2012년에 저는 보안 서비스(Security-as-a-Service)를 제공하는 최초의 업체 중 하나에서 근무했습니다. 당시 클라우드 환경에서 보안을 구축하는 것은 최첨단 기술이었고, 많은 보안 팀은 이를 기존 보안 체계에 또 다른 취약점으로 인식하여 도입을 꺼렸습니다. 하지만 오늘날에는 클라우드 기반 보안 서비스를 배포하는 것이 훨씬 더 효율적입니다. SIEM, XDR베어메탈 기반의 SecOps 플랫폼은 오늘날 많은 보안 책임자들에게 구식으로 여겨집니다.
실제로 보안 팀이 배포 속도를 높이는 것부터 비용 절감, 보안 웹 브라우저에서 제품에 액세스할 수 있는 유연성까지 보안 제품에 대한 선호하는 배포 옵션으로 클라우드를 찾는 타당한 이유가 있습니다. 즉, 보안 팀에는 온프레미스 보안 운영 플랫폼 접근 방식을 선택해야 하는 타당한 이유가 있습니다. 온프레미스 배포가 조직에 적합한 선택이 될 수 있는 네 가지 이유는 다음과 같습니다.
온프레미스 배포를 해야 하는 4가지 이유
1. 매우 민감한 데이터
모든 보안 팀은 회사 데이터의 기밀성을 우선시합니다. 그러나 조직에서 기밀 정보를 처리하는 경우 데이터가 환경을 벗어나지 않도록 해야 할 수도 있습니다. 이러한 경우 클라우드 기반 보안 제품을 사용하는 것은 시작이 아닙니다. SecOps 플랫폼을 온프레미스에 배포하면 중요한 로그 및 기타 보안 정보가 환경 내에 안전하게 유지되어 추가 보호 계층을 제공하므로 안심할 수 있습니다.
2. 규정
규제 기관이 업계를 면밀히 조사하는 정도는 조직이 처리하는 데이터 유형과 해당 데이터가 손상될 경우 고객에게 심각한 피해를 줄 가능성에 따라 크게 달라질 수 있습니다. 예를 들어 의료, 금융, 정부 조직은 GDPR, HIPAA 및 기타 지역 데이터 보호법과 같은 엄격한 규제 요구 사항을 준수해야 합니다. 귀하의 조직이 이렇게 규제가 엄격한 산업 중 하나에 속해 있다고 가정해 보십시오. 이 경우 잠재적인 규제 위반을 제거하기 위해 SecOps 플랫폼을 온프레미스에 배포하는 것 외에는 선택의 여지가 없을 수 있습니다.
3. 사용자 정의 및 버전 관리
보안 팀의 역량과 대상 사용 사례에 따라 기성 SecOps 플랫폼 위에 일부 사용자 지정 구성 및/또는 코드를 배포해야 할 수도 있습니다. 클라우드 기반 SecOps 플랫폼을 사용할 때 공급업체는 플랫폼에 대한 이러한 종류의 사용자 지정 기능을 제한할 수 있습니다. 또한 공급업체는 사전 통지가 거의 또는 전혀 없이 SecOps 플랫폼에 업데이트를 적용할 수 있으며, 이로 인해 보안 팀이 약간의 속쓰림을 겪을 수 있습니다. 온프레미스 배포를 통해 보안 팀은 클라우드 기반 플랫폼에서 구현하기 어려울 수 있는 맞춤형 보안 정책 및/또는 자동화를 구현할 수 있습니다. 이러한 수준의 유연성과 제어 기능을 통해 팀은 특정 요구 사항에 맞게 플랫폼을 맞춤화하고 외부 제한 없이 버전 제어를 유지할 수 있습니다.
4. 성능 고려 사항
대부분의 조직은 대기 시간을 최소화할 수 있는 고속 네트워크를 사용하지만 대규모 데이터 세트를 업로드하거나 다운로드하는 경우에도 일부 조직은 사무실 위치로 인해 네트워크 안정성/안정성에 어려움을 겪을 수 있습니다. 또한 조직 또는 조직의 일부가 내부 또는 외부 정책을 준수하기 위해 인터넷에 연결되어 있지 않은 상황이 있습니다. 비슷한 상황에 처한 경우 온프레미스 배포 모델이 유일한 실제 옵션입니다.
다음 온프레미스 SecOps 플랫폼 선택
온프레미스 배포를 해야 하는 네 가지 이유를 설명했지만, SIEM 보안 운영 플랫폼이 필요할 수도 있고, 그 외에도 여러 가지가 있습니다. 온프레미스 배포가 필요한 이유가 무엇이든 간에, 다음으로 자연스럽게 떠오르는 질문은 "어떤 플랫폼을 선택해야 할까요?"일 것입니다. SIEM내 배포 요구사항을 충족하는 보안 운영(SecOps) 플랫폼을 찾고 있습니다.
온프레미스 플랫폼을 선택할 때 다음 세 가지 권장 사항을 따르십시오.
1. 역량
말할 것도 없이 온프레미스 배포 기능을 지원하는 보안 운영 플랫폼은 매우 다양합니다. 기능 스펙트럼의 최하위 수준에는 다양한 소스에서 로그 데이터를 수집할 수 있지만 모든 탐지 및 상관 관계 규칙을 생성, 관리 및 유지해야 하는 온프레미스 배포 가능 플랫폼을 홍보하는 공급업체가 있을 수 있습니다. 이 제품은 의심할 여지 없이 장기적으로 팀의 효율성을 떨어뜨리는 미화된 로그 관리 도구입니다.
