 특정한 산업과 사용 용도에 적합한 SIEM을 선택하는 방법을 살펴보도록 하겠습니다.

 

1) 정부의 기준 또는 규제에 적합한 것이 가장 우선순위입니다. 따라서 비즈니스의 필요에 맞는 구체적인 컴플라이언스 관리 기능을 가진 도구를 선택하시기 바랍니다.

2) 지연 시간이 가장 적고 대응 시간이 빠른 속도가 필요하다면, 데이터 가공 및 경보가 빠른 도구를 선택하시기 바랍니다.

3) 정교한 위협 탐지와 포렌식 조사 기능이 필요하다면, 발전된 자동화, 머신러닝과 AI가 내장된 SIEM을 고려하시기 바랍니다.

 

다양한 가격, 기능, 특징을 가진 SIEM이 있지만 가장 중요하게 고려해야 할 점은 해당 SIEM이 얼마나 여러분의 비즈니스에 적합한가 입니다.

 

SOC에 SIEM의 한계를 뛰어 넘어라

 SIEM은 효율적으로 SOC를 운영하기 위해 사용되었으며 오랫동안 기업의 전체 데이터를 보호하는 중요한 역할을 수행해왔습니다. 하지만 SIEM에게도 단점이 있습니다.

 

- 가격

SIEM은 리소스 집약적이며 규모와 사용처에 따라 가격이 천차만별입니다.

 

- 이벤트 피로

 SIEM에서 자동적으로 발생되는 경보로 인해 증가하는 업무의 양 즉 ‘이벤트 피로’ 때문에 매니지드 보안 서비스 제공자 (MSSP)에 서비스를 위탁하기도 합니다. 하지만 이러한 조치는 오직 선별의 문제만 해결할 수 있으며, 결국 조직은 보안 분석가를 지원하며 더욱 위협을 선제적으로 탐지하는 다양하고 정교한 시스템이 필요하게 됩니다.

 

이러한 이유 때문에 SOAR의 필요성이 대두됩니다.

 

 

 

SOAR이란?

 SOAR(Security Ochestration Automation & Response, 보안 오케스트레이션 자동화 및 대응)는 SIEM을 보완하는 도구로 SIEM이 다루지 못하는 위협을 다룹니다. 차세대 SIEM 도구들은 필수적으로 기록 시스템을 남깁니다. 예를 들면 중앙 저장소에 관련 데이터를 저장해 분석가에게 제공합니다. 하지만 SOAR는 머신 러닝과 AI을 사용하여 더욱 실행가능한 기술들을 제공하며 다른 IT 및 보안 도구를 통합합니다.

 

SOAR와 SIEM을 최적화하라.

 SIEM은 여전히 어느 조직에게도 강력한 운영 도구입니다. 하지만 더 이상 SIEM이 관리 도구로서만 기능하는 것이 아닙니다. 기존 SIEM 솔루션과 SOAR의 기능을 결합하면 효율성을 극대화할 수 있으며, 표준화된 정책을 전사에 적용할 수 있으며 더욱 빠르게 위협을 탐지하고 대응할 수 있습니다.

 

 

위드네트웍스에서는 Fortinet의 SIEM과 SOAR를 통해 최적화된 네트워크 운영 및 관리를 제공합니다!