반응형
Ⅰ. 정보보안 자동화 솔루션, SOAR의 개요
가. SOAR의 개념
- 다양한 사이버위협에 대응 수준을 자동 분류하고 표준화된 업무 프로세스에 따라 유기적으로 솔루션을 제공하는 보안 플랫폼
나. SOAR의 등장 배경
사이버 공격의 진화 | - 랜섬웨어, APT 등 사이버 공격 진화 및 고도화 - 클라우드, IoT 등 관리 범위 확대, 공격 대상 증가 |
기존 보안관제 한계 | - 다양한 이기종 보안장비의 보안 데이터 분석 한계 - 탐지 이벤트 분석과 대응책 마련에 많은 시간 소 |
Ⅱ. SOAR의 아키텍처와 주요 기능
가. SOAR의 아키텍처
- SOA(Security Orchestration and Automation) - 단순 반복 작업 정리 및 자동화 |
|
- SIRP(Security Incident Response Platform) - 이슈 발생 대응 체계 관리 |
|
- TIP(Threat Intelligence Platform) - 보안 이벤트 수집 분석 및 대응 솔루션 연 |
- SOAR은 SOA, SIRP, TIP 3가지 플랫폼의 조합으로 구성
나. SOAR의 주요 기능
구분 | 기능 | tjfaud |
Orchestration | - 보안 솔루션 연동 | - 다양한 보안 솔루션 연동 - 탐지 이벤트 자동 분석 |
- 가시성 제공 | - 대시보드로 보안 상황 확인 - 사이버킬체인 적용, 대응절차 시각화 |
|
Automation | - 업무 자동화 | - 단순 반복 업무 자동화 |
- 동적 플레이북 제공 | - 일관된 프로세스로 품질 유지 | |
- 작업 및 스크립트 | - 스크립트 추가로 플랫폼 기능 자동화 | |
Response | - 사고대응 및 협업 | - 사고대응 의사결정 기록관리 |
- 리포팅 | - 사고 대응 지표 관리 |
Ⅲ. SOAR 도입 시 고려사항
고려사항 | 설명 |
업무프로세스 정의 | - 정해진 업무 프로세스 외 업무 프로세스 처리 불가 - 세부적인 업무 프로세스 정의 후 SOAR 도입 |
자동화 리스크 고려 | - 모든 업무 자동화 적용 불가 - 최종 판단은 보안전문인력이 수행 - 연계 보안 시스템 기능 오류 등 고려 |
도입 후 운영방식 | - 기업 업무 프로세스 변화에 따른 SOAR 유지관리 필요 - 연계 보안 솔루션 기능 변경 시 API 수정 |
- 국내 안랩의 AhnLab Sefinity AIR 솔루션과 로그프레소의 마에스트로 솔루션
반응형
'IT 기술 > 보안' 카테고리의 다른 글
제로데이 취약점 (0) | 2024.11.27 |
---|---|
사이버 킬 체인 (0) | 2024.11.27 |
CDR (Content Disarm & Reconstruction) (0) | 2024.11.27 |
해시 솔트, 키 스트레칭 (1) | 2024.11.27 |
개인 정보 보호 강화 기술 (PET, Privacy-Enhanced Technology) (0) | 2024.11.26 |