[6주차] Cortex로 미래 보장
학습목표
1. Cortex XSOAR가 보안 응답 작업을 자동화하는 방법을 검토한다.
2. SOC 팀이 Cortex Data Lake를 활용하여 엔터프라이즈 보안 데이터를 수집, 통합 및 정상화하는 방법을 설명한다.
3. Cortex 첨단 인공지능(AI) 및 머신러닝(ML) 기술을 검토한다.
4. Cortex XDR 배포 아키텍처의 주요 구성 요소를 파악한다.
[6-1] Cortex로 미래 보장
미래 보장 - Cortex
코텍스(Cortex)는 인공지능 기반의 지속적인 보안 플랫폼이다. 코텍스는 조직이 추가적인 복잡성이나 인프라 없이 어떤 공급자에서든 혁신적인 새로운 보안 제품을 만들고, 제공하고, 소비할 수 있도록 해준다.
보안 팀은 데이터 침해를 방지하기 위해 지속적으로 도전을 받는다. 이 문제는 너무 많은 알림, 너무 적은 보안 분석가, 협소하게 집중된 도구, 통합 부족 및 시간 부족에서 비롯된다. 더 많이 반응할수록, 그들은 더 뒤쳐지기 마련이다. 팔로알토 네트웍스는 Cortex XDR이라고 불리는 SOC 가시성, 조사 및 신속한 해결에 대한 획기적인 접근법을 개발했다. Cortex XDR은 인프라의 모든 측면에서 보안 팀에 가시성을 제공하여 사일로를 무너뜨리고, 보안 운영 및 자세를 개선하기 위해 조직 활동의 총체적인 그림을 보여준다.
비즈니스 관점에서 Cortex XDR은 보안 프로세스를 단순화하고 강화할 뿐만 아니라, 성공적인 사이버 공격을 방지할 수 있도록 한다. 이 기능은 사용자, 데이터 및 애플리케이션이 보호될 때 기업이 전략적 우선 순위에 집중할 수 있기 때문에 사용자에게 더 나은 서비스를 제공하고 디지털 전환 이니셔티브를 가속화할 수 있도록 한다. Cortex XDR을 사용하면 동작 분석을 통해 은밀한 위협을 탐지하고 이벤트를 조사하고, 강력한 검색 도구를 사용하여 위협을 추적할 수 있다.
보안 운영(SecOps)은 위협을 예방하고 보안 사고를 감지하고 대응하기 위해 일하는 보안 및 운영 팀과 같은 IT 팀 간의 공동 노력이다. 모든 보안 팀의 목표는 조직의 인프라와 데이터를 손상, 무단 액세스 및 오용으로부터 보호하는 것이다. 더 큰 조직에서는 전용 보안 직원 팀이 분석 및 위협 사냥 기술을 통해 위협의 범위를 결정하는 도구로 위협을 감지, 조사 및 대응하는 보안 운영 센터(SOC)를 운영한다.
조직의 경우, 위협이 정교함과 숫자 면에서 계속 증가함에 따라 SecOps는 수신한 많은 수의 경고로 인해 압박을 받게 되고, 이로 인해 효과적으로 대처하는 것이 불가능하다. SecOps가 수신한 모든 경고를 처리할 때 직면하는 또 다른 과제는 경고를 생성하는 여러 개의 개별 플랫폼을 처리할 때 조사에 대한 전반적인 맥락이 부족하다는 것이다. 그 결과, SecOps 팀은 공격을 이해하기 위해 여러 데이터 소스와 도구를 수동으로 통합해야 하므로 조사에 너무 오랜 시간이 걸리고 잠재적인 위협을 놓치게 된다.
100% 예방을 달성하는 것은 어떤 조직에서도 매우 어렵다 사실상 불가능이라고 봐도 과언이 아니다. 보안 운영 센터(SOC)는 오늘날 많은 틈새 보안 제품을 구매하고 있는데, 이것은 다른 플랫폼과 도구에서 들어오는 너무 많은 경고를 추적하고 관리해야 하는 단점을 만든다. 한 명의 SOC 엔지니어가 한 가지 의심스러운 활동이나 경고를 조사하는 데 며칠에서 몇 주가 걸릴 수 있는데, 이것은 결국 아무 것도 초래하지 않을 수도 있다.
팔로알토 네트웍스는 SecOps 팀을 위한 다른 접근 방식을 가지고 있다.
① Cortex XDR 엔드포인트 보호 및 차세대 방화벽으로 가능한 모든 위협을 방지한다.
② 막을 수 없는 모든 것을 신속하게 감지하고 조사해야 한다. Cortex XDR과 AutoFocus를 사용하면 이를 달성할 수 있다.
③ 그런 다음 Cortex XSOAR로 지속적으로 응답을 자동화한다. Cortex XSOAR를 사용하면, 보안 팀이 여러 소스에 걸쳐 경고를 수집한 다음 자동화된 플레이북을 실행하여 신속한 사고 대응을 할 수 있다.
Cortex는 SecOps를 위한 플랫폼이다. Cortex를 SecOps의 원스톱 쇼핑으로 모든 주요 문제를 보다 효율적인 방법으로 해결하고 보안 결과를 높인다. Cortex를 사용하면 네트워크, 엔드포인트 및 클라우드 전반에 걸쳐 적절한 데이터가 통합되어, 보안 분석가에게 필요한 모든 컨텍스트를 제공함으로써 조사 속도를 높일 수 있다. 이 플랫폼에는 두 가지 주요 SecOps 요소가 있다.
① 탐지 및 응답을 위한 Cortex XDR
Cortex XDR은 엔드포인트에만 좁은 초점을 맞추어 엔드포인트 보호 및 응답(EDR)을 도약시키는 XDR("모든 것" 탐지 및 응답) 시장 카테고리의 첫 번째 제품이자 정의 제품이었다.
② 보안 오케스트레이션, 자동화 및 대응을 위한 Cortex XSOAR
Cortex XSOAR는 모든 보안 사용 사례를 해결하는 데 도움이 되는 300개 이상의 멀티벤더 통합 기능을 갖춘 플레이북을 제공한다.
