[팔로 알토 네트웍스] 보안 운영 기초 #1, 2

[1주차] 

Security Operations Fundamental 과정에서는 보안 운영(SecOps)과 그것이 우리의 디지털 삶의 방식을 보호하는 역할에 대해 이해하게 된다. 빠르게 진화하는 위협을 신속하게 식별하고 대응하는 고충실도 인텔리전스, 컨텍스트 데이터 및 자동화된 방지 워크플로우를 수집하기 위한 지속적인 개선 프로세스를 배우게 된다. 또한, 자동화를 활용하여 분석가에 대한 부담을 줄이고, 보안 운영 센터(SOC)의 위협 식별, 조사 및 완화 임무를 수행하는 방법을 배우게 된다.

[2주차] 보안 운영 센터 구성 요소 및 프로세스

학습목표

1. 보안 운영(SecOps)의 핵심 요소를 파악한다.
2. SecOps 식별, 조사 및 완화 프로세스를 설명한다.
3. SecOps Continuous Improvement 프로세스를 살펴본다.

[2-1] 보안 운영 센터의 요소

보안 운영의 요소
보안 운영(SecOps)은 비즈니스와 고객을 위해 디지털 생활 방식을 보호하는 데 필수적인 기능이다. SecOps는 빠르게 진화하는 위협에 대처하기 위해 운영을 지속적으로 개선해야 한다. SecOps는 이러한 위협을 신속하게 식별하고 대응하기 위해, 보안 운영 전문가에게 고성능 인텔리전스, 컨텍스트 데이터 및 자동화된 방지 워크플로우를 지원해야 한다. SecOps는 자동화를 활용하여 분석가의 부담을 줄이고 위협을 식별, 조사 및 완화하는 보안 운영 센터(SOC)의 임무를 수행해야 한다. 이 모든 것은 필요하지만 조직이 SecOps 기능을 구축하거나 기존 SOC를 현대화하는 데 매우 부담이 될 수 있다.

SecOps 기능은 비밀스러운 공격을 신속하게 중단하고, 미래의 공격을 방지하기 위한 방어를 조정하는 기능에 대한 신뢰를 높이기 위해 올바른 구성 요소 집합을 필요로 한다. 이러한 구성 요소에는 비즈니스를 지원하는 데 필요한 인력, 프로세스 및 기술 측면, 비즈니스를 방어하는 데 필요한 가시성 및 SOC 외부의 다른 조직과의 인터페이스가 포함된다. 이러한 요소를 활용하여 SecOps 기능을 구축하면 자동화를 늘리고 조사를 가속화하여 운영을 개선할 수 있다.

SecOps는 6가지 요소로 구성되어 있다.

① 비지니스 (목표 및 성과)
② 사람 (업무수행자)
③ 인터페이스(목표 달성을 돕는 외부 기능)
④ 가시성(목표 달성에 필요한 정보)
⑤ 기술(가시성을 제공하고 사람들을 가능하게 하는 데 필요한 기능)
⑥ 프로세스(목표에 대해 실행하는 데 필요한 전술적 단계)

 

모든 요소는 비즈니스 자체와 SecOps 조직의 목표로 연결

조직은 SecOps 기능을 위해 다양한 제공 옵션을 사용한다. 보안 운영의 제공 선택은 일반적으로 비즈니스의 요구, 글로벌 존재감, 리소스에 대한 액세스 및 자금 지원을 포함한 몇 가지 핵심 요소에 의해 주도된다.

사내 SOC는 기업 내 환경에 대한 지식과 통제를 유지한다. 그러나 운영 규모에 따라, 상당한 초기 투자가 필요할 수 있다. 또한, 보안 조직의 주요 과제로 남아 있는 사내 인력을 따라잡을 수 있느냐에 달려 있다.

외주 보안 운영(SOC-as-a-Service)은 전문가에 대한 액세스, 고급 기술, 성숙한 프로세스를 제공하며, 신속하게 구성할 수 있다. 그러나 여전히 문제 해결 작업을 수행하기 위해 사내 리소스가 필요하다. 또한, 고객 조직에 의해 시행될 수 있는 사용자 지정 프로세스의 수를 줄일 수 있다. 품질을 보장하기 위해서는 SLA(서비스 수준 계약)와 SLA에 대한 일관된 모니터링 및 테스트가 필요하다. 이러한 설정은 또한 다양한 글로벌 위치에서 규정 준수에 대한 우려를 일으킬 수 있다.

 

많은 조직이 우선순위 작업을 식별하기 위해 레벨 1 분석가와 같은 일부 기능을 외주로 제공하는 하이브리드 솔루션을 선택한다. 이 솔루션은 사내에는 없을 수도 있는 추가 기술에 대한 액세스를 제공하며, 유연성과 확장성을 동시에 제공할 수 있다. 에스컬레이션 및 커뮤니케이션과 관련하여 엄격한 인터페이스 합의와 엄격한 프로세스가 필요할 것이다.

새로운 제공 옵션은 로봇 의사 결정 자동화를 활용하여 레벨 1 분석가의 역할을 채운 다음, SOC의 높아진 작업을 인-소스 또는 아웃-소스로 만드는 것이다. 종종 인공 지능으로 브랜드화 된 이러한 시스템은 SOC 분석가처럼 추론하도록 훈련 될 수 있고, 추가 조사가 필요한 높은 충실도 이벤트를 식별 할 수 있는 고급 확률 수학을 사용한다.

 

비즈니스 목표

①미션

보안 운영을 위한 사명 선언문을 개발, 문서화 및 사회화하는 것은 조직의 가장 중요한 요소 중 하나다. SOC의 목적을 비즈니스에 정의할 것인데, 여기에는 보안 운영 조직의 목표와 조직이 비즈니스를 위해 달성할 것으로 예상되는 목표가 포함되어야 한다.

