권위 있는 컨설팅 기관인 Gartner가 발표한 2019년 SOAR(보안 오케스트레이션 및 자동 대응 솔루션) 시장 가이드에서는 "2022년까지 5명 이상의 보안팀을 갖춘 보안 기업 중 30% 이상이 SOAR 보안 오케스트레이션 자동 대응 계획을 사용할 것"이라고 밝혔습니다. .” 오늘은 기업이 NSFOCUS SOAR 시스템을 사용하여 3분 이내에 보안 조정 및 자동화된 대응을 완료하는 방법을 소개하겠습니다.
기업의 전통적인 보안 운영 및 유지 관리 및 사고 처리에서는 일반적으로 다음 프로세스를 따릅니다.
표: 기존 보안 운영 및 유지 관리 프로세스
위의 7단계를 거쳐 정보보안 사고 처리 프로세스가 마무리됩니다. 이 프로세스에는 여러 부서와 다양한 역할이 참여하고, 폐기 프로세스가 번거롭고, 효율성을 정량화하기 어렵고, 다양한 이벤트에 대한 폐기 프로세스를 표준화하기 어렵습니다.
동시에 기업은 보안 운영 및 유지 관리에서 다음과 같은 문제점에 직면하는 경우가 많습니다. 이벤트 알람이 너무 많고 유효한 이벤트 알람이 익사되어 보안 사고를 적시에 처리하기 어렵습니다. 기업에는 보안 분석 및 처리 전문가가 부족한 경우가 많습니다. 보안 분석 경험을 확고히 하기 어렵고, 보안 전문가는 반복적인 보안 처리 작업에 얽매이기 쉬워 진정한 가치를 발휘하기 어렵습니다. 가장 중요한 것은 기업이 프로세스와 인력에 의해 제한되고 기존 보안 대응에 너무 오랜 시간이 걸린다는 것입니다.
따라서 기업은 보안 운영의 개발 및 발전에 다음과 같은 요구 사항을 추가했습니다.
신호 대 잡음비 개선: 제한된 보안 전문가 리소스가 실제 위험과 문제에 집중할 수 있도록 효과적인 고충실도 경보를 높입니다.
MTTR 감소: 안전한 폐기 프로세스를 공고히 하고 지속적으로 운영 경험을 축적하며 운영을 지속하여 대응 및 폐기 시간을 지속적으로 단축합니다.
사진: NSFOCUS SOAR 컴포넌트 입구
ISOP 지능형 보안 운영 플랫폼은 SOAR 보안 통합 자동화 대응 기능을 통합했으며 NSFOCUS ISOP 지능형 보안 운영 센터 Dimension Response에서 운영됩니다. -Linkage Orchestration Portal을 사용하면 보안 오케스트레이션 및 자동화된 응답 처리 기능을 사용하여 기업의 자동화된 보안 오케스트레이션 대응 여정을 시작할 수 있습니다.
사진: NSFOCUS SOAR 보안 오케스트레이션 및 자동 대응 솔루션
ISOP의 SOAR 구성 요소는 시각적 오케스트레이션을 통해 사람, 보안 기술 및 프로세스를 심층적으로 통합합니다. 보안 이벤트는 수동 운영 및 유지 관리로 강화된 플레이북 스크립트를 통해 직렬 및 병렬로 구성됩니다. 경험 폐기 워크플로우는 대응 조치를 수행하기 위해 다양한 보안 장치를 자동으로 트리거합니다. 사례 관리는 보안 이벤트 컨텍스트에 대한 보다 포괄적이고 엔드투엔드 이해를 기반으로 하여 기업이 복잡한 사고 대응 프로세스와 작업 흐름을 일관되고 반복 가능하며 측정 가능하도록 전환하는 데 도움이 됩니다. 효과적인 워크플로는 수동적 비상 대응을 자동화된 연속 대응으로 전환합니다.
그림: 사례 관리
사례는 SOAR 구성 요소의 가장 기본적인 기능으로 전체 보안 사고 처리 수명 주기에 걸쳐 실행됩니다. 보안 사고 분석 및 판단에 필요한 정보 로그 소스, 보안 규칙, 지능적 증거 수집 및 사고 처리 플레이북 스크립트의 선택 및 실행을 포함합니다. 기업의 경보 보안 이벤트를 사례와 일치시킬 수 있는 한, 자동화된 대응 처리는 보안 이벤트 컨텍스트에 대한 보다 포괄적이고 엔드투엔드 이해를 갖게 되므로 복잡한 사고 대응 프로세스를 전환하는 데 도움이 됩니다. 작업을 일관되고 반복 가능하며 측정 가능하고 효과적인 워크플로우로 전환합니다.
기업 보안 운영에서 일반적인 보안 이벤트는 다양한 범주의 SOAR 사례, 동일한 성격의 사례(예: 마이닝, 침입, 서비스 거부, 협박, 피싱, 핫링크, 정보 유출 등)와 연관될 수 있습니다. 유사한 유형의 처리 방법을 선택합니다. 사례 프로세스 처리 기능은 다양한 성격의 사례에 서로 다른 플레이북 스크립트를 할당하고 실행을 감독하여 자동화된 폐쇄 루프 대응 및 기업 보안 사고 처리를 완료할 수 있습니다.
