FBI에 따르면, 사이버 공격 사이버 부서에 보고된 정보는 400% 증가했습니다. 전염병 이전 수준, 그리고 공격이 점점 더 나빠지고 있습니다. 금융 사이트에서 의료 사이트, 정부 사이트, 공급망 산업에 이르기까지 그 누구도 이러한 공격으로부터 안전하지 않습니다. 이러한 위협에 대한 전통적인 방어는 보안 운영 센터 (SOC) – TV 화면의 보안 경고를 지켜보고 있는 분석가들로 가득 찬 방 – 하지만 이 방어 기능은 잘 작동하지 않습니다. 사이버 보안 Continental Pipeline, Target, TransUnion 또는 심각한 공격을 경험한 수백 개의 다른 회사의 팀.
어떻게 SOC 작동함, 그리고 작동하지 않음
뒤에 숨겨진 작동 이론 SOC 다양한 방법을 통해 기업 전반에 걸쳐 충분한 데이터를 수집한다면 IT 및 보안 도구, 그런 다음 분석 플랫폼을 사용하여 다양한 도구의 경고에 순위를 지정하고 시각화한 다음, 마지막으로 계층화된 분석 팀을 배치하여 경고를 관리하고 대응합니다. 그러면 대부분 또는 모든 사이버 공격이 실제 피해를 입히기 전에 신속하게 발견되어 처리될 것입니다. 실제 경험은 그렇지 않다고 말합니다.
몇 가지 이유가 있습니다. SOC 모델 깨진다. 우선, 이러한 모든 보안 도구는 수많은 경고를 발행합니다. 그 중 수천 개는 무해한 경고입니다. 예를 들어, 일반적으로 사무실에 있는 사용자가 원격 위치에서 로그인하면 경고를 트리거하거나 업무 시간 외에 로그인하는 사용자가 경고를 트리거할 수 있습니다. 보안 분석가는 매일 수백 또는 수천 개의 "오탐지" 경고를 처리해야 합니다.
또 다른 이유 SOCs 실패는 사용 중인 개별 사이버 보안 도구마다 고유한 데이터 형식과 종종 고유한 콘솔이 있으며 궁극적으로 조직의 보안 태세의 한 측면만 묘사한다는 것입니다. 오늘날의 세계에서 많은 복잡한 사이버 공격은 둘 이상의 벡터를 통해 발생합니다. 이는 누군가가 방화벽을 두드리는 것이 아니라 이메일을 통한 피싱 공격이거나 일상적인 프로그램 업데이트(예: SolarWinds 공격문제는 다음과 같습니다. SOC누구도 전체적인 상황을 처음부터 파악할 수는 없습니다. 수천 건의 경고를 분석가 팀이 수동으로 종합하여 전체적인 상황을 파악해야 합니다. 이러한 수동 작업으로 인해 강력한 자동화가 불가능하며, 모든 경고에 주의를 기울일 수도 없습니다.
따라서 경고가 너무 많고 도구가 너무 많으며 도구 간의 자동 데이터 상관 관계가 충분하지 않습니다. 그러나 또 다른 문제가 있습니다. 분석가가 충분하지 않다는 것입니다. 사이버 보안 전문가에 대한 글로벌 연구 정보 시스템 보안 협회(ISSA) 및 산업 분석 회사 ESG(엔터프라이즈 전략 그룹) 는 사이버 보안 도구에 대한 투자 부족과 분석가의 추가 작업 부하 문제가 기술 부족을 초래하여 채워지지 않은 일자리와 정보 보안 직원의 높은 소진을 초래한다고 보고합니다. 또한 이는 분석가 비용을 증가시킵니다. 최고 수준의 사이버 보안 분석가는 연간 $200,000를 벌 수 있습니다.
물론 이 모든 것은 사이버 공격이 점점 더 정교해지고 많아지는 세상에서 일어나고 있습니다.
SOC덜 – 또 다른 방법
하지만 기업이 포기한다면? SOC 아이디어? 사이버 방어를 지리적으로 그리고 인프라 전문가 팀에 배포하면 어떻게 될까요? 플랫폼이 우선 순위가 낮은 경고에 응답하는 일상적인 작업과 모든 IT 및 보안 도구 간의 상관 관계를 연결하는 복잡한 작업을 자동화하면 어떻게 될까요? 분석가가 위협을 사전에 찾고 모범 사례 정책을 구현하는 데 시간을 보낸다면 어떻게 될까요? 경보 피로가 존재하지 않는다면? 이것이 가능한가?
그것은. 작동 방식에 대한 예를 보려면 소프트웨어 개발 팀을 참조할 수 있습니다. 소프트웨어 개발에 대한 현대적인 접근 방식인 DevOps에서 세계 최고의 소프트웨어 회사는 개발자를 한 방에 줄을 서지 않고 전 세계에 분산된 사람들과 비동기식 협업을 허용하는 시스템을 보유하고 있습니다. 그러나 사람들이 앉는 것보다 더 많은 것이 있습니다.