사명 선언문을 사회화하고 임원들로부터 인수를 받는 것은 보안 운영 팀이 무엇을 담당하는지에 대한 명확한 기대와 범위를 제공한다. 일부 사명 선언문에는 조직을 방어하고 자산을 보호하거나 비즈니스를 활성화하는 것이 포함된다. 일부는 서비스 제공업체와 마찬가지로 고객 중심이다. 다른 일부는 대학 시스템과 마찬가지로 개방성을 제공한다. 각각은 고유하지만 몇 가지 공통된 속성을 가지고 있다. 사명 선언문에는 어떤 조치가 취해질 것인지, 그 조치가 어떻게 실행될 것인지, 그리고 그 결과가 비즈니스에 어떤 영향을 미칠 것인지를 정의해야 한다.

 

② 거버넌스

거버넌스는 정의되고 사회화된 미션 진술서에 대해 성과를 측정하는 방법이다. 조직의 적절한 운영을 보장하기 위해 시행되는 규칙과 프로세스를 정의한다. 원칙, 의무, 표준, 시행 기준 및 SLA를 포함할 수 있다. 또한, 보안 운영 팀을 관리하는 방법과 팀이 비즈니스의 미션을 달성하도록 보장하는 책임이 있는 사람을 정의한다. 여기에는 미션 목표가 달성되도록 보장하기 위한 조치가 포함되어야 한다.

 

③ 계획

계획에는 보안 운영 조직이 목표를 어떻게 달성할 것인지에 대한 세부 사항이 포함된다. 주요 비즈니스 동인을 식별하고 문서화해야 한다. 다른 포함 사항으로는 비전, 전략, 서비스 범위, 산출물, 책임, 책임, 운영 시간, 이해 관계자 및 성공 사례가 있다.

계획은 3년의 비전을 가지고 이루어져야 하며, 이 비전은 실행 편차가 있을 수 있는 임원이 순환하는 경우에도 비즈니스에 기대 가치를 제공할 수 있다. 투자 전략도 계획의 일부다. 여기에는 기술 구매뿐만 아니라, 자동화 목표와 인력에 대한 투자도 포함된다. 계획은 비즈니스에 맞게 철저히 조정되어야 한다. 예를 들어, 대규모 인수합병(M&A) 전략을 수립하거나, 클라우드로 디지털 전환하는 경우 투자 계획은 이러한 이니셔티브에 맞게 조정되어야 한다. 마지막으로, 투자 계획은 보안 운영을 지원하는 프로젝트에 대한 명확한 투자 수익률(ROI)과 부가가치를 입증해야 한다. ROI 및 부가가치 추가는 비용 회피(ex. 특정 보안 제어를 구현하여 규정 준수 페널티를 피할 수 있음)를 통해서도 입증될 수 있다.

 

비즈니스 실행

① 스태핑

보안 운영 조직의 인력 배치에는 분석가 및 기타 SOC 직원의 채용, 심사 및 선발 과정이 포함된다. 보안 기술 인력 배치는 보안 산업의 가장 큰 과제 중 하나로 남아 있으며, 주요 기술 허브 외부에 위치한 조직에는 추가적인 과제가 존재한다. 이러한 문제가 있는 조직은 인력 배치의 부담을 완화하기 위해 인소싱 리소스(서비스형 분석가)를 고려해야 한다.

그리고 선택한 인력 모델(24x7, 8x5, 공동 소싱 등)을 고려해야 한다. 중요한 사고에 대한 당직 인력 요구 사항과 필요한 시간 외 지원을 정의해야 한다. 이러한 고려 사항은 팀의 목표를 달성하기 위해 필요한 FTE(정규직) 수를 증가시킬 것이다.

보안 운영 팀을 구성할 때 가장 중요한 고용인은 보안 운영 관리자다. 그들은 "사람"에 대한 절차를 만들고, SOC 직원을 관리하고, 조직 내 다른 팀과 협력하는 역할을 한다. 분석가 고용의 경우, 일반적인 경험은 모든 Tier 2 분석가에 대해 두 명의 Tier 1 분석가다.

 

조직은 팀을 "영웅"으로 채우는 것을 피해야 한다. 이러한 유형은 모든 작업을 수행할 수 있기 때문에(그리고 수행할 수 있지만), 업무를 그만둔 경우에는 감당하기 어렵고 비용이 많이 들기 때문이다. 이는 비즈니스에 위험을 초래하므로 피해야 한다. 대신에, SOC의 각 역할에 맞는 적절한 수준의 지식을 직원으로 채용하기를 원한다. 보안 운영 조직 내에는 멀웨어 분석, 네트워크 아키텍처 및 위협 인텔리전스와 같은 기술이 다양화되어 있어야 하지만, 휴가 백업, 질병 및 자연 감소에 대한 기본 지식과 기술이 팀원 간에 중복되어 있어야 한다. 그리고 자연 감소가 발생하므로 건전한 고용 파이프라인이 존재해야 한다. 이 파이프라인은 조직의 다른 부분(헬프 데스크, IT 운영), 대학교 또는 비즈니스 전반에 걸쳐 순환 직원을 통해 내부 직원을 채용할 수 있다.

 

② 커리어 경로 진행

이를 위해서는 직원을 유지하는 것도 중요하며, 명확한 경력 경로를 제공해야 한다. 역할의 정의와 기술 매트릭스를 개발하고, 기술 매트릭스를 최신 상태로 유지하기 위한 유지 계획을 수립해야 한다. 이 내용에 대한 반기별 검토를 제안한다. 또한, SOC 관리자는 기술 격차 및 결함을 지속적으로 업데이트하여, 잠재적인 역량 구멍을 파악해 개선을 추진해야 한다.

