IT 기술/보안

SOAR (Security Orchestration, Automation and Response)

gooooooood 2024. 11. 27. 11:10
반응형

Ⅰ. 정보보안 자동화 솔루션, SOAR의 개요

가. SOAR의 개념

- 다양한 사이버위협에 대응 수준을 자동 분류하고 표준화된 업무 프로세스에 따라 유기적으로 솔루션을 제공하는 보안 플랫폼

 

나. SOAR의 등장 배경

사이버 공격의 진화 - 랜섬웨어, APT 등 사이버 공격 진화 및 고도화
- 클라우드, IoT 등 관리 범위 확대, 공격 대상 증가
기존 보안관제 한계 - 다양한 이기종 보안장비의 보안 데이터 분석 한계
- 탐지 이벤트 분석과 대응책 마련에 많은 시간 소

 

 

Ⅱ. SOAR의 아키텍처와 주요 기능

가. SOAR의 아키텍처

- SOA(Security Orchestration and Automation)
- 단순 반복 작업 정리 및 자동화
- SIRP(Security Incident Response Platform)
- 이슈 발생 대응 체계 관리
- TIP(Threat Intelligence Platform)
- 보안 이벤트 수집 분석 및 대응 솔루션 연

- SOAR은 SOA, SIRP, TIP 3가지 플랫폼의 조합으로 구성

 

나. SOAR의 주요 기능

구분 기능 tjfaud
Orchestration - 보안 솔루션 연동 - 다양한 보안 솔루션 연동
- 탐지 이벤트 자동 분석
- 가시성 제공 - 대시보드로 보안 상황 확인
- 사이버킬체인 적용, 대응절차 시각화
Automation - 업무 자동화 - 단순 반복 업무 자동화
- 동적 플레이북 제공 - 일관된 프로세스로 품질 유지
- 작업 및 스크립트 - 스크립트 추가로 플랫폼 기능 자동화
Response - 사고대응 및 협업 - 사고대응 의사결정 기록관리
- 리포팅 - 사고 대응 지표 관리

 

Ⅲ. SOAR 도입 시 고려사항

고려사항 설명
업무프로세스 정의 - 정해진 업무 프로세스 외 업무 프로세스 처리 불가
- 세부적인 업무 프로세스 정의 후 SOAR 도입
자동화 리스크 고려 - 모든 업무 자동화 적용 불가
- 최종 판단은 보안전문인력이 수행
- 연계 보안 시스템 기능 오류 등 고려
도입 후 운영방식 - 기업 업무 프로세스 변화에 따른 SOAR 유지관리 필요
- 연계 보안 솔루션 기능 변경 시 API 수정

- 국내 안랩의 AhnLab Sefinity AIR 솔루션과 로그프레소의 마에스트로 솔루션

반응형