보안 운영(SecOps)
SecOps 정의
보안 운영(SecOps)은 조직 내 보안 팀과 운영 팀 간의 협업을 설명하는 데 사용되는 용어입니다. IT 운영은 수년에 걸쳐 지속적으로 확장되어 왔으며, 사일로화된 활동을 만드는 경향이 있는 개별 전문 분야로 분화되었습니다. SecOps는 IT 성능 저하 없이 네트워크 및 데이터 보안의 우선순위를 정하고 위험을 완화할 수 있도록 IT 보안과 IT 운영 간의 협업을 강화하고자 합니다. 또한 DevOps 팀은 조직의 보안 조치를 만들고 구현하는 데 필요한 요구 사항이 아니므로 유사한 개념인 DevSecOps보다더 좁은 초점을 제공합니다. 그러나 SecOps의 핵심 원칙은 보안이 모든 프로젝트의 기본적인 부분이며 프로젝트 개발의 초기 단계부터 포함되도록 하는 것입니다.
SecOps와 SOC 비교
SecOps 팀은 조직 전반의 위협을 모니터링하고 위험을 평가하는 고도로 숙련된 IT 및 보안 전문가들로 구성된 팀입니다. SecOps 팀은 보안 운영 센터 (SOC)의 생명선입니다. SOC는 보안 팀이 운영되는 중앙 집중식 허브(물리적, 가상 또는 둘 다)를 말합니다. SOC는 보안 담당자 간의 협업을 촉진하고 보안 운영을 간소화하는 데 도움이 됩니다.
역할의 수와 SOC 팀의 규모는 조직의 규모와 필요에 따라 달라질 수 있지만 5~14명으로 구성될 수 있습니다. 역할에는 SOC 분석가, 보안 엔지니어, 보안 관리자, IT 운영 관리자 및 시스템 관리자가 포함되며, 이들은 모두 최고 정보 보안 책임자(CISO)에게 보고합니다.
SecOps 도구
보안 팀이 SOC를 성공적으로 실행하는 데 도움이 되도록 만들어진 여러 SecOps 도구가 있습니다. 이러한 도구는 기술이 발전함에 따라 그 수가 증가했으며, 관리해야 할 사일로화된 도구가 복잡하게 섞여 있을 수 있습니다. 다행히도 업계 전반에서 더 적은 도구로 더 많은 기능을 제공하기 위한 기능 통합이 시작되었습니다.
SecOps 팀이 선제적 방어를 구축하는 데 도움이 되는 도구는 다음과 같습니다:
- 엔드포인트 보호
- 보안 정보 및 이벤트 관리(SIEM)
- 네트워크 탐지 및 대응
- 엔드포인트 탐지 및 대응
- 사용자 및 엔터티 행동 분석(UEBA)
- 확장 탐지 및 대응(XDR)
- 보안 오케스트레이션, 자동화 및 대응(SOAR)
SecOps 과제
지속적인 기술 혁신은 비즈니스 운영과 개발을 지속적으로 발전시키지만, 종종 적절한 보안을 희생하기도 합니다. 보안은 지속적으로 발전해 왔지만, 새로운 보안 취약점이 발견되고 새로운 위협이 등장함에 따라 기업의 선제적 대응과 사후 대응은 더디게 이루어지고 있습니다. 공격자들은 머신 러닝, 자동화, AI와 같은 새로운 툴에 지속적으로 투자하고 있지만, 보안 정보 및 이벤트 관리(SIEM)를 기반으로 구축된 기존 SOC는 디지털 혁신과 공격자의 고급 기법을 따라잡지 못하고 있습니다. 또한, 보안 전문가가 부족하고 프로세스를 자동화하고 분석가의 번아웃을 방지하기 위한 SecOps 도구의 구현이 느리다는 점도 지속적으로 큰 과제입니다.