관리직으로 올라가는 것이 모든 직원들의 목표가 아니라는 것을 명심해야 한다. 경력 경로는 기술적 경로뿐만 아니라, 관리직 경로도 허용해야 한다. 이러한 경로는 각 직무 역할의 세부 사항과 함께 문서화되고 팀과 공유되어야 각 수준에서 요구되는 것이 무엇인지 알고 있다. 직원들이 선호하는 경력 경로로 이동할 수 있도록 교육 기회가 제공되어야 한다.

 

③ 직원 활용

기존 직원에 특화된 보안 운영 팀의 효율성을 극대화할 수 있는 방법을 개발해야 한다. 보안 운영 직원은 콘솔 번아웃과 과도한 워크로드로 인해 번아웃되기 쉽다. 이를 방지하기 위해 팀원들은 하루 종일 서로 다른 작업을 할당받아야 한다. 이러한 작업은 구성되어야 하며, 다음을 포함할 수 있다.

 

⑴ 교대 시작
⑵ 이벤트 분류
⑶ 사고 대응
⑷ 프로젝트 작업
⑸ 트레이닝
⑹ 보고
⑺ 교대 종료

 

소진을 피하기 위한 또 다른 전략은 교통량이 많은 통근 시간을 피하기 위해 교대 근무를 계획하는 것이다. 지역에 따라 오전 8시에서 오후 5시 사이는 교통 체증이 심한 시간대와 일치할 수 있다. 일정을 두 시간 변경하는 것은 직원들의 스트레스를 줄일 수 있을 것이다.

 

④ 트레이닝

적절한 직원 교육은 조직 내에서 일관성을 만들어 낼 것이다. 일관성은 효율성을 높이고 위험을 줄인다. 공식적인 교육 프로그램을 갖는 것은 또한 조직이 새로운 직원을 신속하게 채용할 수 있도록 해준다. 일부 조직은 신입사원을 위한 현장 교육이나 그림자 교육에 의존하는데, 이것은 그 자체로 권장되지 않는다. 사회간접자본(SOC)에 처음 취업하는 동안 다른 분석가들을 그림자로 만드는 것은 중요하지만, 이것이 훈련의 유일한 수단이 되어서는 안 된다.

공식 문서는 신규 및 기존 직원이 참조할 수 있는 역량, 도구, 프로세스 및 커뮤니케이션 계획(내부 및 외부 모두)을 중심으로 존재해야 한다. 새로운 도구에 대한 지원 계획도 공식 교육 프로그램에 포함되어야 한다. 이러한 지속적인 교육은 시간과 투자를 필요로 하며, 비즈니스의 지원을 받아야 한다.

 

⑤ 시설

보안 운영 팀에 필요한 시설은 물리적으로 또는 가상으로 서비스를 제공하는 방법에 따라 달라진다. 물리적 SOC는 네트워크 운영 센터(NOC)를 포함한 비즈니스의 다른 부분과 분리되어야 할 수도 있다. 이 두 그룹은 서로 긴밀하게 인터페이스해야 하지만, 알아야 할 원칙을 준수하고 특정 법적 문제를 피하기 위해 별도의 물리적 공간이 필요할 수도 있다. 퓨전 센터가 설립되는 경우, 개인 정보 보호 원칙을 준수하기 위해 네트워크 운영 직원에 대한 추가 교육이 필요하다.

이 시설은 기본적인 잠금 기능과 가급적이면 다중 요소 인증을 포함하는 고급 액세스 스키마를 포함해야 한다. PIN 코드가 있는 손 형상 판독기는 고급 액세스 제어의 한 예시다. 시야 보호도 고려해야 한다. 폐쇄형 룸 또는 스냅 글라스는 이러한 보호를 달성하는 방법이다. 스냅 글라스는 외부 빛을 일부 통과시키고 일반적으로 SOC로 알려진 "던전"의 느낌을 줄여주기 때문에 더 나은 사기로 이어질 수 있다.

가상 SOC (VSOC)는 물리적 공간이 없는 팀원들로 구성되어 있다. 그들은 온라인의 보안 포털을 활용하여 트래픽을 모니터링한다. VSOC를 사용할 때, 보안 포털에 액세스하는 VPN 및 엔드포인트 장치를 보안하기 위해 각별히 주의해야 하며, 보안 운영 팀 내에서 전화 통화 및 토론을 위한 전용 공간이 있어야 한다.

 

비즈니스 관리 및 운영

① 사례 관리

SOC에서 필요한 기능은 사고를 문서화하고 확대하는 명확한 프로토콜이다. 사례 관리는 보안 사고를 문서화, 모니터링, 추적 및 조직 전체의 현재 상태를 알리는 협업 프로세스다. 사례에 캡처되어야 하는 최소 데이터 포인트 세트와 이 기능을 위해 선택된 도구가 이 데이터를 처리할 수 있어야 한다. 종종 데이터 연속성이 중단되고 사고 처리 효율성이 저하됨에 따라 조직은 사례 관리를 위해 잘못된 여러 도구(티켓팅, SOAR, 이메일 등)를 사용한다. 사례 관리에는 누가 데이터와 도구에 액세스하고 일관된 방식으로 사례를 문서화하는지, 그리고 팀이 어떻게 협력하여 사고를 차단하는지에 대한 정의도 포함되어야 한다. 사례 관리 시스템은 또한 매우 중요한 데이터를 포함하기 때문에 엄격한 액세스 제어를 통해 암호화되어야 한다.

 

② 예산

SOC 운영 비용에 대한 재정 계획은 SOC의 임무에 대한 합의에서 시작되어야 한다. 그런 다음, 그 임무를 달성하기 위한 기술, 직원, 시설, 훈련 및 추가적인 필요가 확인된다. 거기에서 팀의 최소 요구 사항을 충족하기 위한 예산을 수립할 수 있다. 종종 SOC 예산은 하향식으로 설정되거나 IT 예산의 일정 비율이 할당된다. 이 접근 방식은 비즈니스 중심이 아니며, 역량과 비즈니스 기대 사이에서 좌절감을 초래할 것이다.

