스텔라는 어떻게 이러한 과제들을 해결하는가 SIEM 취약점 관리
보안 정보 및 이벤트 관리(SIEM보안 도구는 오랫동안 취약점 발견을 주도해 왔습니다. 보안에 민감한 기업에서 매우 인기 있는 이 도구들을 통해 팀은 네트워크와 장치의 활동을 실시간으로 확인하고 악의적인 공격자에 의한 악용을 방지할 수 있습니다. 그러나 이러한 인기에도 불구하고 취약점 발견에는 한계가 있습니다. SIEM 도구가 부족함에도 불구하고, 취약점 관리는 오탐과 쌓여있는 경고를 일일이 수동으로 처리해야 하는 고된 작업이라는 평판을 얻었습니다.
자동화는 미래를 향한 길을 제시하지만, 그 적용은 정확해야 합니다. 따라서 먼저 당면 과제를 평가하는 것이 중요합니다. SIEM 취약점 관리부터 시작해서 자동화를 통해 최대 효과를 내는 방법을 살펴보겠습니다.
다음 세대 SIEM
스텔라 사이버 차세대 SIEM스텔라 사이버의 핵심 구성 요소로서 Open XDR 플랫폼...
AI 기반 보안을 실제로 경험해 보세요!
즉각적인 위협 탐지 및 대응을 위한 Stellar Cyber의 최첨단 AI를 만나보세요. 오늘 데모를 예약하세요!
취약점 관리란?
취약성은 엔드포인트, 네트워크 또는 직원 기반 내에 존재하는 모든 보안 약점입니다. 취약성 완화에는 모든 잠재적인 약점에 대한 전체적인 관점뿐만 아니라 이를 우선 순위를 정하고 패치하는 방화 접근 방식도 필요합니다. 결과적으로 취약성 관리가 지속적이고 광범위한 프로세스입니다.
중소기업조차도 직원 워크스테이션, 고객 성공 관리(CSM) 소프트웨어, 제조 현장을 모니터링하는 사물 인터넷(IoT) 장치 등 수백 개의 온라인 접점을 활용하고 있습니다. 2010년대 중반 이후 잠재적 취약점의 범위가 급격히 확대되었기 때문에, SIEM 이러한 도구들은 모든 애플리케이션, 서버 및 사용자의 활동을 중앙 시스템으로 가져와 2차 보안 위험 평가를 수행할 수 있도록 해주기 때문에 빠르게 정착되었습니다.
거기서부터 취약성 완화 프로세스가 진정으로 시작될 수 있습니다. 보안 관리자는 알림을 사용하여 관련 서비스 및 계정의 합법적인 활동과 비교하여 각각의 적법성을 평가할 수 있습니다. 그러나 사이버 보안 분석가는 점점 더 많은 백로그 알림과 까다로운 분류 프로세스에 직면하고 있습니다. 이는 팀의 평균 대응 시간(MTTR)을 손상시키고 기업의 방어에 틈을 만들 수도 있습니다.
기존 취약성 관리의 과제
디지털 서비스의 성장으로 기업의 공격 표면이 수작업으로 검토할 수 있는 범위를 훨씬 넘어섰습니다. 이는 취약점 관리 도구가 더욱 중요해졌다는 것을 의미합니다. SIEM 이러한 도구들은 매우 중요하지만, 모든 도구가 똑같이 만들어진 것은 아닙니다. 다음과 같은 문제점들은 솔루션이 오래되었거나 성능이 저하되었음을 나타내는 신호입니다.
엔터프라이즈 네트워크의 순수한 규모
이 시점에서 기업 내에서 기술을 통해 효율성이 크게 향상되지 않은 팀은 거의 없습니다. 직원 생산성에 있어서는 환상적이지만, 오늘날 기업에는 엔드포인트 장치, 네트워크 설정, 디지털 ID, 코드 줄, API, 클라우드 기반 워크로드 등을 포함하여 수십만 개의 정보 시스템이 있을 수 있다는 점을 고려하세요.
이 사고 연습의 다음 단계에서는 소프트웨어 결함과 인적 오류의 빈도를 고려하십시오. (기준을 제공하기 위해 새로운 일반적인 취약성 또는 CVE가 발견되었습니다. 80년에는 하루 약 2023건의 비율로). 이런 숫자로 볼 때, 대규모 조직이 정기적으로 수천 개의 잠재적인 취약점에 직면하고 있다고 가정하는 것은 합리적입니다. 중요한 접근 권한을 얻기 위해 공격자는 성공하기 위해 하나의 완전한 공격 경로만 필요합니다.