Cortex XSOAR
보안 팀에는 압도적인 양의 경고와 끝없는 보안 작업에 보조를 맞출 인력과 확장 가능한 프로세스가 부족하다. 분석가는 데이터 수집을 위해 콘솔을 넘나들며 잘못된 정보를 확인하고, 사고의 라이프사이클 전체에 걸쳐 수동적이고 반복적인 작업을 수행하는 데 시간을 낭비한다. 점점 더 기술이 부족해지는 상황에 직면하면서, 보안 리더는 반응적이고 단편적인 대응에 빠져들기보다는 중요한 결정을 내릴 시간이 필요하다.
Cortex XSOAR는 기업 보안을 위한 세계에서 가장 포괄적인 운영 플랫폼으로 보안 운영 센터(SOC) 효율성을 강화한다. Cortex XSOAR는 업계 최초의 확장 보안 오케스트레이션, 자동화 및 대응(SOAR) 오퍼링에서 사례 관리, 자동화, 실시간 협업 및 기본 위협 인텔 관리를 통합한다. 팀은 모든 소스에서 경고를 관리하고, 플레이북으로 프로세스를 표준화하고, 위협 인텔리전스에 대한 조치를 취하며, 모든 보안 사용 사례에 대한 대응을 자동화할 수 있어, 사람의 개입이 필요한 경고를 최대 90% 더 빠르게 대응하고, 95%까지 줄일 수 있다.
Cortex XSOAR는 보안 정보 및 이벤트 관리(SIEM) 솔루션, 네트워크 보안 도구, 위협 인텔리전스 피드 및 우편함과 같은 탐지 소스에서 통합 경고 및 절충 표시(IoC)를 수집한 후 자동화되고 프로세스 중심의 플레이북을 실행하여 이러한 사고에 풍부하게 대응한다. 이러한 플레이북은 중앙 집중식 데이터 가시성 및 조치를 위해 기술, 보안 팀 및 외부 사용자 간에 조정된다.
Cortex XSOAR는 보안 프로세스를 간소화하고, 서로 다른 보안 툴을 연결하며, 기계로 구동되는 보안 자동화와 인간 개입의 적절한 균형을 유지함으로써 보안 전문가가 보안 작업과 사고 대응을 효율적으로 수행할 수 있도록 지원한다.
Cortex Data Lake
조직은 공격을 중지하는 데 필요한 가시성이 부족한 경우가 많다. 데이터는 일반적으로 클라우드, 엔드포인트 및 네트워크 자산 전반에 걸쳐 사일로에 잠겨 있으므로, 도구가 위협 대응을 효과적으로 발견, 조사 또는 자동화하지 못한다.
대규모 데이터 수집, 저장 및 분석 인프라를 구축하는 것은 복잡하다. 공간, 전력, 컴퓨팅, 네트워킹 및 고가용성 요구사항, 비용 증가 및 운영 부담에 대한 계획을 세워야 한다. 인프라를 구축한 후에는 지속적인 유지보수 및 모니터링이 필요하므로 비즈니스를 진전시키는 활동에서 시간을 빼앗는다.
Cortex Data Lake는 퍼블릭 클라우드 규모와 위치의 이점을 누릴 수 있도록 구축되었다. 클라우드 기반 서비스는 처음부터 탄력적으로 확장할 준비가 되어 있어 로컬 컴퓨팅 및 스토리지가 필요하지 않다. 요구 사항이 증가하면 버튼을 눌러 더 많은 용량을 추가할 수 있다. 퍼블릭 클라우드 아키텍처를 사용하면 글로벌 위치를 활용하여 로컬 데이터 거주 및 개인 정보 보호 요구 사항을 해결할 수 있다. 스토리지 및 컴퓨팅을 포함한 인프라가 사용자를 위해 처리되므로 Cortex 기반의 앱으로 새로운 보안 문제를 해결하는 데 집중할 수 있다.
Cortex Data Lake는 보안 인프라 전반에 걸쳐 데이터를 자동으로 수집, 통합 및 정규화한다. 통합 데이터를 사용하면 고급 AI와 머신 러닝을 실행하여 Cortex에 구축된 앱으로 보안 작업을 근본적으로 단순화할 수 있다. 그리고 긴밀한 센서 통합을 통해 새로운 데이터 소스와 유형을 지속적으로 추가하여 방어를 진화시킬 수 있다.
Cortex Data Lake는 민감하거나 식별 가능한 정보에 대한 무단 액세스를 방지하기 위해 엄격한 개인 정보 보호 및 보안 제어 기능을 갖추고 있다. Cortex Data Lake는 언제든지 취소할 수 있는 권한이 있는 사용자와 앱에 대한 액세스를 제한하여 데이터의 개인 정보를 보장한다. Cortex Data Lake 인프라는 엄격한 기술 및 조직 보안 제어를 포함한 보안 및 기밀성에 대한 업계 표준 모범 사례로 보안이 유지된다.
[6-2] Cortex XDR
새로운 범주의 엔터프라이즈 스케일 방지, 탐지 및 대응 정의
보안 팀은 활성 공격을 신속하게 탐지하고 중단할 수 없다. 수많은 보안 도구를 배포했음에도 불구하고, 위협을 찾는 데 필요한 전사적인 가시성과 심층 분석이 부족하기 때문이다. 이러한 사일로화된 도구는 끝없는 경고를 생성하고 분석가가 콘솔에서 콘솔로 전환하여 위협을 확인하도록 강요하여 누락된 공격과 불완전한 조사를 초래한다. 사이버 보안 전문가 부족에 직면한 팀은 운영을 단순화해야 한다.
모든 위협 예방, 탐지, 조사 및 대응
Cortex XDR은 엔드포인트, 네트워크 및 클라우드 데이터를 통합하여 정교한 공격을 중단하는 엔터프라이즈급 예방, 탐지 및 대응을 위한 새로운 카테고리를 정의한다. 시장 최초이자 선도적인 XDR 카테고리 제품인 Cortex XDR은 예방, 탐지, 조사 및 대응을 하나의 플랫폼에서 통합하여 독보적인 보안 및 운영 효율성을 제공한다.