예산이 수립되면, 정기적인 검토를 거쳐 추가적인 요구나 잉여분을 파악해야 한다. 조직의 요구를 충족시키기 위해 깜짝 놀라거나, 막판에 서두르지 않도록 정기적인 예산 요청과 승인 일정을 문서화해야 한다. 긴급 예산 구제를 위한 프로세스뿐만 아니라, 할당된 예산을 변경하는 데 필요한 프로세스를 정의한다.

비즈니스에 정통한 예산 편성 리소스는 보안 운영 조직이 자본 지출과 운영 비용 지출 및 비즈니스에 대한 기대치를 탐색하는 데 도움이 될 수 있다. 정부 SOC에는 선거 시기와 정당 전환 가능성을 고려해야 하므로, 예산이 극적으로 전환될 수 있다.

 

③ 메트릭스

변화를 주도할 수 없는 메트릭스를 수집하는 데 시간이 소비된다면, 기껏해야 시간 낭비일 뿐이고, 최악의 경우 이러한 메트릭스는 잘못된 행동을 유도할 수 있다. 이러한 예로 평균 해결 시간(MTTR)이 있습다. 이러한 메트릭스는 NOC(업타임이 중요한 경우)에서 사용될 경우에는 미세한 메트릭스지만, SOC에서 사용될 경우에는 해로울 수 있다. 분석가에게 MTTR에 대한 책임을 묻는 것은 성급하고 불완전한 분석을 초래할 것이다. 분석가는 향후 공격을 방지하기 위해 제어 장치에 학습을 피드백할 수 있는 전체 조사를 수행하기 보다는 사건을 서둘러 종결할 것이다. 이렇게 하면 비즈니스에 더 나은 결과를 제공하거나 위험을 줄이지 못한다.

 

또 다른 형편없는 메트릭스는 배치된 방화벽 규칙의 수를 세는 것이다. 조직에는 10,000개의 방화벽 규칙이 있을 수 있지만, 첫 번째 규칙이 "아무것이나"(어떤 소스에서 어떤 목적지로 트래픽을 허용)면 나머지는 소용이 없다. 이것은 SIEM에 들어가는 데이터 피드의 수를 측정하는 것과 비슷하다. 데이터 피드가 15개지만 사용 사례가 하나뿐이라면, 데이터 피드는 사용되지 않고 비용이 많이 들 수 있다.

사람들의 성과를 측정할 때는 주의해야 한다. 처리된 사건 수로 최고 성과자를 순위를 매기는 것은 결과가 왜곡될 수 있고, 분석가들이 해결하기 빠르다는 것을 알고 있는 "체리 뽑기" 사건을 야기할 수 있다. 또한, 이런 방식으로 개인의 성과를 평가하는 것은 여러 나라에서 법을 위반하는 일이다.

 

④ 리포팅

보고는 관찰, 청취, 수행 또는 조사된 내용을 설명하는 것을 의미한다. 활동을 정량화하고 보안 운영 팀이 비즈니스(또는 MSSP의 경우, 클라이언트 조직)에 제공하는 가치를 입증하는 것이다. 보고의 결과가 반드시 행동 변화를 주도하는 것은 아니지만, 현재 활동을 추적하기 위한 것이다. 보고서는 일반적으로 매일, 매주 및 매월 생성된다.

일일 보고서에는 일일 활동을 중심으로 세부 정보가 포함된 미해결 사고가 포함되어야 한다. 주간 보고서는 열고 닫은 사례의 수와 티켓의 결론(악의적, 양성 또는 허위)을 포함하는 위협 찾기 활동을 시작하기 위한 보안 동향을 식별해야 한다. 트리거된 보안 사용 사례의 수, 심각도 및 하루 중 몇 시간 동안 배포된 방법과 같은 정보를 포함한다.

월간 보고서는 SecOps 기능의 전반적인 효과에 초점을 맞추어야 한다. 이러한 보고서는 이벤트가 분류되기 전에 대기열에 얼마나 오래 머무는지, SOC 인력이 적절한지(더 많은 리소스를 추가하거나 재할당해야 하는지), 규칙 화재의 효과는 무엇이며, 절대로 화재를 일으키지 않거나, 항상 거짓 양성 반응을 일으키지 않는 규칙이 있는지 등과 같은 주제를 다루어야 한다.

 

⑤ 비즈니스 연락

보안 조직에서 비즈니스 연락처를 고용하는 추세가 증가하고 있다. 이 역할은 비즈니스의 여러 측면과 연계하여, 보안의 영향을 파악하고 설명하는 데 도움을 준다. 여기에는 신제품 출시 및 개발 일정을 최신 상태로 유지하고, 새로운 지사를 운영하며, 레거시 네트워크 및 애플리케이션을 메인 보안 프로그램에 도입해야 하는 인수합병(M&A) 처리가 포함된다. 이 역할은 파트너, 공급업체 및 팀 인터페이스 관리도 담당할 수 있다.

 

⑥ 거버넌스, 위험, 컴플라이언스

GRC(Governance, Risk and Compliance) 기능은 비즈니스 목표를 달성하고 위험을 관리하며 규정 준수 요구 사항을 충족하기 위한 지침을 만드는 역할을 한다. 일반적인 규정 준수 표준은 PCI-DSS, HIPAA, GDPR 등이다. 이러한 표준에는 서로 다른 수준의 보호 및 암호화 및 데이터 저장이 필요하다. 이러한 요구 사항은 일반적으로 다른 그룹에서 처리하지만, 위반 정보 요구 사항에는 보안 운영 팀이 직접 참여한다. SOC 팀은 GRC 팀과 인터페이스하여, 에스컬레이션 간격, 연락처, 문서화 및 포렌식 요구 사항을 정의해야 한다.

