A. SOAR의 개요
1. SOAR란?
SOAR은 보안 스택의 다른 모든 도구를 자동으로 실행할 수 있는 정의된 워크플로에 함께 연결합니다. 즉, SOAR을 사용하면 반복적인 수동 프로세스를 자동화하여 팀의 효율성을 높일 수 있습니다. 위협이 기하급수적으로 늘어나고 있는 오늘날 위협을 하나씩 수동으로 물리적으로 한계가 있기때문에 오늘날의 보안 업무에서 자동화는 매우 중요합니다.
2. SOAR가 필요한 이유
일반적인 일상 작업 중 하나는 경고에 응답하는 것입니다. 보안 도구가 많을수록 더 많은 경고가 발생하며, 이는 일련의 수동 프로세스 및 컨텍 스트 전환(한 도구에서 다른 도구로 전환)을 통해 해결됩니다. 매일 응답할 알림이 많아지면 각 알림에 소요되는 시간이 줄어들고 실수가 발생할 가능성 이 높아집니다.
물론, 이러한 문제를 해결하기 위해 더 많은 인력을 보충하면 되겠지만 더 많은 비용과 휴먼에러 그리고 충분한 경력과 지식을 가진 엔지니어를 찾는것은 그리 쉬운일이 아닙니다. 하지만 SOAR를 사용하면 이런 문제를 간단히 해결할 수 있습니다.
3. SOAR의 특징
3-1. 자동화
SOAR는 보안 스택의 도구를 하나로 통합하여 운영이 가능합니다. SOAR는 이러한 모든 소스에서 데이터를 가져와 운영자가 처리해야 하는 업무의 강도를 낮춰줍니다. 따라서 운영자는 혼자서 불가능한 업무의 양을 커버할 수 있게 됩니다. 또한, 요청시 반복할 수 있는 순서도와 유사한 단계 집합인 플레이북으로 수동 또는 자동으로 변환될 수 있습니다. 플레이북을 사용하면 표준 운영 절차의 모든 단계를 준수하는지 확인할 수 있습니다. 또한 정확히 무엇을, 언제, 누가 수행했는지에 대한 데이터도 있습니다. 이 기능을 오케스트레이션 및 자동화라고 합니다.
3-2. 플레이북
팀은 알림이나 사건에 매번 동일한 방식으로 대응하는 방법으로 워크플로라고도 하는 플레이북을 사용 합니다. 플레이북은 분석가가 사고에 대응할 때 일반적으로 구현하는 단계를 수행하여 보안 팀과 협력하여 작동합니다. 플레이북은 데이터를 보고서로 컴파일하거나 이메일을 보내는 등 반복적인 작업을 수행하며 방화벽 차단 구현과 같이 사람의 감독이 필요할 때 일시 중지될 수 있습니다. 플레이북은 SOAR 자동화 기능의 핵심입니다. 플레이북을 통해 프로세스에 대한 인간의 권한을 유지하면서 응답 속도와 일관성을 향상시킵니다. 궁극적으로 플레이북을 사용하면 분석가 작업량을 줄이고 오류 가능성을 줄일 수 있습니다
3-3. Investigation
의심스러운 경고가 나타나면 팀은 위협 인텔리전스 소스에서 평판을 확인하거나 보안 정보 관리 시 스템(SIM)에 쿼리하여 SOAR 플랫폼 내에서 관련 이벤트에 대한 조사 작업을 수행할 수 있습니다. 이 조사를 통해 수집된 정보에 따라 필요한 완화 단 계가 결정됩니다. 그러면 SOAR은 모든 보안 도구의 통합 워크벤치이므로 SOAR 내에서도 완화 단계를 수행할 수 있습니다. 예를 들어 SOAR 내에 서 방화벽에 있는 악성 IP 주소의 트래픽을 차단하거나 이메일 서버에서 피싱 이메일을 삭제할 수 있습니다. 표준 프로세스를 플레이북에 구축하면 반 복적이고 시간이 많이 걸리는 수동 프로세스를 기계 속도의 자동화로 대체할 수 있습니다. 자동화를 통해 분석가는 중요한 경고를 조사하는 데 더 많 은 시간을 할애할 수 있습니다.
3-4. 에코시스템
에코시스템에 SOAR을 구현하면 사고 대응 프로세스를 중앙 집중화하는 것 이상으로 전체 운영을 최적화할 수 있습니다. 최적화를 통해 기계 속도 로 효율적으로 대응할 수 있으므로 팀은 협업을 개선하고 끝없이 쏟아지는 경고를 더 잘 관리할 수 있습니다. 이는 SOAR을 통해 사용자가 대응 프로세스의 다양한 단계에서 다양한 분석가나 팀에 경고를 할당할 수 있고, 할당된 사용자가 작업할 때 경고에 정보를 추가하여 나중에 해당 경고를 참조 하는 다른 사람이 추가 정보를 얻을 수 있기 때문입니다.
4. SOAR 사용 사례
피싱 조사는 고객이 구현한 SOAR의 가장 일반적인 사용 사례 중 하나입니다. SOAR가 없으면 분석가는 피싱 이메일의 발신자와 이메일 헤더 또는 본문에 있는 주요 지표를 조사하는 데 시간을 소비하게 됩니다. 이러한 조사를 수행한다는 것은 일반적으로 위협 인텔리전스 플랫폼에 도메인과 URL을 입력하는 데 시간이 소요된다는 것을 의미합니다.
분석가가 이메일이 유해하다고 판단하면 이메일 서버와 SIM을 조사하고 누가 이메일을 받았는지 파악하고 누가 클릭했는지 확인하고 삭제하는 등의 작업에 추가 시간을 투자해야 합니다. 피싱 조사 플레이북을 사용하면 피싱 이메일이 보고되는 즉시 초기 조사 단계가 자동으로 수행됩니다. 이렇게 하면 분석가는 플레이북에서 의심스럽다고 판단한 이메일에 대해서만 경고를 받게 됩니다.
분석가가 보고된 이메일에 추가 조치가 필요하다고 확인한 후 플레이북은 계속해서 추가 SIM 쿼리를 수행하고, 모든 사용자 받은 편지함에서 이메일을 삭제하고, 모든 수신자에게 이메일을 보내 취한 조치를 알리고, 향후 유사한 피싱 메시지를 받을 경우 수행할 작업에 대한 유용한 팁을 제공할 수 있습니다.