동급 최고 수준의 방지 기능으로 가장 많은 엔드포인트 공격 차단
Cortex XDR 에이전트는 업계 최고의 AI 기반 로컬 분석 및 행동 기반 보호 기능을 통해 엔드포인트를 멀웨어, 익스플로잇 및 파일 없는 공격으로부터 보호한다. 조직은 엔드포인트 보호, 탐지 및 대응을 위해 단일 클라우드 제공 에이전트로 이전에 볼 수 없었던 위협을 막을 수 있다. 통합 장치 제어 모듈은 USB 액세스를 세분화하여 관리하여 악성 장치로부터의 데이터 손실 및 멀웨어 전송을 방지한다. 이 에이전트는 팔로알토 네트웍스의 네트워크 및 클라우드 보안 오퍼링 전반에 걸쳐 보호를 공유하여, 전사적으로 일관된 보안을 제공한다.
머신 러닝 및 분석을 통해 은밀한 위협 탐지
Cortex XDR은 분석을 통해 사용자 및 엔드포인트 행동을 지속적으로 프로파일링하여 타의 추종을 불허하는 정확도로 회피 위협을 식별한다. 머신 러닝 모델은 팔로알토 네트웍스 및 타사 소스의 데이터를 분석하여 관리 및 관리되지 않는 장치를 대상으로 하는 은밀한 공격을 탐지한다.
엄청난 속도로 조사 및 대응
Cortex XDR은 모든 위협에 대한 전체 그림을 제공하고 근본적인 원인을 자동으로 밝힘으로써 조사를 가속화한다. 그리고 지능형 경고 그룹화 및 경고 중복 제거 기능을 통해 분류를 단순화하고, 보안 운영의 모든 단계에서 필요한 경험을 줄인다. 시행 지점과의 긴밀한 통합을 통해 분석가는 위협에 신속하게 대응할 수 있게 된다.
업계 최고의 파트너로부터 MDR 서비스 받기
Cortex XDR을 기반으로 하는 MDR(Managed Detection and Response) 파트너의 서비스는 일상적인 보안 운영 부담을 덜어주고, 연중무휴 SOC의 즉각적인 성숙도를 제공하여, 경고 관리에서 사고 대응 및 위협 사냥에 이르기까지 다양한 서비스를 제공한다. Cortex XDR은 차세대 MDR 서비스를 지원하여 네트워크, 엔드포인트 및 클라우드 전반에 걸쳐 포괄적인 예방, 탐지 및 대응을 완벽하게 통합된 통합 기술 스택에서 수행할 수 있도록 지원한다. 또한, 맞춤형 튜닝 및 배포를 통해 수년이 아닌, 몇 주 만에 시작하고 수십 년에 걸친 조사, 포렌식 및 보안 운영 전문 지식을 즉시 활용할 수 있다. 그리고 포인트 제품을 기반으로 구축된 관리 서비스의 한계를 극복하고 평균 탐지 시간(MTTD) 및 평균 응답 시간(MTTR)을 60분 이하로 보장된 단축을 달성할 수도 있다.
주요 기능
① 업계 최고의 엔드포인트 보호를 통해 자산 보호
단일 클라우드 네이티브 에이전트로 위협을 방지하고 탐지 및 대응을 위한 데이터를 수집한다. Cortex XDR 에이전트는 익스플로잇, 멀웨어, 랜섬웨어 및 파일 없는 공격에 대한 최첨단 보호 기능을 갖춘 완벽한 방지 스택을 제공한다. 멀웨어 감염으로 이어지는 익스플로잇을 차단하기 위해 사용할 수 있는 가장 광범위한 익스플로잇 방지 모듈 세트가 포함되어 있다. 모든 파일은 항상 새로운 공격 기술에 대응하는 방법을 학습하고 있는 적응형 AI 기반 로컬 분석 엔진에 의해 검사된다. 행동 위협 보호 엔진은 여러 관련 프로세스의 동작을 검사하여 공격이 발생할 때 이를 밝혀내기도 한다. 팔로알토 네트웍스 WildFire®멀웨어 방지 서비스와의 통합은 보안 정확성과 적용 범위를 향상시킨다.
② USB 장치를 안전하게 관리
Device Control을 사용하여 맬웨어 및 데이터 손실로부터 엔드포인트를 보호한다. Cortex XDR 에이전트를 통해 모니터링 및 보안 호스트에 다른 에이전트를 설치할 필요 없이 USB 액세스. 공급업체, 유형, 엔트포인트 및 Active Directory 그룹 또는 사용자별로 사용을 제한할 수 있다. 세분화된 정책을 통해 USB 장치당 쓰기 또는 읽기 전용 권한을 할당할 수도 있다. 또한, Cortex XDR 관리 인터페이스에서 USB 액세스 설정을 쉽게 관리하고, USB 기반 위협을 완화했다는 안심을 얻을 수도 있을 것이다.
③ 우수한 데이터를 기반으로 전체 가시성 확보
모든 데이터를 통합하여 보안 사일로를 파괴한다. Cortex XDR은 엔드포인트, 네트워크 및 클라우드 데이터를 자동으로 꿰매어 공격을 정확하게 탐지하고 조사를 간소화한다. 팔로알토 네트웍스 제품뿐만 아니라, 타사 로그 및 경고에서 데이터를 수집하여 모든 네트워크 세그먼트에 걸쳐 지능적인 결정의 범위를 넓힐 수도 있다. 타사 경고는 엔드포인트 데이터와 동적으로 통합되어 근본 원인을 밝히고 분석가의 시간을 절약한다. Cortex XDR은 타사 방화벽에서 수집한 로그를 행동 분석을 통해 검사하여 중요한 위협을 찾고 가시성 사각지대를 제거할 수 있다.