이러한 난제를 해결하기 위해 기존의 취약점 관리 방식은 기업의 공격 표면에 숨어 있는 모든 CVE를 찾아내는 데 집중합니다. 이 접근 방식은 위협을 무차별 대입 방식으로 찾아내려 하며, 모든 엔드포인트와 디바이스를 관리 플랫폼에 통합해야 한다는 제약을 가합니다. 이론상으로는 훌륭한 아이디어이지만, 네트워크가 어느 정도 복잡해지면 사각지대가 발생하기 시작합니다. 예를 들어, 일부 IoT 디바이스에는 에이전트를 설치할 수 없으며, 기존 소프트웨어나 타사 소프트웨어는 이러한 모델과 호환되지 않는 경우가 많습니다. 결과적으로 발생하는 보안 가시성 격차로 인해 많은 기존 방식이 한계에 부딪힙니다. SIEM 분석 도구는 분석가에게 불완전한 정보만을 제공합니다.
기존의 취약점 관리 방식은 개별적인 취약점을 찾아내고 패치하는 데 중점을 두었습니다. SIEM 이러한 도구들은 서버나 장치 내의 CVE 또는 잘못된 구성을 식별하는 데 매우 뛰어나도록 개발되었으며, 실제로 그렇습니다. 이제 관건은 이러한 정보를 어떻게 실질적인 조치로 전환하는가입니다.
경고 컨텍스트 부족
SIEM 공격 방지 성공의 결정적인 요소는 도구가 아닙니다. 중요한 것은 잠재적 위협이 발견된 후의 조치입니다. 수동 개입 프로세스는 관리자가 생성된 경고를 확인하고 추가 조사를 위해 태그를 지정하거나 오탐으로 표시하는 과정을 거칩니다. 작년에 가장 흔하게 발생한 두 가지 조치는 다음과 같습니다. SIEM 경고 메시지는 파일을 USB에 복사하고 인터넷 서버에 업로드하는 중이었습니다.
이러한 행동이 익숙하게 느껴진다면 회사에서 일한 적이 있을 겁니다! 안타깝게도 취약성 관리 솔루션은 마케팅 담당자가 공유한 Excel 파일과 공격자가 개인 고객 데이터를 빼내려는 것을 항상 구별할 수 있는 것은 아닙니다. 이 책임은 각 알림을 수동으로 검토하는 사이버 보안 관리자에게 전가됩니다. 동일한 솔루션은 MITRE가 높은 우선순위로 나열한 두 개의 새로운 CVE도 구별할 수 없습니다. 기능적으로 쓸모없는 CVE와 새로 노출된 공격 경로의 일부를 찾아내는 것은 관리자 팀의 몫입니다. 이러한 목록은 수동 위협 탐지로 처리할 수 있는 것보다 훨씬 빠르게 쌓여서 과부하가 걸리고 심각하게 느린 취약성 관리 프로세스가 발생합니다.
스텔라 사이버가 어떻게 SIEM 취약점 관리의 어려움을 해결합니다
최고의 보안 가시성을 위한 범용 센서
모든 취약성 관리 시스템은 민감한 리소스 주변에서 발생하는 이벤트에 대한 완전한 가시성을 가져야 합니다. Stellar의 가시성은 각 모니터링 네트워크 내의 주요 지점에서 정보를 수집하는 센서에서 나옵니다. 다양한 센서는 통합 범위를 반영합니다. Linux 서버 센서는 호환되는 Linux 환경에서 실행되며 로그와 명령 실행 이벤트를 자동으로 수집합니다. 각 센서의 리소스 사용에 대한 세부적인 제어는 서버 처리량을 높게 유지하는 데 도움이 됩니다.
Windows 서버 센서는 Windows 환경을 통해 수행되는 모든 이벤트와 작업을 처리합니다. 엔드포인트와 통신을 보호하는 데 유용한 이 인터페이스는 풍부한 위협 가시성을 제공합니다. Linux 및 Windows 에이전트와 함께 Stellar Cyber는 모듈식 센서를 제공합니다. 이러한 센서는 로그를 전달하고, 네트워크 트래픽을 수집하고, 맬웨어를 샌드박스하고, 취약성이나 발견되지 않은 자산을 스캔하도록 사용자 정의할 수 있습니다.
기업 자체 네트워크에 대한 이러한 가시성은 Stellar의 커넥터와 병행하여 작동합니다. 이 커넥터는 위협 데이터베이스와 같은 외부 데이터 소스에서 정보를 수집하며, Stellar의 간소화된 데이터 수집 기능을 통해 수백 가지의 통합 기능을 구축할 수 있습니다. 이러한 다양한 유형의 센서는 단순히 포괄적인 가시성을 제공하는 것뿐만 아니라 Stellar Cyber의 차세대 보안을 정의하는 데이터 분류를 시작하는 역할도 합니다. SIEM.
