한마디로 오늘날의 위협 환경은 무자비합니다.체크포인트 리서치에 따르면 사이버 공격은 2022년에 전 세계적으로 보고되었습니다. 2021년 대비 38% 증가했습니다.—4분기 조직당 1168건의 주간 공격 중 사상 최고치를 기록했습니다.여기에는 날로 정교해지는 랜섬웨어, 드라이브 바이 공격, 피싱 등이 포함됩니다. 고도로 회피적인 적응형 위협 (HEAT) 웹 브라우저를 대상으로 하며 현재 보안 스택에서 여러 계층의 탐지를 회피하는 기술을 사용합니다.주로 웹을 통해 전달되는 이러한 공격은 악의적인 공격자가 피해자의 네트워크에 처음 액세스할 수 있도록 하기 위해 고안되었습니다. 공격자는 잠깐 동안 누워 네트워크를 누비며 세간의 이목을 끄는 표적을 찾아 헤매고, 궁극적으로는 악성 페이로드를 전송할 수 있습니다.
오늘날의 위협 환경이 무궁무진하다고 할 수 있는 주된 이유는 보안 모니터링 툴을 통해 생성되는 경보의 홍수 때문입니다. 이러한 경고는 대부분 합법적인 비즈니스 활동에서 비롯됩니다.디지털 혁신, 하이브리드 인력, 점점 더 분산되는 인프라로 인해 네트워크 전반에서 새로운 행동이 촉진되고 있으며, 이로 인해 경보가 폭증하고 있습니다.예를 들어 직원이 새 위치에서 로그온하거나 이전에 액세스한 적이 없는 일련의 데이터를 다운로드하는 것만으로도 경고를 트리거하기에 충분합니다.회사에서 관리하는 노트북에서 개인용 Dropbox 계정에 액세스하는 사용자는 알림을 트리거할 수 있습니다.이러한 이벤트는 비정상적인 이벤트로 간주되지만 적절한 비즈니스 환경에서 볼 때 실제로는 전혀 문제가 되지 않습니다.
그러나 이러한 무해한 의도에도 불구하고 이러한 각 이벤트는 조직의 보안 태세에 위험을 초래하므로 조사, 우선 순위 지정 및 종료가 필요하므로 SOC (Security Operations Center) 팀에 막대한 워크로드가 발생합니다.합법적인 공격과 무해한 이벤트의 규모, 다양성, 정확성을 고려할 때 SOC 팀은 조직을 안전하게 지키기 위해 신속하게 식별하고 대응해야 한다는 엄청난 압박을 받고 있습니다.이로 인해 큰 타격을 입기 시작했습니다.
SOC 기술자는 이러한 공격의 최전선에서 네트워크 또는 엔드포인트의 비정상적인 활동을 나타내는 경고에 대응합니다.각 이벤트를 조사하고, 위협 수준을 파악하고, 적절한 치료를 위해 플래그를 지정하고, 티켓을 종료하는 데에는 많은 시간이 걸립니다.특정 시점에 위협 식별은 건초 더미에서 바늘을 찾는 사이버 버전으로 바뀌어 피로와 소진, SOC 리소스의 왜곡된 분배로 이어집니다.
이해할 수 있듯이, 매일 수백 개의 경고에 대응하다 보면 SOC 기술자가 약간 피곤해질 수 있습니다. 특히 이런 점을 고려하면 더욱 그렇습니다. 적어도 5분의 1 최근 연구에 따르면 경고의 수가 양성으로 끝나는 것으로 나타났습니다.그러나 각 이벤트에는 사람이 조사 및 결과를 분석하고 해결을 위한 권장 사항을 제시해야 합니다.SOC 기술자들이 24시간 내내 작업한다고 해도 매일 플래그가 지정되는 수천 개의 경보를 제대로 조사할 시간이 없을 것입니다.오늘날의 고도로 정교한 위협으로부터 네트워크를 보호해야 하는 임무를 완수하려면 SOC 팀은 효율적이면서도 효과적이어야 합니다.
SOC 경고를 조사하는 데 모든 시간을 할애한다는 것은 기술자가 지능형 위협 인텔리전스와 같은 다른 보다 전략적인 보안 프로젝트에 시간을 할애할 수 없다는 것을 의미합니다.따라서 데이터 유출, 중요 비즈니스 시스템의 원격 제어 또는 두 가지 방법 모두를 통해 진정으로 유해한 이벤트가 감지되지 않고 네트워크를 침해하고 혼란을 야기할 가능성이 높아집니다.
수학이에요.SOC 경보를 조사할 시간이 얼마 남지 않았는데, 적당한 수의 기술자가 이 모든 문제를 처리하기에는 너무 많습니다. 조직은 이 문제에 돈을 투자할 수 없습니다. (예: 관리 서비스 제공업체에 SOC 운영을 아웃소싱) 예산 제약으로 인해이탈도 문제입니다.번아웃은 이직률로 이어지므로 신입 기술자가 참여하여 속도를 높이려면 시간이 필요합니다.하지만 가장 중요한 것은 대부분의 조직이 계속해서 사이버 보안에 대한 탐지 및 대응 접근 방식에 의존하고 있다는 사실입니다.
조직은 이벤트 모니터링 및 대응을 자동화하는 동시에 기존 보안 스택에 사전 예방적 접근 방식을 적용해야 합니다.이 2단계 접근 방식은 애초에 악의적인 이벤트가 발생하는 것을 막고 사람의 손에서 문제가 되지 않는 수많은 경고를 탐지하고 치료합니다.이를 통해 SOC 기술자는 조직을 표적으로 하는 진정한 악의적 위협에 집중할 수 있습니다.
격리 기술과 같은 예방 기술은 멀웨어 및 기타 위협이 최종 장치에 처음 액세스하기 전에 차단할 수 있는 유일한 방법입니다.격리는 사용자의 브라우저와 인터넷 사이에 가상의 공극을 만들어 좋든 나쁘든, 알려진 콘텐츠든 알려지지 않았든 상관없이 모든 콘텐츠가 엔드포인트에 액세스하지 못하도록 하는 방식으로 작동합니다.대신 클라우드의 원격 브라우저에서 콘텐츠를 가져오고 실행하므로 의도한 대상에 근접하지 않고도 HEAT 공격을 식별하고 격리하고 근절할 수 있습니다.격리를 통한 이러한 예방적 접근 방식은 애초에 이벤트가 발생하지 않도록 방지하여 SOC에서 생성되는 알림의 양을 크게 줄입니다.
그런 다음 자동화를 통해 나머지 경고를 조사하고 해결할 수 있습니다.이러한 알림을 적절한 비즈니스 컨텍스트와 함께 단일 창에 통합하면 사람의 개입 없이 규칙 기반 엔진을 통해 쉽고 원활하게 문제를 해결할 수 있습니다.그러면 에스컬레이션이 필요한 알림을 기술자에게 보낼 수 있습니다. 기술자는 이제 적절한 조사를 수행할 시간, 상황, 동기가 생겼습니다.
예방과 자동화를 함께 사용하면 경보를 줄이고 추가 조사가 필요한 이벤트의 우선 순위를 지정하며 오늘날의 고도로 정교한 HEAT 공격으로부터 조직을 안전하게 보호할 수 있습니다.