 

⑦ 데브옵스

DevOps 팀은 회사에서 만든 애플리케이션을 개발하고 구현할 뿐만 아니라, 애플리케이션을 유지 관리할 책임도 맡고 있다. 클라우드 앱의 채택과 민첩한 개발로 이러한 역할은 크게 발전했으며, 애플리케이션 업그레이드는 6개월에서 12개월마다 주요 릴리스를 볼 수 있는 긴 주기가 아니라 몇 분 안에 실행된다. DevOps 팀의 주요 동기는 버그가 없는 기능을 최대한 빨리 사용자에게 공개하는 것이다. 일부 그룹은 보안 프로토콜을 릴리스 주기에 맞게 작동했지만 대부분의 그룹은 그렇지 않았다.

보안 업무는 데브옵스 팀과 상호 작용하여 릴리스 절차에 대한 프로토콜 작업을 수행하고, 데브옵스가 테스트 및 사용 중인 새로운 개발 도구와 기능을 앞서야 한다. 또한 SecOps 팀은 팀 간의 마찰을 줄이기 위해 데브옵스 프로세스와 절차에 익숙해지고 싶어할 것이다.

[2-2] 발견: 보안 운영 센터

보안 운영 프로세스

SecOps는 위협을 식별, 조사 및 완화하는 기능으로 광범위하게 정의될 수 있다. 조직에 보안 로그를 확인할 책임이 있는 사람이 있다면, 그것이 SecOps의 역할에 맞다. 지속적인 개선은 SecOps 조직의 핵심 활동이기도 하다. SecOps의 네 가지 주요 기능은 다음과 같다.

① 식별: 잠재적으로 악의적인 것으로 경고를 식별하고 사고를 발생시킨다.

② 조사: 사고의 근본 원인과 영향을 조사한다.

③ 완화: 공격을 중지시킨다.

④ 개선: 변화하고 새롭게 등장하는 위협에 대응하기 위해 운영을 조정하고 개선한다.

 

신원 확인

보안 운영 분석가들은 잘못된 긍정 및 낮은 충실도 경고로 인해 대부분의 시간을 식원 확인 단계에서 보낸다. 올바르게 구현된 예방 기반 아키텍처와 자동화된 상관 관계는 이 단계에 필요한 시간을 줄이는 데 도움이 된다. 또한, 완화 단계에서는 많은 시간이 소요된다. 이는 자동화된 복구 기능이 부족하고, 공격 중단에 관여해야 하는 보안 운영 조직 외부의 팀과의 인터페이스가 복잡하거나 부족하기 때문이다.

보안 작업의 목적은 위협을 식별, 조사 및 완화하는 것이다.

 

경보

경보는 이벤트가 실행 가능한 이벤트가 될 만큼 충분히 중요하다고 결정되는 방법이다. 경보 기능은 자동화를 활용할 수 있는 높은 기회를 가진다. 자동화가 경보를 표면화하는 데 사용될 때, 정확성 또는 누락된 이벤트에 대해 이러한 자동화된 노력이 어떻게 검증될 것인지 정의되어야 한다. 경보 자체는 일반적으로 콘텐츠 엔지니어링 팀에 의해 생성되고 유지된다. 경보의 품질은 분석가에게 충실도가 높은 경보를 제시하고 오탐을 줄이는데 매우 중요하다.

 

콘텐츠 엔지니어링

콘텐츠 엔지니어링은 조사를 위해 전달될 경고를 식별하는 경고 프로파일을 구축하는 기능이다. 콘텐츠 엔지니어링 팀과 SecOps 팀은 팀 간에 지속적으로 발생하는 피드백을 긴밀하게 연결해야 한다.

콘텐츠 업데이트 빈도, 검토 방법 및 피드백 프로세스를 식별하는 인터페이스 합의서를 작성해야 한다. SecOps 팀과 위협 탐색 팀이 새로운 경고 또는 기존 경고의 수정을 요청하는 방법을 식별해야 한다. 그리하면 적절하게 구성된 경고를 통해 SecOps 팀은 추가 조사가 필요한 중요한 경고에 집중할 수 있다.

 

초기 연구

초기 연구는 의심스러운 경고에 대한 조사를 시작하기 위해 조직이 사용하는 일련의 높은 수준의 프로세스다. 초기 연구 결과는 추가 조사가 필요한지, 또는 경고가 악의적인지 양성적인지를 분류, 확대 및 결정하는 데 도움이 되는 사건과 관련된 상황을 제공함으로써 도움이 된다.

경고가 트리거되면 SecOps 팀은 사고의 심각도를 판단하고 조사를 위한 기반을 구축하는 데 필요한 정보를 쉽게 수집할 수 있는 방법이 필요하다. 많은 플랫폼에서 자동화된 심각도 권장 사항과 분석가가 경고의 초기 검토를 신속하게 수행하는 데 필요한 데이터를 제공한다. 분석가가 초기 연구를 수행할 수 있도록 경고를 둘러싼 컨텍스트에 액세스할 수 있는 "우클릭" 또는 간단한 드릴다운 기능을 허용하는 기술이 있어야 한다.

 

심각도 분류

심각도 분류는 비즈니스에 미치는 영향을 기반으로 이벤트 우선순위를 정의하여, 분석가가 인시던트 응답 라이프사이클을 통해 수행하는 작업을 안내한다. 자동화를 사용하여 초기 심각도를 할당하면 분석가는 해당 심각도 할당을 검토한 다음 조직의 고유성에 대해 검증한다. 이는 다른 우선순위에 대한 인시던트의 심각도 및 우선순위를 확인하거나 수정하기 위해 수행된다.