지능적 사건 조사
당신이 사용했다면 SIEM 이전에 다른 도구를 사용해 보셨다면 알림에 익숙하실 겁니다. 알림은 잠재적으로 의심스러운 이벤트를 나타내는 기본적인 지표입니다. 하지만 Stellar Cyber의 알림 방식은 생소할 수 있습니다. 보호된 네트워크 내에서 의심스럽거나 예상치 못한 활동이 발생하면 Stellar Cyber는 기본 수준의 알림을 생성하고, 이를 분석 엔진에 입력하여 정당성을 판단합니다. 이 과정에서 알림과 관련된 로그 데이터를 통합하여 맥락을 파악하고, 해당 엔드포인트 또는 사용자의 행동 프로필을 분석합니다.
이는 지도 학습 및 비지도 학습 모델을 혼합하여 가능합니다. 비지도 학습 모델은 네트워크의 데이터 분포를 자동으로 학습하고, 다양한 유형의 모델을 사용하여 모든 가능한 각도에서 동작을 평가합니다. 드문 이벤트 모델은 갑자기 나타나는 이벤트를 찾고, 시계열 분석 모델은 활동의 비정상적인 급증, 낮은 값 및 드문 값을 감지합니다. 더욱 흥미로운 것은 인구 기반 시계열 분석 모델입니다. 이 모델은 과거 피어 데이터를 살펴보고 거기에서 벗어난 것을 감지하여 이전에 매우 은밀하게 침해된 계정을 발견하고 중단할 수 있고, 새로운 권한이 높은 계정을 이전의 진짜 계정과 마찬가지로 잘 모니터링할 수 있습니다.
이 분석 프로세스는 기록된 모든 의심스러운 동작 또는 이벤트에 대해 수행됩니다. 여러 이벤트가 발생하는 경우 이 분석 엔진은 이벤트가 관련이 있는지, 따라서 공격 체인의 일부인지 확인하려고 합니다. 이것이 Stellar Cyber가 매일 제공하는 것입니다. 2차원 경고를 내뱉는 대신 이를 사례로 상관시킵니다. 거기에서 사례는 잠재적 공격 경로의 심각도를 나타내는 심각도 점수로 순위가 매겨집니다.
이것이 바로 Stellar Cyber가 구식 방식을 다루는 핵심입니다. SIEM 취약점. 대시보드에서 바로 접근 가능한 사례 분석 기능은 경고 피로도를 줄이고 사이버 보안 팀에 필요한 신속하고 강력한 분석을 제공하는 새로운 강력한 방법입니다.
통합 및 자동화된 취약성 관리
지금까지 Stellar Cyber가 어떻게 심층적인 가시성을 제공하고, 모든 데이터를 실행 가능한 정보로 간소화하는지 살펴보았습니다. 하지만 중요한 것은 의심스러운 이벤트가 식별된 후의 조치입니다. Stellar가 다른 보안 도구에서 정보를 가져오는 데 그치지 않고, 해당 도구를 통해 분석된 사례에 대해 조치를 취할 수 있는 이유가 바로 여기에 있습니다. 즉, 이러한 도구에서 식별된 취약점을 Stellar를 통해 실시간으로 모니터링, 관리 및 대응할 수 있다는 의미입니다. SIEM 대시보드 자체를 활용하는 것입니다. 이는 평균 응답 시간(MTTR)을 획기적으로 단축할 뿐만 아니라 자동화된 응답을 위한 기반을 마련합니다.
Stellar의 플랫폼에는 Windows 로그인 실패, DNS 분석, Office40 익스플로잇과 같은 광범위한 공격 표면을 포괄하는 365개 이상의 사전 구축된 위협 탐지 자동화 플레이북이 포함되어 있습니다. 이러한 플레이북은 지속적인 위협 사냥의 기준을 제공하며, 이와 함께 사용자 지정 플레이북을 자유롭게 만들 수 있습니다. 보다 복잡한 오케스트레이션을 위해 Stellar Cyber는 Phantom, Demisto, Swimlane, Siemplify와 같은 선도적인 자동화 솔루션과 완벽하게 통합되어 대응 유연성을 향상시킵니다.
스텔라가 어떻게 혁신을 일으키는지 확인해 보세요 SIEM 취약점 관리
취약점 관리는 급변하는 환경에 발맞춰 나가야 합니다. AI를 언제 어떻게 적용해야 하는지, 그리고 인간의 개입이 필요한 부분은 어디인지 아는 것이 정확하고 지속 가능한 접근 방식의 핵심입니다. Stellar Cyber의 사례 기반 분석은 기존 방식을 뛰어넘는 효율성을 제공합니다. SIEM또한 분석가들이 분류 과정에서 발생하는 시간 낭비를 줄일 수 있도록 합니다.
오늘 데모를 시도해보세요 Stellar가 취약성 관리를 위한 현명한 선택인 이유를 확인해 보세요.