레거시 SOC 환경에서 발생하는 SecOps 과제는 다음과 같습니다:
- 가시성 및 컨텍스트 부족
- 조사의 복잡성 증가
- 보안 제어에서 생성되는 대량의 저충실도 알림으로 인한 알림 피로 및 '노이즈' 발생
- 시스템 상호 운용성 부족
- 자동화 및 오케스트레이션 부족
- 위협 인텔리전스 데이터를 수집, 처리, 컨텍스트화할 수 없음
SecOps의 이점
SecOps의 목표는 조직의 보안 태세를 개선하고, 보안 문제를 식별하고, 취약점을 탐지하며, 개별 부서에서 보안에 대한 통합된 접근 방식을 촉진하는 것입니다. 이 접근 방식은 팀 간 협업을 통해 작업을 보다 효율적으로 완료하고 노력의 중복을 없애는 데 도움이 됩니다. SecOps 모델을 구현하면 위협을 조기에 식별하고, 침해 위험을 줄이고, 사고 대응 시간을 단축하여 결과적으로 비즈니스 연속성과 평판을 유지하는 데 도움이 될 수 있습니다.
팔로알토 네트웍스의 자체 보안 운영 팀이 SOC를 자동화하는 방법을 살펴보세요.
사회간접자본에서 자동화 및 AI 활용
보안 팀은 매일 수행해야 하는 수많은 보안 알림과 위협 조사 등 수작업으로 인해 지속적으로 어려움을 겪고 있습니다. 보안 팀은 자동화와 분석을 활용하여 보안 위협과 인시던트를 더 효과적으로 식별, 조사 및 해결할 수 있습니다. Forrester에 따르면 SOC 운영을 완전히 자동화해야 하는 필요성은 조직의 장기적인 목표이며, 70% 이상이 이미 자동화 여정을 시작했다고 합니다.
인공 지능(AI)과 머신 러닝(ML)을 활용하면 분석가의 시간, 주의, 수동 수정이 필요한 낮은 가치의 경고를 생성하지 않고도 보안 이벤트를 신속하게 식별할 수 있습니다. AI와 머신러닝은 조직에서 중요한 보안 이벤트를 식별할 수 있습니다,
여러 소스의 데이터를 연결하여 높은 충실도를 유지하면서 SOC에 필요한 시간과 경험을 줄일 수 있습니다.
모범 사례: 강력한 SOC 기반 구축
SecOps 팀이 목표를 달성할 수 있도록 고위 경영진의 지원을 받는 것이 중요합니다. CISO는 일반적으로 사이버 보안을 비즈니스 목표에 맞게 조정하기 위해 SecOps 팀과 경영진 간의 간극을 메우는 역할을 합니다.
보안 리더는 지금 바로 조직 전반의 보안을 통합하고 보안 운영을 간소화할 수 있는 조치를 취할 수 있습니다. 그래야 합니다:
- 인시던트 대응의 여러 측면을 자동화하여 평균 수리 시간(MTTR)을 단축하세요: 조사 및 대응 과정에서 시간이 많이 걸리는 수동 작업을 자동화하면 알림 누락을 방지하고 조사 시간을 단축할 수 있습니다.
- 반복적인 수작업의 자동화를 강화하세요: 전술적이고 지루한 작업의 필요성을 줄이면 분석가들은 전략적 이니셔티브에 더 많은 시간을 집중할 수 있습니다.
- 보안 도구를 통합하세요: 보안 도구를 중앙 집중식 플랫폼에 통합하면 로깅, 알림 상호연관성 및 조율된 대응을 통합하는 데 도움이 됩니다.
Cortex를 통한 SecOps 간소화
엔드투엔드 기본 통합 및 상호 운용성을 통해 SOC 팀은 Cortex 에코시스템 전반에서 지속적인 시너지 효과를 통해 위협에 대한 루프를 차단할 수 있습니다. Cortex 제품군은 위협 환경을 모니터링하고 가장 강력한 위협 탐지, 대응 및 조사 기능을 제공하기 위해 함께 작동합니다:
- Cortex XDR 및 Cortex Xpanse는 인터넷 공격 표면, 엔드포인트, 클라우드 및 네트워크 전반에 걸쳐 최고의 가시성과 탐지 기능을 제공합니다.
- Cortex XDR 및 Cortex Xpanse는 완전한 오케스트레이션, 자동화 및 응답 기능을 위해 Cortex XSOAR를 활용합니다.
- Cortex XSOAR는 Cortex XDR 및 Cortex Xpanse를 활용하여 고충실도 탐지 및 경고를 제공하여 오케스트레이션된 워크플로우를 구동합니다.
자세한 내용은 제품 페이지를 방문하거나 백서 "AI 시대의 SecOps 재정의"를 다운로드하세요.