각 비즈니스는 자체적인 위험 허용 범위 및 심각도 분류를 결정해야 한다. 일반적으로 1-5 심각도 시스템이 권장된다: 1-치명적(Critical), 2-높음(High), 3-중간(Medium), 4-낮음(Low), 5-정보전달성(informational). 심각도는 일반적으로 어떤 종류의 위반을 나타낸다. 물론, 정확한 설명과 영향은 비즈니스마다 다를 것이다. 일부 조직에서는 공격자가 데이터를 유출하거나 암호화하거나 손상하려고 시도하는 지속적인 위반을 나타내기 위해 심각도 0을 추가하기도 한다.

 

에스컬레이션 과정

에스컬레이션은 SecOps 팀이 잠재적인 문제에 대한 조직의 인식을 높이고 필요한 지원을 받을 수 있도록 하는 일련의 지침이다. 비즈니스의 인식을 높이기 위해 필요한 심각성이 무엇인지 정의하기 위한 인터페이스 계약이 마련되어야 한다. 에스컬레이션 및 커뮤니케이션 계획은 개발되고 문서화되며 모든 이해 관계자와 함께 사회화되어야 하는 것이다.
그 이해관계자는 다음을 포함할 수 있다.

① IT 운영

② GRC(거버넌스, 위험 관리, 컴플라이언스)

③ 법률
④ 기업 커뮤니케이션 또는 홍보
⑤ 서포트

 

에스컬레이션 매트릭스는 구체적인 시나리오와 관련 에스컬레이션 단계를 포함하도록 개발되어야 한다. 이러한 계획은 직원 회전으로 인해 빠르게 쓸모없게 될 수 있으므로 정확성과 관련성을 보장하기 위해 정기적인 검토가 필요하다. 응답 속도가 느리거나 불충분한 문제를 해결하기 위한 백업 연락처와 절차도 권장된다.

 

경고 배포

경보 배포는 분석가에게 특정 경보에 대한 작업을 위임한다. 분석가에게 다양한 경보 세트에 대한 작업 책임을 부여하면, 분석가가 익숙하지 않은 사용 사례를 처리하고 다양한 경보 유형을 잘 이해할 수 있는 기회를 보장한다. 경보 배포는 분석가가 스킬을 구축하고 리소스에 익숙해지도록 도전하며, 분석가가 익숙한 경보를 선택하고 작업해야 하는 경향을 완화한다. 다양한 경보 유형에 대한 작업은 분석가가 필요할 때 특정 경보에 대응할 수 있도록 준비한다.

조사

조사 단계에서 보안 운영 분석가는 사건에 대한 상세한 분석을 수행하고, 포렌식 및 원격 측정 데이터를 수집한다.

 

상세 분석

상세 분석은 어떤 사건이 정말로 악의적인지 확인하고, 공격의 범위를 파악하고, 관찰된 영향을 문서화하기 위해 사건에 대해 더 심층적으로 조사하는 것이다. 무엇을, 어디서, 언제, 왜, 누가, 어떻게, 라는 질문에 답하기 위한 수동적인 프로세스이기도 하다. 또한, 상세 분석은 어떤 사건이 진정한 사건인지 자신 있게 판단하는 데 도움이 된다. 거짓 긍정의 경우, 콘텐츠 엔지니어링 팀에 피드백을 제공하여 경고를 조정할 수 있도록 하거나, 보안 엔지니어링 팀에 피드백을 제공하여 필요에 따라 컨트롤을 업데이트할 수 있도록 해야 한다.

개발된 절차는 모듈식 사고 대응 계획의 일환으로 수행되는 상세 분석에 대해 설명한다. 절차는 초기 연구가 완료된 것으로 가정하며, 이에 따라 모든 정보가 수집된 것으로 가정한다. 이 절차는 초기 연구 후 남은 잔여 공백을 닫는다. 또한, 영향을 받는 IT 자산과 비즈니스 서비스를 파악한다. 사용 가능한 봉쇄 조치의 적절성과 효율성을 평가하고, 완화 절차의 입력으로 제공한다. 상세 분석을 통해 다음을 포함한 모든 관련 정보가 수집되도록 보장해야 한다.

① 보안 사고의 잠재적 영향

② 영향을 받은 자산

③ 상대방의 목표

④ 봉쇄 조치의 잠재적 영향

 

이러한 필수 정보를 조사한 후에야 봉쇄 및 완화 전략에 대한 정보에 입각한 결정을 내릴 수 있다.

 

포렌식 및 원격 측정

포렌식 및 원격 측정은 심각도 분류에서 상세한 분석 및 사냥에 이르기까지 다양한 유형의 조사를 수행하는 데 필요한 데이터를 제공한다.

원격 측정은 주어진 소스에서 실시간으로 수집되는 광범위한 활동이이다. 선택적이 아니라 포괄적이며 항목의 내용을 거의 수집하지 않는다. 네트워크 원격 측정의 예로는 패킷 내용이 아닌 세션 및 패킷 헤더가 있다. 엔드포인트 원격 측정에는 프로세스 실행 세부 정보, 파일 및 메모리 읽기 및 쓰기가 포함되지만 내용은 포함되지 않는다. 원격 측정은 지속적으로 기록되므로, 특정 이벤트에 의해 트리거된 경우에만 규정된 정보를 수집하는 로그보다 유용하며, 범위가 넓고 수집 속도가 빨라 포렌식보다 접근성이 뛰어나다.