반대편 극단에는 타사 보안 경고, 로그 데이터, 네트워크 트래픽, 사용자 및 자산 활동 스트림을 캡처할 수 있는 구성이 간편한 통합 기능을 갖춘 제품이 있습니다. 그런 다음 머신 러닝 및 인공지능 모델과 공급업체가 엄선한 탐지 규칙을 결합하여 사람의 개입 없이 고도화된 위협을 자동으로 탐지합니다. 스텔라 사이버(Stellar Cyber)가 바로 그러한 제품입니다. Open XDR 플랫폼은 이러한 방식으로 작동합니다.
옵션을 평가할 때 기능에 관한 조사 질문을 하고 공급업체의 주장을 검증하기 위해 환경에서 PoC(개념 증명)를 요구하십시오.
2. 통합
첫 번째 권장 사항에서 언급했듯이 통합은 모든 보안 운영 플랫폼에서 가치를 얻는 데 매우 중요합니다. 상당한 수동 및 맞춤형 통합이 필요한 제품을 사용해 본 사람이라면 이것이 빠르게 악몽으로 변할 수 있다는 것을 알고 있습니다. 우선, 모든 보안 팀이 통합을 만들 수 있는 기술적 능력을 갖춘 것은 아니므로 외부 리소스와 계약하여 통합을 생성 및 유지 관리하거나 공급업체에 통합 구축을 위한 추가 비용을 지불하거나 통합을 소유하기 위해 전담 리소스를 고용해야 합니다. . 어떤 경우든 결과적으로 시간이 지날수록 예상보다 훨씬 더 많은 비용이 드는 플랫폼이 탄생합니다.
더 나은 옵션은 공급업체가 보안 팀이 쉽게 구성할 수 있는 통합을 만들기 위해 노력과 리소스를 투자하는 플랫폼을 선택하는 것입니다. 예를 들어, 우리 플랫폼에는 추가 비용 없이 모든 사용자가 사용할 수 있는 사전 구축된 수백 개의 통합이 포함되어 있습니다. 또한 고객이 추가 통합을 필요로 하는 경우 추가 비용 없이 이를 개발해 드립니다.
공급업체와 대화할 때 통합하려는 제품과 해당 플랫폼이 해당 제품을 지원하는지 여부를 공급업체가 이해하고 있는지 확인하십시오. PoC 프로세스 중에 그들이 말하는 내용을 검증하십시오.
3. 로드맵
보안 워크플로의 허브로 투자하고 통합한 제품에 미래가 없다는 사실을 알게 되면 가장 노련한 보안 리더라도 좌절감을 느낄 수 있습니다.
예를 들어, 팔로알토네트웍스가 최근 IBM QRadar를 인수한 사례가 있습니다. SIEM 클라우드는 아무것도 남기지 않았습니다 IBM QRadar 온프레미스 추위에 떨고 있는 고객. 이러한 고객이 온프레미스를 유지해야 하는 경우 배포 요구 사항을 충족하고 기존 QRadar 데이터, 구성 및 규칙을 새 플랫폼으로 신속하게 마이그레이션하는 데 도움을 줄 수 있는 다른 벤더가 필요합니다.
로드맵이 있는 제품은 합병이나 인수와 같은 주주 관련 조치에 휩쓸릴 수 있지만, 공급업체가 현재 플랫폼 버전 이상의 계획을 가지고 있다는 것을 보면 최소한 플랫폼의 변화에 따라 플랫폼이 계속해서 발전할 것임을 알 수 있습니다. 위협 환경 및 사용자 요구 사항.
예를 들어, 여기 Stellar Cyber에서는 고객 및 잠재 고객과 함께 온프레미스, 클라우드에 배포하거나 선택한 MSSP에서 공동 관리할 수 있는 플랫폼에 대한 로드맵을 정기적으로 검토합니다. 우리는 앞으로도 동일한 기능으로 클라우드 및 온프레미스 배포를 지원하기 위해 최선을 다하고 있음을 고객에게 투명하게 알립니다. 또한 이러한 약속을 통해 고객은 상황 변화에 따라 보안 접근 방식을 조정할 수 있습니다. 예를 들어, 조직이 향후 온프레미스 배포에서 클라우드로 전환할 수 있다면 완전히 다른 제품을 배우지 않고도 Stellar Cyber를 통해 원활하게 마이그레이션할 수 있습니다.
생각을 폐쇄
보안은 모든 경우에 적용되는 일률적인 제안이 아닙니다.
클라우드는 비즈니스 규모를 빠르게 확장할 수 있는 기능을 제공하고 보안팀의 비용 및 리소스 관리를 지원하지만, 클라우드 기반 보안 시스템을 구축해야 하는 타당한 이유도 있습니다. SIEM/XDR온프레미스 보안 운영 플랫폼. 제가 앞서 설명한 간단한 권장 사항을 따르는 것이 차기 플랫폼을 찾는 데 좋은 출발점이 될 수 있습니다. Stellar Cyber가 어떻게 작동하는지 알아보려면 다음을 참조하세요. Open XDR 보안 운영 플랫폼은 온프레미스 배포 요구 사항을 충족할 수 있습니다. 개인적인 상담을 원하시면 오늘 저희에게 연락주세요. 또한 빠른 이동을 원하는 활성 IBM QRadar On-Premise 고객인 경우 귀하를 위한 특별 프로모션이 있습니다.
