미사일이 목표물에 도달하기 전에 어떻게 격추합니까? 이것이 오늘날의 사고 대응 팀이 직면 한 문제입니다. 사이버 공격의 양과 속도가 증가함에 따라 사고 대응을 처리하는 SOC (보안 운영 센터)가 이 과제의 핵심입니다.
SOC는 증가하는 사이버 보안 위협을 막기 위해 새로운 효율성을 찾아야합니다. 문화적 구성과 기술적 접근 방식을 재검토하여 효과를 높일 수있는 기회를 드러내는 것으로 이를 시작할 수 있습니다.
사고 대응의 중요성 증가
그것은 흑백의 양면으로 존재합니다. 잘 정비 된 사고 대응 절차는 인상적인 투자 대비 수익을 제공 할 수 있습니다.
“데이터 유출 2020 Ponemon 비용 보고서”에 따르면 데이터 유출에 대응하기 위해 정기적으로 IR 계획을 재 확인 하는 IR 팀과 그 회사들은 평균 최소 $ 3.29m 비용을 책정하고 있습니다. 이는 IR 팀이 없는 회사보다 2 백만 달러 더 저렴 합니다.
많은 데이터 유출 사고 에서 사후 대응 비용은 일반 재정 비용의 몇배 이상입니다. 완벽한 조직은 없습니다. 우리는 모두 더 넓은 가치 사슬의 일부이므로 한 곳에서 발생한 사고는 예상치 못한 곳에도 악영향을 미칠 수 있습니다 .
핀란드에서 가장 큰 개인 치료 센터 인 Vastaamo에서 발생한 사이버 절도 사례를 살펴보세요. 공격자들은 수천 명의 환자 민감한 기록을 훔쳤을뿐만 아니라 이들을 직접 강탈하여 세부 정보를 공개하겠다고 위협했습니다. 취약한 개개인이 직접적인 위험에 처한 이 사건은 데이터 유출로 인한 실제 인적 비용의 분명한 사례입니다.
시간은 중요한 요소입니다. 어떻게 절약할수 있을까요?
위험이 너무 높기 때문에 사이버 위협을 적절하게 탐지하고 처리하는 것이 중요합니다. SOC는 어떻게 성공적인 대응을 측정하고 개선 할 수 있을까요?
사고 대응 과정은 여러 단계를 통합하여, 위험 요소를 최소화하고 사건 확인, 봉쇄 조치, 대응 방안 강구, 사후 방안 정리 및 데이타 복구등을 식별하는 일련의 모든 시간은 대부분의 단계에서 매우 중요한 요소입니다. 공격을 감지하든 무력화하든 민첩하고 효율적인 대응이 중요합니다.
공격자가 더 빠르고 더 위험 해 짐에 따라 SOC는 신속하게 대응하는 데 어려움을 겪고 있습니다. 이들을 방해하는 또 다른 한 가지 요인은 종종 도구를 일관되게 사용하지 않는다는 것 입니다.
전자 책 : macOS 위협 사냥 및 사고 대응
이 가이드는 조직의 macOS 차량을 방어하는 데 필요한 지식을 제공합니다.
읽어보세요
다양한 기술을 사용하여 다양한 위협 행위자의 변화하는 위협에 직면 하려할 때 많은 SOC가 대처할 수 있는 기술들을 찾습니다. 일반적인 방안은 도구 모음을 설치하는 것입니다. SOC가 항상 전략적으로 그렇게하는 것은 아닙니다. 사람들은 알려지지 않은 것을 다룰 때 도구가 적응할 수 있는지 확인하기보다는 과도하게 준비하는 경향이 있습니다.
팀이 단편적으로 보안 도구들을 다수 설치하면 상호 운용이 잘 되지 않는 ‘frankenstack’으로 끝날 수 있습니다. 이는 통합 워크 플로우 없이 SOC를 비 효율적으로 만들수 있습니다. 특히 자동화된 치료 기능이 없기 때문에 SOC가 사람의 상호 작용에 너무 많이 의존하게 됩니다. 사람들은 기술이 남긴 틈새를 채워야 하지만 단순 업무 속도로 그렇게 할 수는 없습니다. 인간의 병목 현상은 조직을 취약하게 만듭니다.
상호 운용성이 좋지 않으면 중요한 보안 정보가 서로 다른 체제 속에서 혼선을 가져옵니다. 이는 분석가들의 눈을 멀게합니다. 그들이 가지고있는 데이터는 조정 된 도구 체인에 의해 제대로 필터링되지 않았기 때문에 중요한 정보를 인지하거나 공격을 탐지하기가 더 어려워졌습니다. SOC는 오 탐지가 너무 많아서 중요한 경고를 찾기 위해 데이터를 살펴보기가 어렵습니다. 또한 새로운 위협에 대한 보다 완전한 그림을 제공하고 그 형태, 중요성 및 범위를 이해할 수있는 상황 별 데이터가 부족합니다.
이러한 약점으로 인해 SOC는 통제하고 이해하기 어려운 사고 대응 프로세스가 분리되어 있습니다. 운영자는 프로세스의 각 단계에서 너무 많은 옵션을 갖게되며 빠른 응답에 필요한 협업 플랫폼이 부족합니다.