 

포렌식은 일반적으로 잘못 사용되는 용어로, 대부분 "수사를 위해 상세한 분석을 완료하는 데 필요한 원시 데이터를 수집하는 행위"라고 인식하고 있다. 실제로 나도 자격증 공부를 하면서는 그렇게만 알고 있었고 말이다. 원시 데이터 캡처는 특정 도구가 필요하고 크기와 수집 방법으로 인해 속도가 느린 경향이 있다. 네트워크 데이터의 경우 원시 데이터는 전체 패킷 또는 넷플로우 로그를 캡처하는 것이며, 엔드포인트 데이터의 경우 메모리 덤프, 전체 실행 파일 또는 운영 체제 파일 또는 심지어 전체 하드 드라이브를 포함할 수 있다. 포렌식이라는 용어의 진정한 사용은 전문가 증인이 증거를 준비하는 데 사용하는 방법을 정의하는 것이다. 전자(또는 컴퓨터) 증거가 법정에서 허용되려면, 전문가가 수행한 절차가 반복 가능하고 방어 가능해야 하며, 결과는 원본 데이터를 어떤 방식으로든 수정해서는 안 되며 작업에 자금을 지원하는 당사자에 의해 오염되어서는 안 된다. 포렌식의 진정한 사용은 이 방법을 정의하며 원시 데이터 캡처는 필수 구성 요소이다.

원격 측정과 포렌식을 모두 사용하는 것은 모든 보안 팀에서 필수 사항이다. 네트워크 및 엔드포인트 활동, 클라우드 구성의 원격 측정은 대부분의 경고 및 사고를 분류하고 조사하는 데 필요한 정보를 쉽게 제공한다. 포렌식 데이터 캡처는 속도가 느리지만, 원격 측정을 보완하고 종종 위반 식별로 이어지는 소수의 우선 순위가 높거나 어려운 사고 조사를 마무리하는 데 필요한 정보를 제공한다. 위반이 확인되면 정부 및 규제 기관에서 모든 데이터와 결과가 필요하지만, 포렌식 데이터는 수집 방식과 내용의 깊이 때문에 조사관이 가장 많이 사용할 수 있다.

 

데이터의 종류로는 다음이 있다.

① 이벤트: 사람 또는 기술에 의해 수행되는 모든 행동
② 경고: 이벤트 알림
③ 로그: 이벤트 세부 정보
④ 원격 측정: 주어진 소스에서 전자적으로 실시간으로 일관되게 수집된 활동
⑤ 포렌식(원시 상태) : 변경 또는 수정 없이 항목의 전체 내용

 

완화

완화 단계의 주요 프로세스에는 완화 전략 실행, 사전 승인된 완화 시나리오 수행, 위반 대응, 변경 제어 및 인터페이스 계약 정의가 포함된다.

 

사건이 확인되면 완화 전략을 실행해야 한다. 완화 전략은 보안 사고를 방지하기 위한 일련의 프로세스와 인터페이스 합의로 구성된다. 여기에는 일반적으로 보안 팀이 취한 모든 조치에 대한 문서와 공격을 신속하게 중지하기 위해 구현할 수 있는 임시 제어가 포함되며, 이를 통해 향후 공격을 방지하기 위한 영구적인 제어가 이루어져야 한다.

 

사전 승인된 완화 시나리오
일부 완화 프로세스는 사전 승인된 완화 시나리오에 대해 쉽게 자동화된다. 이들은 추가 승인 없이 보안 사고를 즉시 억제하거나 방지할 수 있도록 하는 매개 변수의 집합이다. 한 예로, 악성 프로그램의 확산을 방지하기 위해 감염된 노트북을 네트워크에서 차단하는 것이 있다. 또 다른 예는 변경 창을 호출하는 보안 커밋을 요구하지 않고 특정 IOC(ex. 알려진 나쁜 URL, 도메인 또는 IP 주소)에 대해 차단하는 동적 프로세스를 만드는 것이다. 분석가가 완화 프로세스를 실행할 때 각 시나리오에 대해 따르는 프로세스는 문서화되어야 한다.

 

위반 대응

진정한 위반은 표준 완화와 별도의 계획을 필요로 한다. 중대한 사고가 발생했을 때 효과적으로 대응하는 방법을 정의하는 것이다. 이 계획의 첫 번째 작업은 기업 커뮤니케이션, 법률 팀 및 제3자를 포함한 범 기능적 이해 관계자를 적절하게 식별하는 것이다. 그런 다음, 각 이해 관계자가 언제 참여해야 하며 처음에 어떻게 통지해야 하는지에 대한 타임라인을 지정한다. SECOps 팀이 수집하고 공유할 정보의 세부 정보가 정의되어야 하며, 이해 관계자에게 정보를 제공할 책임이 있는 SOC 사령관도 정의되어야 한다. 또한 업데이트 빈도, 업데이트 방법 및 커뮤니케이션 프로세스(이메일, 협업 도구, 워 룸 등)에 대한 정보도 포함되어야 한다. 그리고 위반 세부 정보가 위반 대응 팀을 넘어 유출되지 않도록 교육 및 정책을 수립해야 한다. 위반 대응 계획은 보안 팀이 테스트에 대한 사전 지식을 갖지 않은 상태에서 일반적으로 1년에 몇 번, 적어도 한 번 정기적으로 테스트해야 할 것이다.

 

변경 제어
수동 및 자동 완화 모두의 경우, 변경 사항을 모니터링하고 문서화하고 관리하기 위해 변경 관리 프로세스가 마련되어야 한다. 변경 관리 프로세스를 잘 수행하면, 환경 변경이 비즈니스에 미치는 영향을 최소화할 수 있으며, 되돌아보기 검토를 수행해야 하는 경우를 대비하여 문서화가 잘 된다. 이 문서에 필요한 정보는 식별되어야 하며, 공식 템플릿에 이상적으로 포함되어야 한다. 또한, 이 프로세스에는 일시적인 변경 사항을 검토하고 롤백하기 위한 타임라인이 있어야 한다. 그리고 변경을 요청할 수 있는 사람, 변경을 시작하는 데 필요한 단계, 변경, 백업 및 커뮤니케이션 계획에 사용할 수 있는 전제 조건 또는 변경 기간, 변경을 승인할 수 있는 사람이 있어야 할 것이다.

