[FCF] Cybersecurity 2.0 - Lesson 11 : SIEM(보안 정보 및 이벤트 관리)

A. SIEM 개요

1. SIEM 이란? 

SIEM은 보안 경고를 실시간으로 분석하는 솔루션으로 3가지의 작업을 기본적으로 수행합니다. 

• 조직의 네트워크와 보안 장치, 서버, 데이터베이스, 애플리케이션 및 엔드포인트의 로그 이벤트와 경고를 안전한 중앙 위치에 수집, 정규화 및 저장합니다. SIEM은 물리적 장치뿐만 아니라 온프레미스 및 클라우드의 가상 장치에서도 정보를 수집합니다.
• 실시간 및 기록 데이터 전반에 걸쳐 데이터에 대한 고급 분석을 실행하여 사람이 조사해야 하는 잠재적인 보안사고를 식별합니다. 잠재적 사고는 위험, 심각도, 영향에 따라 우선순위가 지정됩니다.
• SIEM 범위에 있는 모든 보안 제어의 작동 여부를 증명합니다. 

 

2. SIEM의 필요성

사이버 공격이 더욱 정교해지고 은밀해짐에 따라 사이버 공격의 특성, 목적, 네트워크 침투 정도에 대한 정보에 대한 요구가 더욱 시급해졌습니다. 또 다른 놀라운 사실은 보안 팀이 침해 발생 후 수개월이 지나도 침해를 발견하지 못하는 경우가 많았으며, 내부 보안보다는 제3자에 의해 발 견되는 경우가 더 많았다는 것입니다.

IT 보안에는 네트워크 활동에 대한 전체적인 그림이 필요했으며 SIEM에서 수집한 실시간 데이터가 이러한 요구를 충족했습니다. 두 번째 개발 단계에서 SIEM 공급업체는 내장된 위협 인텔리전스, 기록 및 실시간 분석, 사용자 및 개체 행동 분석(UEBA)을 통해 위협 탐지 기능을 추가했습니다. 그리고 최근에는 기계 학습이 SIEM 도구 세트의 일부가 되었으며 특히 빅 데이터를 조사할 때 필요합니다.

 

3. SIEM의 자동화 

3-1. 자동화의 이유

조직에서 SIEM을 더 많이 수용하는 데 방해가 되는 또 다른 문제는 이를 설정, 통합 및 사용하는 데 드는 노력이었습니다. 이 기술은 복잡하 고 조정하기 어려웠으며, 공격을 식별하기 어려웠고, 사용자가 원하는 것이 무엇인지 알기 위해서는 높은 수준의 기술이 필요했습니다. 하지만 2가지의 다른 사실로 어려움을 겪었습니다. 

• 자격을 갖춘 전문가 수가 부족하여 IT 보안이 어려움을 겪고 있습니다. 
• 일반적인 네트워크 운영 센터(NOC) 및 보안 운영 센터(SOC)에서 사용되는 사일로화된 접근 방식 은 복잡성을 증가시키고 네트워크 가시성 부족을 초래합니다.

다양한 운영 체제, 패치 주기, 프로토콜 및 논리를 갖춘 다중 공급업체의 단일 지점 솔루션으로 구성된 환경은 상호 운용성과 단순화에 역행했습니다. 그 결과 희소한 IT 리소스에 대한 수요가 늘어나고 인적 오류가 발생할 가능성이 높아 지며 네트워크 보안 가시성이 감소했습니다. 따라서 SIEM은 정보 플랫폼에서 위협 인텔리전스 센터로 큰 진전을 이루었지만 외부 및 내부 한계로 인해 여전히 어려움을 겪었습니다.

3-2. SIEM 자동화의 장점

숙련된 인력의 체계적 부족은 이후 SIEM 장치에서 더 많은 자동화와 기계 학습을 촉진하는 원동력이 되었습니다. 인공 지능은 가장 영리한 인간보다 더 빠르게 막대한 데이터 페이로드의 추세와 패턴을 감지합니다. 또한 자동으로 대응하고 해결하도록 SIEM을 구성하면 시간과 정확성이 향상됩니다.

SIEM의 최근 개발에는 NOC와 SOC도 통합되어 SIEM이 모든 네트워크 및 보안 운영의 코어로 자리 잡았습니다. 따라서 단일 창을 통해 IT 보안은 전체 네트워크에 대한 가시성을 확보합니다. SIEM은 자체 학습, 실시간, 자산 검색 및 장치 구성 엔진을 통해 배포 및 통합을 단순화합니다.

이 도구는 네트워크 장치, 애플리케이션, 사용자 및 비즈니스 서비스의 인벤토리를 설정합니다. 그런 다음 각 개체가 상호 연결되는 방식을 보여주는 토폴로지를 구축하여 정상적인 네트워크 동작의 기준을 설정합니다. 정상성을 판단하고 머신 러닝의 도움을 받아 비정상적인 행동이 있을 경우 분석가에게 사이버 공격을 경고할 수 있으며, 위반이 발생하기 전에 이를 중지할 수 있습니다.