SOAR(Security Orchestration Automation & Response)

SOAR(Security Orchestration Automation & Response)

보안 데이터를 지휘자에게 다 넘기고 자동화(AI를 이용한 자동화) 하여 분석하는 것이다. 공격 방식은 점점 다양해지고 필요한 보안 방식과 운영 환경 구성, 신기술 등 보안 담당자가 할 일은 점점 많아지고 있다. 이를 해결하기 위해 SOAR가 생겼다. SOAR는 다양한 보안 위협에 대해 대응 프로세스를 자동화하고 조율하여 기존의 반복적이고 단순한 작업을 효과적으로 줄이고, 각종 보안 이벤트를 빠르고 정확하게 대응할 수 있도록 도와준다.

미국의 정보 기술 연구 및 자문 회사인 가트너는 SOAR를 통해 사람, 기술 그리고 프로세스를 조율하고 자동화하여 조직에서 사고 대응 효율성과 일관성을 개선하고자 한다. 보안 대응팀의 단조롭고 반복적인 업무를 파악하고 그 업무에 소요되는 시간을 줄여준다.

기존의 SIEM에서 AI, 사용자 계정 행위분석(UEBA : 사용자와 엔드포인트를 모니터링하여 조직 내부자의 위협으로 부터 보호하는 것) 등 고급 분석 기능을 더하고, 각종 위협 인텔리전스와 IOC를 연계해 보안 탐지를 우회하는 공격까지 인식할 수 있도록 진화헀다. 하지만 SIEM은 위협을 탐지할 수 있지만 대응하지 못하기 때문에 관리자가 탐지된 이벤트에 대해 대응처리를 해줘야할 필요가 있다. 하지만 걸러져서 들어온 이벤트임에도 관리자 입장에서하는 지속적으로 신경써야하는 부분이다. 이를 해결하기 위해 AI를 통해 자동화하여 업무의 효율을 늘리고자 SOAR가 생겼다.

또한, SOAR가 생겨난 결정적인 이유는 고급보안인력이 부족하기 때문이다. 보안관제의 경우 보안관제 인력의 숙련도에 따라 크게 좌우 된다. 하지만 SIEM을 도입하면서 확인해야할 보안 이벤트의 양은 더욱 늘어나고 새로운 방식의 공격에 대해서도 판단해야 하는 보안담당자 입장에서는 할일이 너무 많아졌다. 그래서 숙련도에 관계없이 적절한 조치를 내릴 수 있는 영역에는 SOAR가 자동으로 처리를 해주며 보안담당자는 다른 업무에 더욱 집중할 수 있도록 도와준다.

 

SOAR 플랫폼의 오케스트레이션 기능

• 동적 플레이북(Dynamic playbooks) : 복잡한 공격에 대응하는 데 필요한 민첩성과 정교함을 제공한다. 동적 플레이북은 사고 상황을 실시간으로 자동 대응하고 분석가가 사고를 접하기 전에 반복적인 초기 단계가 완료되도록 한다.
• 시각적 워크플로우(Visual workflows) : 복잡 다난한 워크플로우를 시각적으로 보여줌으로써 분서가가 사고 대응을 잘 조율할 수 있도록 도와준다.
• 사고 시각화(Incident visualiztion) : 조직 환경에서 발생한 보안 이벤트(사고) 사이의 관계 또는 IoC(Indicator of Compromise) 등을 시각적으로 표시한다.
• 타이머(Timer) : 팀이 시기 적절한 대응을 보장하고 병목 현상을 식별하며 SLA(서비스 수준 협약 : 공급업체에 기대하는 서비스 수준을 기술한 문서)를 준수할 수 있도록 워크플로우에서 시간 기반의 규칙을 적용한다.
• 이티팩트 워크플로우(Artifact workflows) : 툴 간 자동화 워크 플로우를 구현하는 동시에 사람 중심의 작업 및 승인을 허용한다.
• 작업 및 스크립트(Tasks and scripts) : 워크 플로우에서 스크립팅 기능을 추가해 플랫폼 내 자동화를 가능케 한다.

 

SOAR의 효과

IBM에서 설명한 SOAR의 효과

 

www.boannews.com/media/view.asp?idx=94310

이글루시큐리티, SOAR 솔루션 특허 2건 취득