④ 지속적인 ML 기반 위협 탐지를 통해 위협 탐지
타의 추종을 불허하는 MITRE ATT&CK 적용 범위를 제공하는 분석 및 즉시 사용 가능한 규칙을 통해 은밀한 위협을 찾아낸다. Cortex XDR은 활성 공격을 자동으로 탐지하여 팀이 피해를 입기 전에 위협을 분류하고 억제할 수 있도록 한다. 기계 학습을 사용하여 Cortex XDR은 사용자 및 엔드포인트 행동을 지속적으로 프로파일링해, 공격을 나타내는 비정상적인 활동을 탐지한다. Cortex XDR은 보안 경고 및 풍부한 네트워크, 엔드포인트 및 클라우드 로그를 포함한 통합 데이터 세트에 분석을 적용함으로써, 사일로화된 네트워크 트래픽 분석(NTA), 엔드포인트 탐지 및 응답(EDR) 및 사용자 행동 분석(UBA) 도구의 탐지 기능을 충족하고 능가한다. 자동화된 탐지 기능은 하루 종일, 매일 작동하여 안심하고 사용할 수 있다.
⑤ 8배 빠른 조사
모든 경보의 근본 원인을 자동으로 밝힌다. Cortex XDR을 사용하면 분석가가 타사 도구를 포함한 모든 소스의 경보를 클릭 한 번으로 검사하여 조사를 간소화할 수 있다. Cortex XDR은 각 경보와 관련된 근본 원인, 평판 및 이벤트 시퀀스를 자동으로 나타내므로, 공격 확인에 필요한 경험 수준을 낮춘다. Cortex XDR은 경보를 인시던트로 통합하여 검토할 개별 경보 수를 줄이고 경보 피로도를 완화한다. 각 인시던트는 주요 아티팩트 및 통합된 위협 인텔리전스 세부 정보와 함께 공격에 대한 전체 그림을 제공하여 조사를 가속화한다.
⑥ 강력한 검색 도구를 사용하여 위협을 수동으로 검색
숨겨진 멀웨어, 표적 공격 및 내부자 위협을 탐지한다. 보안 팀은 찾기 어려운 위협을 식별하기 위해 쿼리를 검색, 예약 및 저장할 수 있다. 유연한 검색 기능을 통해 분석가가 새로운 쿼리 언어를 학습하지 않고도 위협을 사냥하고 타협 지표(IOC)와 타협 행동 지표(BIOC)를 모두 검색할 수 있다. 팔로알토 네트웍스의 위협 인텔리전스를 네트워크, 엔드포인트 및 클라우드 데이터의 완전한 세트에 통합함으로써, 팀은 사고가 진행 중이거나 과거에 발생한 적이 있는지 여부에 관계없이 멀웨어, 외부 위협 및 내부 공격을 탐지할 수 있다.
⑦ 엔드포인트, 네트워크 및 클라우드 구현 지점 간 대응 조정
빠르고 정확한 복구를 통해 위협을 방지한다. Cortex XDR을 사용하면 보안 팀이 하나의 콘솔에서 엔드포인트, 네트워크 및 클라우드 위협을 즉시 차단할 수 있다. 분석가는 시행 지점과의 긴밀한 통합을 통해 악성 프로그램의 확산을 신속하게 방지하고, 장치 간 네트워크 활동을 제한하며, 불량 도메인과 같은 방지 목록을 업데이트할 수 있다. 강력한 Live Terminal 기능을 통해 Tier 1 분석가는 엔드포인트에 직접 액세스하고, 파이썬, 파워셸 또는 시스템 명령 및 스크립트를 실행하고, 그래픽 파일 및 태스크 관리자로부터 파일 및 프로세스를 관리함으로써, 최종 사용자를 방해하지 않고 공격을 신속하게 조사하고 종료할 수 있다.
⑧ 유닛 42 위협 사냥꾼이 당신을 대신해 끊임없이 일하는 모든 공격 찾기
Cortex XDR Managed Threat Hunting 서비스로 보안 팀을 강화할 수 있다. 이 서비스를 통해 Unit 42 위협 연구원은 지속적으로 우리의 기업을 대상으로 가장 은밀한 공격을 표면화한다. 그리하여 사전 예방적 영향 보고서와 식별된 공격에 대한 심층적인 맥락을 통해 단호한 대응 조치를 취할 수 있는 자신감을 얻을 수 있을 것이다. Cortex XDR Managed Threat Hunting은 제한된 시간 동안 커뮤니티 액세스 서비스를 통해 시도할 수 있다.
⑨ 보안 오케스트레이션, 자동화 및 응답(SOAR)과 긴밀하게 통합
보안 제품 스택 전반에 걸쳐 응답 프로세스를 표준화하고 자동화한다. Cortex XDR은 Demisto와 통합되어 300개 이상의 타사 도구에 걸쳐 있는 자동화된 플레이북 기반 응답을 위해 팀이 Demisto에 사고 데이터를 공급할 수 있도록 한다. Demisto 플레이북은 자동으로 Cortex XDR 사고를 수집하고 관련 알림을 검색하며 Cortex XDR의 사고 필드를 플레이북 작업으로 업데이트할 수 있다. Demisto의 사례 관리를 활용하여 Cortex XDR 사고를 모니터링하고 조직의 다른 알림과 연관시킬 수도 있다.
⑩ 하나의 직관적인 콘솔에서 관리, 보고, 분류 및 응답 통합
원활한 플랫폼 경험으로 생산성을 극대화한다. 관리 콘솔은 엔드포인트 정책 관리, 탐지, 조사 및 대응을 포함한 모든 Cortex XDR 기능을 엔드 투 엔드로 지원한다. 사용자 정의 가능한 대시보드를 통해 조직 또는 개별 엔드포인트의 보안 상태를 신속하게 평가하고, 주문형으로 예약하거나 생성할 수 있는 그래픽 보고서를 통해 인시던트 및 보안 동향을 요약할 수 있다. 공용 API는 관리를 타사 도구로 확장하여 원하는 관리 플랫폼에서 인시던트를 검색 및 업데이트하고, 에이전트 정보를 수집하며 엔드포인트 위협을 포함할 수 있도록 한다.
⑪ 클라우드 제공을 통한 간편한 구축
클라우드 네이티브 Cortex XDR 플랫폼은 효율적인 배포를 제공하므로 새로운 온프레미스 네트워크 센서나 로그 수집기를 배치할 필요가 없다. 팔로알토 네트웍스 제품이나 타사 방화벽을 사용하여 데이터를 수집할 수 있으므로 관리해야 하는 제품 수가 줄어든다. 위협을 감지하고 방지하려면 차세대 방화벽이나 Cortex XDR 에이전트와 같은 데이터 소스가 하나만 필요하지만, 추가 소스를 사용하면 사각지대를 제거할 수 있다. 그리고 확장 가능하고 효율적인 클라우드 기반 데이터 저장소인 Cortex Data Lake에 데이터를 쉽게 저장할 수 있다. Cortex XDR은 여러 소스의 데이터를 함께 통합하고 작업을 자동화하며 관리를 단순화하여 사일로화된 보안 도구에 비해 44%의 비용 절감 효과를 제공한다.