따라서 Ponemon 보고서에서 데이터 유출 비용을 평가할 때 보안 시스템 복잡성이 가장 비용이 많이 드는 요소라는 사실을 발견 한 것은 놀라운 일이 아닙니다. 데이터 유출 비용은 매년 평균 292,000 달러 증가했습니다.
앞으로의 길
SOC는 이러한 문제를 극복 할 수있는 힘을 가지고 있습니다. 목록 맨 위에는 현재 사고 대응에 대한 프로세스 평가가 있어야합니다. 결과에 중점을두고 평가를 시작하십시오. 모든 것이 미리 설정된 목표를 달성하도록 조정되어야 합니다.
스토리 라인을 통한 신속한 위협 사냥
시간은 항상 공격자 편인 것처럼 보이지만 보안 분석가는 그 어느 때보 다 빠르게 위협을 사냥하여 앞서 나갈 수 있습니다.
이러한 목표는 특정 메트릭에 연결하여 측정 할 수 있어야 합니다. 성공을 측정하기 위해 사용 하는 메트릭을 평가해야 합니다. 측정하기 어렵거나 성능 저하에 취약 할 수있는 영역을 찾으십시오. 당신은 그것들을 요인들로 분해하고 그들에게 긍정적인 영향을 줄 수 있는것을 식별 할 수 있습니까?”
사고 대응 체인의 초기 단계에서 이러한 지표는 예방에 맞춰 조정되어야 합니다. 다양한 자산에 대한 위험 수준과 조직에 미치는 잠재적 영향을 어떻게 평가하고 있습니까? 사용 가능한 리소스를 기반으로 위험을 분류하기 위해 수학적 접근 방식을 취하고 있습니까?
프로세스의 후반 단계에서 메트릭은 복구에 걸리는 시간과 함께 사고를 식별, 억제 및 무력화하는 데 걸리는 시간을 다루어야 합니다.
적절한 측정 기술을 사용하여 명확한 절차와 역할을 통해 원활한 엔드 투 엔드 사고 대응 프로세스를 구축하여 위협이 취약점을 통과하지 않도록 할 수 있습니다.
이 프로세스를 지원하도록 도구 세트를 통합하십시오. 아이디어 도구 체인은 핸드 오프 및 도구 또는 플랫폼 변경의 수를 줄이거나 제거하는 조직화 된 데이터 흐름을 지원합니다. 운영자는 각 플랫폼 소유자에게 개별적으로 도움을 요청할 필요없이 방화벽 규칙 변경과 같은 작업을 처리 할 수 있습니다 . 담당자는 위협의 역사와 범위에 대한 완전한 가시성을 갖게 될 것 입니다. 또한 분석가는 익숙한 하나의 환경에서 모든 것을 볼 수 있으므로 컨텍스트 전환을 제거하여 시간과 업무 능력을 절약 할 수 있습니다. 그 결과 며칠이 걸리는 프로세스를 몇 분 안에 실행할 수 있습니다.
Ranger® IoT
네트워크 가시성 및 제어.
최소한의 마찰로 글로벌 네트워크 가시성과 제어를 추가하도록 설계된 클라우드 제공 소프트웨어 정의 네트워크 검색 솔루션입니다.
결론
통합 된 도구 체인은 자동화를 위한 견고한 플랫폼을 제공합니다. 인시던트 대응 프로세스를 지원하기 위해 자동화 된 워크 플로를 정의하면 인간 상호 작용을 줄이고 각 단계에서 지연 시간을 줄일 수 있습니다. 이는 인간 분석가가 미묘한 결정에 집중할 수 있도록 하면서 시간 기반 메트릭에 긍정적인 영향을 미칠 것입니다.
이 최적화 프로세스는 SOC에 큰 영향을 미칩니다. 잘 수행하면 미지에 대한 두려움보다는 조기 탐지 및 빠른 격리와 같은 명확한 목표에 따라 사고 대응에 대한 대응 적 접근 방식을 미래 지향적 접근 방식으로 전환 할 수 있습니다. 우리는 사전 지식에 너무 오래 의존하여 새로운 공격을 탐지하고 방어 하지 못했습니다. 새로운 접근 방식을 사용하면 새로운 위협에 더 잘 적응하고 이를 통해 위협이 드러날 때 더 많은 해결책을 쉽게 강구할 수 있습니다.
공격 예방을 강화하고 지속적인 공격에 대한 대응을 가속화하면 탐지 시간을 줄이고 공격자의 체류 시간을 단축하며 자동화를 증가시켜 보안 사고의 침해 수준을 제한 할 수 있습니다. 더 좋은 점은 사례와 같은 심대한 사건들을 모두 방지 할 수 있다는 것입니다.
SentinelOne Singuarlity 플랫폼이 이러한 목표를 달성하는 데 어떻게 도움이 되는지 자세히 알아 보려면 당사에 문의하여 자세한 정보를 확인하거나 무료 데모를 요청하십시오 .