사진: 시각적인 케이스 배열 1
그림: 시각적인 케이스 배열 2
ISOP의 SOAR 구성 요소에는 몇 가지 일반적인 공격에 해당하는 사례가 내장되어 있습니다. 또한 기업은 시각적 드래그 앤 드롭 배열을 통해 사례와 해당 플레이북 스크립트를 신속하게 생성할 수 있습니다. 시각적 드래그 앤 드롭 방식을 통해 보안 처리에 대한 컨텍스트를 제공하고 기존 운영 및 유지 관리에서 여러 페이지 사이를 이동하거나 전환할 필요가 없으며 보안 사고 처리의 복잡성을 줄입니다. 사례가 성공적으로 생성 및 활성화되면 해당 사례에 발생하는 후속 이벤트를 자동화된 방식으로 처리할 수 있으므로 서로 다른 부서 간의 협업 커뮤니케이션 및 프로세스 흐름 비용이 절감됩니다.
그림: 사례 처리 프로세스 추적
사례는 기업이 일련의 관련 이벤트에 대한 효율적이고 지속적인 조사, 분석 및 대응 처리 추적 기록을 수행하는 데 도움이 됩니다. 사례 실행 프로세스 동안 보안의 각 중간 프로세스 실행 상태. 인시던트(성공, 실행, 실패)를 모두 시각적 오케스트레이션 프로세스에 표시할 수 있어 End-to-End 운영 및 유지보수 프로세스 시각화를 실현합니다.
그림: 플레이북 실행 상태
플레이북 스크립트는 대소문자 일치 이벤트의 자동화된 폐쇄 루프 보안 처리를 구동할 수 있는 보안 엔지니어의 워크플로와 동일합니다. 모듈이 포함될 수 있습니다. 여러 스크립트가 동시에 실행되며, 서로 다른 스크립트의 실행 상태를 인터페이스를 통해 전체적으로 확인할 수 있습니다(실행, 성공적인 실행, 실패).
기업의 보안 사고 처리 프로세스 경험을 플레이북 스크립트로 구체화하여 자동화된 대응 처리에 적용할 수 있습니다. 처리 작업에는 장비 차단, 작업 지시 전송, 이메일 알림 등이 포함될 수 있으므로 보안 전문가가 시작할 수 있습니다. 지루하고 반복적인 보안 작업을 운영 및 유지 관리 중에 해제합니다.
자동 보안 조정 대응 "라스트 마일" 차단 대응은 일반적으로 보안 장비에서 실행되며, NSFOCUS ISOP 원클릭 차단 모듈은 초기 단계에서 다수의 대응 처리 장비를 축적했습니다. 방화벽, ADS, UTS, IDS, WAF 등과 같은 대응 조치에는 세션 차단, IP 차단, 도메인 이름 블랙리스트, 트래픽 트랙션 정리 등이 포함됩니다. 이러한 장치는 2차 개발이 필요하지 않으며 플러그 앤 SOAR 모듈을 통해 직접 플레이하세요. 타사 장치의 자동화된 연결 오케스트레이션 응답을 완료하려면 타사 장치에서 제공하는 노스바운드 관리 및 제어 인터페이스를 기반으로 플러그인을 개발하기만 하면 됩니다.
SOAR 시스템에 연결된 보안 장치는 보안 운영 및 유지 관리 담당자가 차단 전략을 구성하기 위해 독립적인 보안 장치에 로그인할 필요 없이 플레이북 스크립트 호출을 통해 자동화된 응답 처리를 완료할 수 있습니다.
그림: 자동화된 운영 및 유지보수의 대형 화면 디스플레이
대형 스크린의 자동화된 운영 및 유지보수는 글로벌 관점에서 기업의 자동화된 대응 및 처리 개요를 제시할 수 있습니다. , 자동 대응 운영 효율성, 사례 이벤트 통계 정보, 사례 이벤트 처리 동향, 스크립트 실행 정보 등의 운영 및 유지 관리 지표를 측정 가능하고 정량화 가능한 방식으로 표시합니다.
알려진 사례 이벤트의 경우 사례 일치 트리거 메커니즘을 통해 기업은 3분 이내에 보안 조정 및 자동화된 폐쇄 루프를 완료할 수 있습니다. 응답 프로세스.
표: 기존 운영 및 유지 관리 적시성과 자동화된 운영 및 유지 관리 응답 시간 비교
보안 전문가의 경험을 플레이북에 통합하여 알려진 공격 분석 달성 연구, 판단, 폐기의 전 과정이 자동화되어 보안 전문가가 적청 대결, 위협 사냥, 위협 모델링, APT 분석, 취약점 마이닝 및 고급 보안 기술이 필요한 기타 작업 시나리오에 에너지를 쏟을 수 있어 더 많은 기회를 창출할 수 있습니다. 기업 보안 운영 및 유지 관리 작업에 높은 가치를 제공합니다.
SOAR 시스템의 본질은 다양한 위협 시나리오에 대응하는 연구 및 판단 전략과 폐기 전략의 핵심 가치이기도 합니다. 기업의 공격 및 방어 경쟁에서 플레이북 운영 및 유지 관리 프로세스의 표준화는 플레이북 스크립트의 견고화를 위한 전제 조건입니다. SOAR 플레이북은 복잡하고 불규칙한 처리 프로세스를 표준화하고 기업 정보 보안의 표준화를 통합하는 출발점으로 사용될 수 있습니다. 운영 프로세스.
위 내용은 기업 보안 오케스트레이션 대응 SOAR을 쉽게 완료하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