 

모든 변경사항은 다음과 같아야 한다.

① 사업상 필요하다고 인정됨
② 일관된 문서화(자동화된 경우에도)
③ 다운타임이나 운영 중단을 최소화하기 위해 계획 및 예약

 

인터페이스 계약
인터페이스 계약은 SecOps 팀과 다른 팀이 상호 작용하는 방식을 정의한다. 이러한 계약은 관련된 팀을 나열하고 각 팀의 업무 범위와 책임을 자세히 설명한다. 인터페이스 계약이 유지되지 않는 경우에는 SLA와 운영 수준 계약(OLA)을 참조하고 변경 요청 프로세스 및 에스컬레이션을 참조해야 한다. 그리고 팀 간에 사용되는 의사소통 경로와 도구를 식별해야 한다. 또한, 모든 계약에 대한 정기적인 검토가 이루어져야 하며, 검토 주기를 명확하게 설정하고 명시해야 한다.

 

개선

지속적인 개선에는 튜닝, 프로세스 개선, 역량 향상, 퀄리티 검토가 포함된다.

 

① 튜닝

튜닝은 보안 조사 결과를 기반으로 보안 사고에 대한 알림 절차를 조정하는 것을 말한다. 이는 SOC에서 오탐 및 저충실도 경고를 줄이는 데 중요한 단계다. 여기서 분석가는 보안 사고 과정 중에 SIEM에서 가시성을 높이기 위해 사고를 감지하는 더 나은 방법이 있는지 결정할 수 있다. 이러한 문제가 발생하면 분석가는 향후 사고에 대한 가시성을 향상시키기 위해 튜닝 프로세스에 참여한다. 일반 튜닝은 SOC 내 시스템에서 수집한 메트릭을 기반으로 해야 한다. 여기에는 경고가 오래되거나 효과가 없을 때 폐기하는 프로세스가 포함된다.

 

튜닝 프로세스는 다음을 정의해야 한다.

⑴ 튜닝 작업을 유발하는 사람 또는 대상
⑵ 해당 트리거의 임계값
⑶ 기존 경고에 대한 검토 프로세스
⑷ 기존 경고에 대한 수정을 요청하는 단계(보안 조사 결과에 따라 향후 보안 사고의 가시성을 높이기 위한)

 

경고는 최소한 분기별로 매월 경고 메트릭을 검토해야 한다.

 

② 프로세스 개선

보안 사고 및 새로운 위협의 결과를 기반으로 사고 대응 라이프사이클도 조정해야 한다. SOC 및 비즈니스에 도입되는 신기술도 사고 대응 프로세스 업데이트가 필요할 수 있다. 프로세스에는 누가 사고 대응 프로세스를 업데이트할 수 있는지에 대한 정보가 포함되어야 한다(*이 사람은 사고 대응에 대해 잘 아는 자격을 갖춘 리소스여야 함). 변경 사항이 매일 이루어질 필요는 없으므로 프로세스를 얼마나 자주 검토해야 하는지를 정의해야 하며, 이는 프로세스별로 다르기 마련이다. 모든 개선 사항을 검토한 다음 영향을 받는 그룹과 운영 및 사회화해야 한다.

 

③ 역량 향상

능력 향상은 이전의 사고를 다시 살펴보고 이러한 사고를 미래에 더 잘 예방하거나 완화할 수 있는 방법을 묻는 데 뿌리를 두고 있다. 그 결과, 경고 프로필, 예방 자세 및 자동화 기술을 조정할 수 있다. 때로는 공격을 예방하는 것이 목표이고, 때로는 침입을 더 빨리 멈추거나 신속한 조사에 필요한 적절한 정보를 수집하는 것이 목표다. 이상적으로는 이러한 노력이 지속적으로 이루어져야 하며 모든 조사를 따라야 한다. 하지만 현실적으로는 보통 이러한 작업이 불가능하므로, 매달 사고를 검토하여 능력 향상 기회를 파악해야 할 것이다.

 

역량 향상의 목표는 다음과 같다.
⑴ 향후 공격 방지
⑵ 더 빠른 식별 및 침해 방지
⑶ 특정사건 조사에 필요한 자료 수집
⑷ 보다 신속한 조사
⑸ 자동 교정

 

④ 퀄리티 검토

새로운 튜닝 조치, 프로세스 및 기능이 구현됨에 따라 비즈니스의 효율성과 가치를 보장하기 위해 변경 사항에 대한 철저한 동료 평가가 수행되어야 한다. 또한, 인시던트 워크플로우 및 문서화도 검토해야 한다. 이는 SecOps 조직의 높은 수준의 기능으로 귀결되는 인시던트 대응 프로세스 내의 일관성을 확인하기 위한 것이다.

변경 사항 및 종결된 사례를 검토할 책임이 있는 사람을 식별하는 작업은 검토 프로세스를 위한 입담과 함께 문서화되어야 한다. 이 리소스는 이러한 검토를 정상적인 업무 외에서 수행할 수 있는 시간이 주어져야 한다. 프로세스를 만들어 검토가 필요한 심각도 사례가 무엇인지, 해당 사례에서 검토할 항목이 무엇인지, 피드백을 어떻게 제공할 것인지, 검토를 통해 어떤 교육 기회가 발생하는지를 정의해야 한다. 그런 다음, 해당 교육을 SecOps 팀에 전달하여 위반 방지의 전반적인 효율성과 효율성을 향상시켜야 한다. 물론 때로는 SecOps 팀을 포함해 더 넓은 범위에 전달을 할 필요가 있을 것이다.