운영상의 이점
① 강력한 엔드포인트 보호를 통해 알려진 공격 및 알려지지 않은 공격 차단
AI 기반 로컬 분석 및 행동 위협 보호를 활용해 업계에서 가장 많은 멀웨어, 익스플로잇 및 파일 없는 공격을 방지한다.
② 네트워크, 엔드포인트 및 클라우드 데이터 전반에 걸쳐 가시성 확보
팔로알토 네트웍스 및 타사 툴에서 데이터를 수집하고 상호 연관시켜 위협을 탐지, 분류, 조사, 사냥 및 대응할 수 있다.
③ 정교한 공격을 24시간 자동 탐지
Always-On AI 기반 분석 및 사용자 지정 규칙을 사용하여 고급 지속적인 위협 및 기타 비밀 공격을 탐지한다.
④ 경고 피로 및 직원 이직 방지
자동화된 근본 원인 분석과 통합된 사고 엔진을 통해 조사를 간소화하여 경고 수를 98% 줄이고, 경고 분류에 필요한 기술을 줄인다.
⑤ 오탐 경고 대폭 줄이기
모든 조사에서 얻은 지식을 적용하여 행동 탐지 규칙을 개선하고 향후 분석 속도를 높여 소음과 위험을 줄인다.
⑥ SOC 생산성 향상
엔드포인트 보안 정책 관리 및 네트워크, 엔드포인트 및 클라우드 환경 전반의 모니터링, 조사 및 대응을 하나의 콘솔에 통합하여 SOC 효율성을 높인다.
⑦ 비즈니스 중단 없이 위협 요소 제거
사용자 또는 시스템 다운타임을 방지하면서 정확한 정밀도로 공격을 차단한다.
⑧ 고급 위협 제거
악의적인 내부자, 정책 위반, 외부 위협, 랜섬웨어, 파일리스 및 메모리 전용 공격, 고급 제로데이 멀웨어로부터 네트워크를 보호한다.
⑨ 보안 팀 슈퍼차지
IOC, 비정상적인 행동 및 악의적인 활동 패턴을 탐지하여 공격의 모든 단계를 방해한다.
⑩ 지속적인 보안 태세 개선
위협 사냥 검색을 행동 규칙으로 저장하여 향후 유사한 위협을 탐지한다. 유연한 정보 경고는 의심스러운 행동을 식별하고 복잡한 이벤트를 이해하기 쉽게 만들어 타임라인 분석을 개선한다.
⑪ 타사 데이터 소스에 대한 탐지, 조사 및 대응 확장
타사 방화벽에서 수집한 로그에 대한 행동 분석을 활성화하는 동시에, 타사 경고를 통합된 사고 보기 및 근본 원인 분석에 통합하여 보다 빠르고 효과적인 조사를 수행할 수 있다.
Cortex를 통한 보안 운영 혁신
Cortex XDR은 업계에서 가장 포괄적인 보안 운영 제품군인 Cortex의 일부로, 기업들에게 동급 최고의 탐지, 조사, 자동화 및 대응 기능을 제공한다. 이 제품군은 Cortex XDR과 Demisto의 긴밀하게 통합된 제품군을 기반으로 구축되었으며, 이를 통해 끝없는 리소스가 필요했던 수동 대응형 모델에서 모든 보안 사용 사례에 대해 MTTD와 MTTR을 모두 줄이는 린, 사전 예방 및 자동화된 팀으로 SOC 운영을 전환할 수 있다.
운영 체제 지원
Cortex XDR 에이전트는 윈도우, 맥OS, 리눅스 및 안드로이드 운영 체제 전반에 걸쳐 여러 엔드포인트를 지원한다. 시스템 요구 사항 및 지원되는 운영 체제에 대한 전체 목록은 팔로알토 네트웍스 호환성 매트릭스를 참조하여 확인할 수 있다.
MDR 서비스를 통한 MTTD 및 MTTR 절감
조직은 자체 보안 운영 센터(SOC)를 구축하거나 정제하는 수고스러운 과정을 피하면서, MDR(Managed Detection and Response) 서비스를 획득함으로써 보안 측면에서 긍정적인 결과를 보다 신속하게 실현한다. 팔로알토 네트웍스는 업계 최고의 MDR 서비스 제공업체와 협력하여 경험이 풍부한 분석가, 성숙한 운영 프로세스 및 시장을 선도하는 보안 제품을 가장 포괄적으로 조합하여 제공한다. 이러한 파트너십은 다음과 같은 이점을 제공한다.
① 팔로알토 네트웍스 시행 시점에서 동급 최고의 예방 기능을 제공한다.
② Cortex XDR을 통해 네트워크, 엔드포인트 및 클라우드 자산 전반에 걸쳐 완벽한 가시성을 제공한다.
③ 평균 탐지 시간(MTTD) 및 대응 시간(MTTR)을 60분 이하로 단축한다.
④ 전용 인프라를 적절하게 조정하고 관리하기 위한 수년간의 보안 서비스 경험이 있다.
이는 포인트 제품 판매를 늘리는 것이 아니라, 긍정적인 결과와 고객 선택을 가능하게 하는 것에 초점을 맞추는 MDR 서비스 제공 방식의 근본적인 변화를 의미한다. 기존의 관리형 보안 서비스는 경고 관리와 중요한 위협에 대한 알림에 중점을 두었고, 시간 집약적인 조사를 고객에게 맡겼다. 대부분의 기술 공급업체에서 제공하는 MDR 제품은 제한된 포인트 제품의 단점을 서비스 베일에 가려져 있다. 이는 구체적인 탐지 및 대응 서비스 수준 계약(SLA)이 부족하다는 점에서 분명하게 드러난다.
