안녕하세요, SCK Splunk 사업팀입니다.
SOAR라고 하면 여러분께서는 무엇이 가장 먼저 떠오르시나요? SOAR는 더이상 보안 분야의 새로운 화제도, 떠오르는 주제도 아닙니다. 그만큼 많은 사람들이 SOAR의 중요성을 논의했고, 이미 많은 솔루션들이 보안의 자동화를 구현하기 위해 개발되었으며, 관련된 세미나나 웨비나를 시청할 기회도 많았을 것입니다.
하지만 많이 언급되어 얼핏 어떤 뜻인지는 알지만, SOAR의 일부분만 아시는 분들도 있으리라는 생각에, 저희 Splunk 사업팀에서 야심차게 SOAR에 대해 완벽 정리해보았습니다.
이번 포스팅에서는 우선 'SOAR 란 무엇인가'를 주제로 설명합니다. SOAR를 이루는 세가지 키워드 보안 오케스트레이션(Security Orchestration), 자동화 (Automation), 응답(Response) 각 영역 및 이와 관련한 개념에 대해 알아보겠습니다.
Gartner는 SOAR (Security Orchestration, Automation and Response)을 다음과 같이 정의하고 있습니다.
“조직이 먼저 보안 장비 등으로부터 보안 위협 데이터(로그, 플로우, 파일 등)를 수집하고 서로 다른 장비로부터 상관분석을 통해 경고를 만들어 내고, 이러한 과정들은 조직의 표준 워크플로에 따라 우선 순위를 정의하고 표준화 된 인시던트 대응 활동을 유도하기 위해 사람과 머신러닝의 파워를 결합하여 인시던트 분석 및 분류 작업을 자동화할 수 있도록 해주는 기술”
따라서 SOAR는 아래와 같이 정리할 수 있습니다.
SOAR = 워크플로우 + 오케스트레이션 + 오토메이션 + 지식관리 보안 (보안 인시던트, 보안 오퍼레이션, 보안 응답, 보안 위협 인텔리전스를 위한)
Source: Gartner, Preparing Your Security Operations for Orchestration and Automation Tools, 22 February 2018
SOAR 솔루션 및 도구를 사용하면 조직에서 인시던트 분석 및 분석 결과에 따른 응답(Response) 절차(일명 보안 작업 플레이북 또는 플로우차트)를 디지털 워크플로 형식으로 정의하여 사람의 개입 없이 다양한 기계 중심 작업으로 자동화 할 수 있도록 합니다.
보안 오케스트레이션(Security Orchestration)
SOAR 솔루션은 서로 다른 사이버 보안 및 IT 운영 솔루션을 통합하여 협업하고 그에 따른 다른환경에 대한 포괄적인 시각을 제공합니다. 대부분의 경우는 내부 인시던트 및 정보를 외부 위협 인텔리전스가 제공하는 정보와 상관분석 가능토록 하고 있습니다. 이러한 통합 및 상관분석을 통해 보안 담당자는 다양한 사이버 보안 솔루션에서 발생하는 경고를 통해 문제의 근본원인(root cause’s)을 찾아내어 문제를 신속하게 해결할 수 있습니다.
- IT 솔루션을 사람이 아닌 머신에 의해 통합 연결 제공
- 풍부하면서 양방향의 API를 이용하여 통합 기능 제공
- 통합 추상화 제공 – 사용 편의성 및 확장성
보안 자동화(Security Automation)
자동화는 수동 조작을 필요로 하지 않고 자동으로 작업을 처리하는 것처럼 들립니다. 예를 들어, 보안 자동화는 새로운 사용자를 프로비저닝하거나 프로비저닝을 취소하거나, 로그에서 검색하거나, 위험성 판별을 위하 IP 스코어링을 수행 등이 보안 운영자의 개입 없이 작업을 처리 하도록 합니다. 또한 보안 자동화 솔루션이 오케스트레이션 솔루션이기도 하지만 둘 이상의 보안 솔루션을 사용해야하는 작업도 자동화합니다.
- 통합된 에코시스템의 오케스트레이션을 이용하여 플레이북을 정의하여 자동화
- 머신에 의해 플레이북을 실행하고 의사결정할 수 있는 워크플로우 제공(인간의 관여 또는 관여없이 가능)
보안 응답(Security Response)
해커들의 보안 악성행위로 인해 조직의 자원들은 항상 공격이 되고 있고 이러한 상항에 대처하기위해서는 여러 제조사의 시스템 또는 솔루션을 통해 해결하고자 합니다. 하지만 이러한 복잡한 솔루션을 통합하기 어려운 이유는 다양한 폼팩터, 처리방법, 프로토콜, 방법론, 시스템 등의 이유로 많은 문제점들이 발생하고 있습니다. 이러한 문제를 해결하기 위해 다양한 형태의 수행 방법을 제공해서 마치 하나의 솔루션인 듯 상호 조화롭게 입력 및 결과를 산출해 주도록 하는 것입니다. 보안 응답 기능을 가진 솔루션들은 여러 제조사의 솔루션, 여러 종류 프로토콜, 여러 형태의 데이터, 여러 형태의 서비스를 마치 하나의 동일한 시스템, 서비스, 프로그램에서 돌아가는 듯 조율해 주는 기능을 의미합니다.
- 이벤트/케이스/인시던트 워크플로우를 사람 및 머신에 의해 정책 조정 활동
- 리포팅, 협업, 케이스 관리
적응 응답(Adaptive Response)을 위한 에코시스템 – Security Nerve Center
Source: https://www.splunk.com/en_us/solutions/solution-areas/security-and-fraud/security-vision.html
워크플로우(Workflow)
일련의 비즈니스 활동을 정의하여 사람, 정보, 기타 자원의 흐름을 통합적으로 반복 가능한 패턴으로 프로세스를 실행 제어할 수 있도록 하는 것을 의미합니다.
위협 인텔리전스(Threat Intelligence)
이미 수집된 증거를 기반하는 지식으로, 기업의 IT나 정보자산에 위협이 될 수 있는 부분에 실행 가능한 조언을 컨텍스트나 메커니즘, 지표 등으로 제시하는 정보를 의미합니다. 예를들어, 해커들의 공격에 사용하는 악성코드, 소스 IP, 목적지 IP, 위치, 국가, DNS, URL, Hash값 등을 통틀어 위협 인텔리전스라고 합니다.