| 탐지 | 분석 | 대응 | 조치 | |
|---|---|---|---|---|
| SOAR |  |
|
|
|
| SIEM | |
 |
|
|
SOAR 란?
SOAR(Security Orchestration, Automation and Response)는 다양한 사이버 위협에 대해, 대응 수준을 자동으로 분류하고 표준화된 업무 프로세스에 따라 자동화 되어 보안 업무 담당자와 솔루션이 유기적으로 협력할 수 있도록 지원하는 프레임워크입니다.
SIEM과 SOAR의 차이
Detection
(탐지)
위협경보발생
시그니처기반 경보
행위기반 경보
예측기반 경보
인텔리전스 경보
Assessment
(분석)
보안사고 오탐지 분석
위협영향도 분석
프로파일링 분석
인공지능 분석
Response
(대응)
Playbook 조회
Workroute 대응 조회
사고 조치 의사결정
우선순위에 의한 대응
Mitigation
(조치-Blocking & Isolation)
침해사고 차단
침해사고 격리
차단정책 시계열 관리
범용 차단 API 조치
SECURE ORCHESTRA
- 위협 종류와 상황별 대응 프로세스를 표준화한 ‘플레이북’ 제공 및 대응 자동화
- 전체적 관점의 보안 운영(Orchestration)을 위한 주요 보안 솔루션과 연동 기능
- 수집되는 다양한 영역의 보안위협 데이터를 하나의 화면에서 탐색하고 처리
다양한 보안솔루션의 데이터와 사이버위협정보를 실시간 분석하여 수동으로 처리되던 업무를 자동화하고 인공지능 CNN 연산을 통한 정오탐 분석을 통하여 위협이벤트에 대한 선별 및 대응을 효율적으로 수행하고, 표준화 된 AI기반 동적 Playbook 대응과 가이드를 제공함으로써 신속한 대응이 가능합니다.
- 실무자의 단순 반복 수행 업무 시간 절감, 업무량 감소
- 실무자가 사고 대응에 집중하도록 지원
- 관리자는 이벤트의 통합 현황 파악, 영향도 분석 통해 통합 보안 위협 대응 역량 확보
| 구분 | 기존 | SIEM | ORCHESTRA |
|---|---|---|---|
| 대응 시간 | 30~1시간, 경우에 따라 수일 | 60s | 30s | 대응 인력 | 다수 필요 | 3명(관제요원, CERT, 보안관리자) | 1명(보안관리자) |
| 탐지 범위/깊이 | 인력에 따라 차이 있음 | 기존대비 2배 이상 AI를 통한 정오탐 구분 | 기존대비 4배 이상 AI를 통한 정오탐 구분 |
| 워크플로워 | 30~1시간, 경우에 따라 수일 | 결과보고서 수동작성 | 결과보고서 자동작성 보안대응 업무 지표화(MTTD, MTTR) |
- SIEM은 비정상적 활동 집계 및 경보를 생성하고, SOAR는 SIEM규칙에 따른 대응 자동화를 통해 Security Operation 기능으로 확장
- 본 표는 기존 정형화된 공격에 대응하는 방안을 기준으로 작성되었으며, 모든 공격에 해당되지 않습니다.
AI 분석 엔진 '리차드'
시큐어시스템즈는 자체 개발한 SOAR 프레임워크를 이용하여 초급인력도 자동화 대응기능을 통해 일정수준 이상의 업무성과를 유지할수 있도록 지원하기 위해 자동화 분석과정에 시큐어시스템즈의 인공지능 ‘리차드’를 적용하고 있습니다. SOAR 프레임워크를 이용하여 반 자율화된 보안관제 생태계를 효율적으로 고객에게 제공합니다.
3D Dashboard – 기상도 및 Concern Point 상관분석
3D Dashboard 에서는 사이버 위협 경보단계, 동적 3D 공격 정보, Cyber Kill Chain, Mitre ATT&CK, T-section, 실시간 탐지 이벤트, Burst 추이 그래프 우려지점 (Concern Point) 상관분석, NMS 등의 정보를 한눈에 확인하여 일일 사이버 보안 기상도로 활용될 수 있습니다.
초고속 검색 속도를 이용한 실시간 이벤트 모니터링
SecureOrchestra 는 Elastic Search를 이용하여 빠른 검색을 위해 필드값을 열이나 Document에 매핑되어 주어진 조건값에 대하여 모든 열을 찾아보는 대신에 인덱스(색인)를 이용해서 어떤 문서나 열에 해당되는지 찾아 응답을 주게 됩니다. (1 Index 의 21억건의 데이터당 0.001초 소요)
실시간 이벤트 모니터링 화면의 연계분석 기능
SecureOrchestra 는 실시간 이벤트 모니터링 기능을 통해서 다양한 이벤트를 실시간으로 조회 가능하며 실시간 관제를 지원합니다. 관제 분석에 필요한 다양한 Tool(공격도움말, 포트조회데이터베이스, 공격자 추적, 인공지능 분석 결과등)을 제공 합니다.
SECURE ORCHESTRA는 수집된 1차 연동장비(IPS, WAF 등)들의 침입탐지이벤트 정오탐을 자체적으로 재분석하기 위한 20,000개 이상의 SOAR 침입탐지패턴을 제공하여 2차 재분석기능을 제공하며 지속적인 업데이트를 제공합니다. 특히 Application 침입의 경우 3차 머신러닝을 통한 인공지능 정오탐 분석까지 확장 제공하여 침입탐지의 실제 유무에 가치를 더했습니다.