즉각적인 보안 운영 확장
선정된 MDR 파트너는 SOC 팀에 즉시 액세스하고 경보 관리, 위협 조사, 사고 대응 및 위협 사냥에 대한 모범 사례를 제공한다. 수십 년의 경험은 전문가 배치 및 각 환경에 대한 Cortex XDR의 미세 조정을 의미하며, 수년이 아닌 며칠 만에 성숙한 SOC를 제공한다.
NAT의 MDR 파트너는 조직이 성장함에 따라 회사와 함께 확장한다. 기존의 접근 방식에서는 새로운 위험에 대비하기 위해 보안 분석가, 기술 및 운영 프로세스를 지속적으로 추가해야 한다. NAT의 MDR 파트너는 최신 직원 수를 요구하기만 하면 위험을 관리하기 위해 서비스를 확장한다.
Cortex XDR 기술로 구동
Cortex XDR은 완전히 통합된 네트워크, 엔드포인트 및 클라우드 데이터에서 실행되는 새로운 범주의 엔터프라이즈급 확장 탐지 및 응답을 정의한다. 또한, Cortex XDR은 위협을 방지하고 고급 공격을 탐지하기 위해 기계 학습을 활용하여 동급 최고의 예방 기능을 제공한다. 분석 기능을 활용하여 모든 소스의 데이터를 통합하면 경고량이 줄어들고 조사가 간소화되며, 포렌식 보안 전문가가 위협을 신속하게 해결하는 데 필요한 가시성을 얻을 수 있다.
탐지 및 대응 기술이 넘쳐나는 시장에서 MDR 파트너는 서비스를 강화할 Cortex XDR을 선택했다. Forrester의 MITRE ATT&CK 프레임워크 평가에서 검증된 가시성 리더인 Cortex XDR을 통해, MDR 파트너는 시장에서 최고의 탐지 및 대응 SLA를 제공할 수 있다. 따라서 동급 최고의 기술과 보안 서비스의 파트너십을 통해 고객은 엔드포인트뿐만 아니라 모든 위협 벡터에서 긍정적인 결과를 실현할 수 있다.
MDR 파트너 전체의 주요 기능
① 연중무휴 보장
지속적인 커버리지를 위해 직원을 유지하는 것은 어렵고 비용도 많이 드는 일이다. NAT 파트너는 SLA에 따라 경고를 관리하고 사전 예방적으로 위협을 탐지하며, 대응하는 전문 분석가를 통해 24시간 사용자 환경에 대한 커버리지를 제공한다.
② 경고 탐지 및 분류
MTTD를 60분 이내로 단축한다. 보안 팀은 평균적으로 가장 중요한 알림만 처리하는 것을 우선시하여 알림의 7% 미만을 본다. MDR 파트너는 Cortex XDR의 모든 알림을 처리할 수 있는 프로세스를 갖추고 있어, 네트워크, 엔드포인트 또는 클라우드 전반에 걸친 위협이 차단되지 않도록 한다.
③ 초고속 조사 및 대응
MTTR을 60분 이내로 단축한다. 조사는 시간이 많이 걸리고 복잡하기 때문에 분석가들이 수동으로 결론을 도출할 수 있다. Cortex XDR의 지원을 받는 세계적인 법의학 분석가들은 공격의 근본 원인, 범위 및 목표 응답을 위한 궤적을 정의하면서 모든 위협을 신속하고 정확하게 조사한다.
④ 보안 강화
글로벌 인텔리전스를 통해 보안을 강화할 수 있다. 탐지 및 조사를 지원하기 위해 인텔리전스를 수집하고 유지하려면 전담 인력이 필요한 법이다. MDR 파트너는 모든 산업 분야의 전 세계 고객을 대상으로 한 경험을 활용하여 탐지 및 응답 시간을 꾸준히 개선한다. 위협 인텔리전스 피드와 공유 분석가 경험을 기본적으로 통합하여 모든 고객을 새로운 위협으로부터 보호하는 것이다.
⑤ 위협 헌팅
SOC가 구축되어 있는 조직에서도 위협 헌팅을 위한 인력과 시간을 찾기 위해 고군분투한다. 다양한 산업 분야에 걸쳐 파트너의 규모와 가시성을 활용하여, 오늘날의 가장 은밀한 공격을 발견하는 데 경험한 전용 위협 사냥꾼에게 즉각적으로 액세스할 수 있다.
[6-3] Cortex와 SOAR
SOAR가 위협 인텔리전스를 혁신하는 방법
모든 기업에 대한 디지털 전환의 이점은 분명하지만, 새로운 기술이 공격 표면을 확장하여 공격자가 어디에서나 올 수 있도록 함에 따라 전환에는 보안 의미도 수반된다. 이제 클라우드 컴퓨팅, 자동화 및 인공 지능이 주류를 이루면서 공격자는 최소한의 인간 개입으로 전례 없는 수준의 정교함과 규모로 캠페인을 수행할 수 있다. 오늘날 위협 행위자는 10초 이내마다 컴퓨터를 공격한다. 이는 공격자가 기계 속도를 활용하기 때문에 가능한 일이다.
그렇다면 어떻게 기업들이 따라잡을 수 있을까? 사업을 중단하지 않고 기업 전체에 걸쳐 건강한 보안 태세를 구현하고 유지하는 것은 점점 더 고된 일이다. 이것이 보안 운영 센터(SOC)가 중요한 역할을 하는 곳이다. SOC 팀은 통합 보안 기술, 간소화된 프로세스 및 고급 사이버 위협을 탐지, 조사 및 대응할 수 있는 인력의 조합을 사용하여 보조를 맞추는 이 문제를 해결할 책임이 있다.
불행히도 사이버 보안 기술 부족, 대량의 저충실도 경고, 수많은 단절된 보안 도구 및 외부 위협 상황의 부족으로 인해 모든 규모의 보안 팀이 감당할 수 없을 정도로 압도되고 있다. 이러한 문제를 해결하기 위해서는 먼저 SOC의 내부 작동을 분석하고 어떤 일이 발생하는지 파악해야 한다. 그래야 SOC 팀이 직면한 문제의 심각성을 이해하고 효과가 있는 솔루션을 적용할 수 있을 것이다.