DevOps에서 혁신 및 버그 수정은 CI/CD(지속적 통합 및 지속적 전달) 시스템을 기반으로 구축된 24/7 지속적인 작업입니다. 최신 CI/CD를 통해 개발자는 구축에 집중할 수 있으며 가장 작은 팀이 시장을 정의하는 제품을 구축할 수 있습니다. 일상적이고 복잡한 작업은 CI/CD에서 완전히 자동화되며 개발자는 롤아웃하는 모든 기능에 대해 사전 예방적 테스트를 수행해야 합니다. 이것은 개발자가 가장 중요한 것에 집중할 수 있도록 시스템의 오류와 버그를 크게 줄입니다.
의 전통적인 작품 SOC 수천 개의 경보에 대비하여 전담 팀을 구성하고 있습니다. 그러나 최고의 기술 회사는 새로운 모델을 채택했습니다. 신뢰할 수 있고 잘 문서화되어 충실도가 높은 경고가 주목을 받지만 대부분의 경고는 자동화로 인해 무시될 수 있습니다. 가장 진보된 사이버 보안 플랫폼은 방화벽, 최종 사용자, 애플리케이션 또는 서버와 같은 특정 영역을 담당하는 인프라 또는 애플리케이션 소유자에게 일련의 권장 응답과 함께 일상적인 경고를 자동으로 보냅니다. 같이 알렉스 마에스트레티 (현 Remily의 CISO, 전 Netflix 엔지니어링 매니저, Netflix의 SecOps 팀 소속) SOC적게) 넣어, 이것이 의미하는 바입니다. SOC적게 – 시스템 전문가에게 경보 분류를 분산합니다. 피로를 경고하는 솔루션은 더 많은 사람이나 더 많은 데이터가 아니라 분산된 프로세스를 갖춘 강력한 자율 시스템입니다.
로 이전 SOC적게
이것을 만들기 위해 보안요원 모델 작업에서 보안 부서는 경고를 찾는 모니터를 쳐다보지 않고 의미 있는 정책 변경, 탐지 전략 및 플레이북에 지속적으로 기여하는 사람들을 필요로 합니다. 그 상태에 도달하려면 노력과 노력이 필요하지만 분석가가 항상 경고를 모니터링하고 있다면 문제보다 앞서 나가지 못할 것입니다. 사전 예방을 위해 보안 팀은 다음이 필요합니다. CI / CD 보안 인프라와 동일합니다.
첫 번째 요구 사항은 위생 모범 사례를 쉽게 적용할 수 있는 핵심 위험 관리 제어 기능을 갖추는 것입니다. 이에 대한 한 가지 대표적인 예는 제로 트러스트의 철저한 구현입니다. 이는 보안 태세를 개선할 뿐만 아니라 경고 및 소음을 줄여 데이터 문제를 단순화합니다. 두 번째 요구 사항은 사이버 보안입니다. 탐지 및 대응 플랫폼 전략과 플레이북을 신속하게 배포할 수 있는 곳입니다. 신속한 배포 및 구성이 가장 중요합니다. 감지 및 대응 아이디어에서 프로덕션 배포까지의 시간은 가능한 XNUMX에 가까워야 합니다. 이를 지원하는 모든 탐지 및 대응 플랫폼은 사용하기 쉽고 AI 및 기계 학습 기반 탐지를 포함하여 즉시 사용 가능한 중요한 콘텐츠를 포함합니다.
진행 SOC적게 그러나 기술 이상의 것이 필요합니다. 상당한 자동화에 익숙해지고, 인프라 소유자가 관련 경고를 직접 수신하고, 사전 예방적 보안 작업에 대부분의 시간을 할애하는 등 헌신적인 팀과 새로운 프로세스가 필요합니다. 그러나 항상 인력이 필요하며 많은 기업에서 관리형 보안 서비스 제공업체를 통해 내부 인력을 늘리는 것이 비용 효율적인 방법으로 사전 예방적 상태를 유지할 수 있습니다. 기업은 올바른 전략이 지속적으로 배포되고 있는지 확인하기 위해 인력이 필요합니다. MSSP 탐지 및 대응 플랫폼의 공동 관리 배포를 통해 기업은 필요에 따라 지원을 확장할 수 있습니다. 기업이 as-a-Service 오퍼링을 위해 클라우드로 전환한 것처럼 MSSP 을 통한 SOC-as-a-Service 제물. 이것은 많은 사람들이 내부 작업을 완료하는 데 도움이 될 것입니다. SOC적게 전이.
따라서 분산 DevOps 기능을 잘 살펴보고 이를 분산 보안 운영(SecOps)에 매핑함으로써 기업은 복잡한 공격을 발견하고 수정하는 측면에서 해커보다 앞서 나갈 수 있습니다. 그것을 해내려면 인식의 진정한 변화가 필요하지만 지구상에서 가장 크고 가장 앞선 회사 중 많은 곳이 이미 사라졌습니다. SOC적게. 아마도 다른 모든 회사도 그랬을 것입니다.