더 큰 조직에서는 성숙한 보안 운영 팀이 움직이는 부품이 많다. 효과적인 보안 운영을 구성하는 세 가지 주요 대상으로는 SOC 분석가, 사고 대응자, 위협 분석가가 있다.
SOC 분석가
SOC 분석가들은 매일 보안 정보 및 이벤트 관리 (SIEM) 기술, 엔드포인트 탐지 및 대응 (EDR) 시스템, 그리고 때로는 수백 개의 다른 내부 보안 도구에 의해 발생하는 수천 개의 내부 경고를 본다. 그들의 일은 기업의 눈이 되는 것이다. 따라서 보안 사고를 탐지, 조사, 근본 원인을 파악하고 신속하게 대응하는 것이 그들의 업무다. SOC 분석가들은 탐지 도구를 사용하여 네트워크를 지속적으로 모니터링하고, 잠재적인 위협을 식별하고 조사한다. 일단 그들이 잠재적인 위험을 식별하면, 분석가들은 그들의 발견을 문서화하고 다른 이해 관계자들과 권장되는 조치를 공유해야 한다.
이 모든 것은 SOC 분석가들이 다음과 같은 어려움을 겪는다는 것을 의미한다.
① 경고 피로도
평균적인 기업은 하루에 15,000건 이상의 보안 경고를 받고 있으며, 이를 처리할 인력이 충분하지 않다.
② 시간 부족
반복적이고 수동적이며 관리적인 작업이 너무 오래 걸린다. 분석가들이 사용해야 하는 많은 도구들에 대한 통합의 부족은 프로세스의 모든 단계를 늦추기 마련이다.
③ 제한된 컨텍스트
위협을 조사하고 대응하는 데 며칠이 걸리는 경우가 많다. 보안 도구는 경고나 환경과의 관련성에 대한 적절한 컨텍스트를 제공하지 못하므로, 분석가가 수동으로 이러한 작업을 수행해야 한다.
이러한 문제를 극복하기 위해서는 다음의 내용이 필요할 것이다.
① 일상적인 작업을 처리하여 정말 중요한 것에 집중할 수 있도록 자동화한다.
② 다른 팀과 실시간으로 협력하여 항상 서로 협력하고 학습한다.
③ 위협의 관련성과 잠재적 영향을 이해하는 데 도움이 되는 컨텍스트를 제공하는 위협 인텔리전스다.
사고 대응자
사고 대응자들은 피해 통제에 대해 걱정하고 있다. 그들은 가능한 위반을 찾고, 만약 그들이 위반의 증거를 발견한다면, 그들의 일은 조사하고 그것이 퍼지는 것을 막는 것이다. 위반의 민감한 특성 때문에, 모든 증거는 잘 문서화되어야 하고, 모든 이해 관계자들과 공유되어야 한다. 사고 대응자들은 최종 호스트를 죽이기 위한 EDR 도구와 같은 위반을 포함하도록 돕는 도구에 액세스할 수 있다. 그들은 네트워크 수준에서 전파를 차단하는 정책을 배포하도록 방화벽 관리자들을 참여시킨다. 그들은 공격자의 프로필과 일반적인 기술에 대해 배우기 위해 외부 위협 정보에 크게 의존하고, 따라서 자신감 있고 정확하게 대응할 수 있도록 한다. 그렇기에 사고 대응자는 다음과 같은 문제에 직면하게 된다.
① 지식이전
팀 간 협업 부족으로 인해 보안에 문제가 발생한다.
② 사례관리
일반적인 사례 관리는 보안 사용 사례에 적합하지 않아 비효율과 부실한 문서화를 초래한다.
③ 위협 인텔리전스 부족
많은 사고 대응자가 수동으로 결함이 있는 프로세스를 사용하여 외부 위협에 대한 컨텍스트를 확보함에 따라, 지연 및 위험을 초래한다.
이에 사고 대응자가 필요로 하는 사항은 다음과 같다.
① 전체 보안 사례 관리를 통해 조사 결과를 자세히 기록하고, 다른 이해 관계자와 실시간으로 협력할 수 있을 뿐만 아니라, 전사적으로 예방 및 검역 조치를 제공한다.
② 공격자와 그 동기에 대해 더 깊은 맥락을 제공하는 위협 인텔리전스
위협 인텔리전스 분석가 및 프로그램
위협 분석가는 네트워크에서 관찰되지 않은 조직의 잠재적 위험을 식별한다. 그들은 여러 출처의 외부 위협 인텔리전스 피드를 인간 인텔리전스와 결합하여, 잠재적 위협에 대한 컨텍스트를 제공한다. SANS Institute가 실시한 설문조사에 따르면, 49.5%의 조직이 자체 전용 예산과 인력을 갖춘 특정 유형의 위협 인텔리전스 팀 또는 프로그램을 보유하고 있다고 한다. 이는 공격자를 식별하고 동기, 기술 및 프로세스를 파악하는 데 도움을 주는 위협 인텔리전스 분석가의 중요성이 점점 더 커지고 있음을 보여주는 증거다. 위협 인텔리전스 팀은 더 나은 예방 조치를 구축하기 위해 특정 공격뿐만 아니라 광범위한 위협 환경 보고서에 대한 결과를 SOC 및 사고 대응 팀에 전달한다. 그런 위협 인텔리전스 분석가는 다음과 같은 문제에 직면하게 된다.
① 위협 인텔리전스 피드에 대한 통제력이 부족하여, 분석가가 환경에 맞게 수동으로 타협 지표를 조정하고 점수를 매길 수밖에 없다.
② 사일로화된 워크플로우로 인해 사고 대응 및 위협 인텔리전스 툴, 팀 및 프로세스 간의 커뮤니케이션 및 통합이 제대로 이루어지지 않는다.
③ 위협 정보를 실행에 옮기는 작업은 매우 수동적이고 다른 팀에 의존하기 때문에 조치를 취하기가 어렵다.
위협 인텔리전스 분석가가 필요로 하는 것은 다음과 같다.
① 위협 인텔리전스에 대한 완벽한 제어는 지표를 제공하여, 환경 및 비즈니스 요구사항을 기반으로 자체 논리와 평판을 구축한다.
② 다른 팀과의 협업을 통해 풍부한 컨텍스트와 최신 연구로 빠르게 무장한다.
③ 그들의 발견을 포착할 수 있는 강력한 문서화를 실시한다.
구조를 위한 SOAR
이러한 팀에는 기본적인 주제가 있다. 이들은 모두 자동화, 사례 관리, 실시간 협업 및 위협 인텔리전스에 대한 긴밀한 연계가 필요하다. 많은 SOC는 보안 조정, 자동화 및 대응(SOAR) 플랫폼을 사용하여 모든 소스에 걸친 경고를 관리하고, 플레이북으로 프로세스를 표준화하고, 모든 보안 사용 사례에 대한 대응을 자동화하지만, 위협 인텔리전스 관리에는 여전히 상당한 격차가 있다.
보안 팀들은 여전히 외부 위협에 대한 가시성을 제공하기 위해 고립된 위협 인텔리전스 플랫폼(TIP)에 의존하고 있지만, 팀들이 서로 단절된 위협 피드 전반에 걸쳐 관련 지표에 대한 자동화된 조치를 취하기 위해 고군분투하면서 TIP는 자신들의 약속을 이행하지 못하고 있다. 업계 분석가들은 이를 문제로 인식하고 SOAR와 TIP가 융합해야 할 지침을 제공했다. TIP는 신속하고 신뢰할 수 있는 조치를 취하는 데 필요한 실제 상황이나 자동화 없이 정보 소스를 집계하여 복잡성을 가중시킬 뿐이다. 이제는 다른 접근 방식이 필요한 시점이다.
확장 SOAR 플랫폼의 필요성
확장 가능한 Cortex XSOAR 플랫폼의 일부로서 Threat Intel Management는 위협 인텔리전스 집계, 점수 매기기 및 공유를 플레이북 기반 자동화와 통합하여 새로운 접근 방식을 정의한다. 여기서 보안 리더에게 우선 순위가 높은 위협으로 즉각적인 명확성을 부여하여 전체 엔터프라이즈에서 올바른 방식으로 올바른 대응을 유도한다.
Cortex XSOAR는 업계 최초로 확장된 보안 오케스트레이션, 자동화 및 대응 플랫폼에서 사례 관리, 자동화, 실시간 협업 및 네이티브 Threat Intel Management를 통합한다. Cortex XSOAR는 다음을 수행할 수 있다.
① 자동화된 플레이북으로 수동 작업을 제거하여 여러 피드 소스에서 수백만 개의 일일 지표를 집계, 구문 분석, 중복 제거 및 관리한다. 이어 IOC 채점을 쉽게 확장하고 편집한다. 그리고 특정 환경에 가장 적합한 지표를 가진 공급자를 찾는다.
② 타사 위협 인텔리전스를 계층화하여 중요한 위협을 드러낸다. 내부 사고를 통해 경고의 우선순위를 정하고 보다 현명한 대응 결정을 내릴 수 있으며, 팔로알토 네트웍스 AutoFocus 서비스의 고성능 내장 위협 인텔리전스를 통해 조사를 슈퍼차지한다. 또한, 선별된 위협 인텔리전스의 컨텍스트를 통해 탐지, 모니터링 또는 대응 도구를 풍부하게 만들 수 있다.
③ 기업 전체의 위협을 즉시 차단하기 위해 자동화된 조치를 취한다. 내부 팀과 신뢰할 수 있는 조직 간에 위협 인텔리전스를 쉽게 공유해 조사 범위를 확장할 수 있다.
Use-Case: 사고 우선 순위
보안 분석가는 수백 개의 멀티 소스 인텔리전스 피드에서 수집한 수백만 개의 지표를 다룬다. 이러한 지표는 분석가가 정보에 입각한 결정을 내리고, 조치를 취하며, 자신감과 정확성을 가지고 대응하는 데 필요한 맥락이 부족하다. 이 도구들은 엄청난 양의 지표를 처리할 수 없으며, 분석가는 결국 지표의 우선 순위를 자신의 환경에 맞게 다시 정하게 된다. 네이티브 Threat Intel Management가 적용된 Cortex XSOAR는 분석가가 비즈니스 로직을 채점에 통합할 수 있는 완벽한 제어력과 유연성을 제공한다. 370개 이상의 공급업체와 통합되어, 분석가는 지표가 소모됨에 따라 실시간으로 반응할 수 있다.
Cortex XSOAR 사용 사례의 폭
개방적이고 확장 가능한 Cortex XSOAR 플랫폼은 광범위한 사용 사례에 적용할 수 있다. 가장 일반적인 사용 사례로는 피싱, 보안 운영, 사고 경고 처리, 클라우드 보안 조정, 취약점 관리 및 위협 추적이 있다.
SOAR의 미래에는 네이티브 Threat Intel Management가 포함되어 있어 팀이 보안 운영과 위협 인텔리전스 기능 사이의 사일로를 파괴할 수 있다. 이들이 하나의 플랫폼에서 함께 제공되면 SOC 분석가, 사고 대응자 및 위협 인텔리전스 팀은 고급 적대자에 대한 노력을 통합하여 커뮤니케이션, 효율성 및 통찰력에 대한 액세스를 최적화할 수 있을 것이다.
Cortex XSOAR는 자동화, 오케스트레이션, 실시간 협업, 사례 관리 및 Threat Intel Management를 포함하는 업계 최초의 확장 SOAR 플랫폼으로 오케스트레이션, 자동화 및 대응을 재정의하여 보안 팀이 현재 및 미래의 공격자와 보조를 맞출 수 있도록 지원한다.
'교육' 카테고리의 다른 글
| [USG]위험 관리를 위한 사이버보안 기초 #3 (0) | 2024.06.06 |
|---|---|
| [USG]위험 관리를 위한 사이버보안 기초 #1, 2 (0) | 2024.06.06 |
| [팔로 알토 네트웍스] 보안 운영 기초 #5 (0) | 2024.05.24 |
| [팔로 알토 네트웍스] 보안 운영 기초 #4 (0) | 2024.05.21 |
| [팔로 알토 네트웍스] 보안 운영 기초 #3 (0) | 2024.05.17 |