보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

보안 오케스트레이션을 이용한 관제 적용 사례

2022.07.06

583


 

 

 

 

SPiDER TM V5.5은 이글루코퍼레이션 보안 관제 경험과 빅테이터 활용 역량이 집약된 통합보안관리 솔루션으로 최초 탐지부터 로그/네트워크 패킷 분석까지 일원화된 관제 환경 구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보할 수 있다. 

 

 

01. 보안 오케스트레이션 및 자동화(SOA)

 

나날이 늘어나는 보안 데이터 홍수에 앞서 보안관제 트렌드가 변하고 있다.

1세대 단일 보안장비의 관제부터 2세대 ESM과 TMS 그리고 종합분석시스템을 통한 관제는 빅데이터보안관제(SIEM) 중심의 3세대 관제로 페러다임이 변화 되었으며 현제는 보안 오케스트레이션 이라는 자동 분석 및 자동 대응 중심의 4세대 관제로 진화하였다.

 

 

[그림 1] 보안관제 트렌드의 변화

 

 

보안 오케스트레이션 및 자동화란 Security Orchestration and Automation이라 하며 2017년 ‘가트너'사에서 제시한 개념으로 보안 시스템 운영 시 유입되는 사이버위협에 대한 대응 레벨을 자동적으로 분류하는 체계를 의미한다.

이글루코퍼레이션에서는 각각의 시스템 별 의미를 아래와 같이 정의 하였는데 이를 바탕으로 구현 된 사이트의 사례를 이야기 해보고자 한다.

 

 

[그림 2] 이글루코퍼레이션 플랫폼 별 역할

 

 

02. 보안 오케스트레이션 구축 적용 사례

 

1) 빅데이터보안관제 시스템 운영 현황

 

해당 사이트는 그동안 이글루코퍼레이션의 SIEM(SPiDER-TM5.0)과 UD(Unified Dashboard)를 이용하여 보안관제를 운영한 사이트 입니다.

 

 

 

[그림 3] SPiDER-TM5.0 운영 현황

 

 

 

[그림 4] Unified Dashboard

 

 

일 평균 16억건의 데이터를 수집하여 평균적으로 500여건의 경보가 발생하며 보안관제 인력의 처리 이벤트는 하루 평균 40개의 이벤트를 처리하는 것으로 확인되었습니다.

이에 AI + SOAR를 도입 후 보안관제에 얼마나 변화를 가지고 왔는지 확인 해보도록 하겠습니다.

 

 

2) AI(인공지능기반보안관제) + SOAR(자동화대응시스템)

 

 

이글루코퍼레이션의 AI와 SOAR의 관계도와 솔루션의 데이터 흐름도를 확인 할 수 있다.

SOAR의 상세 SIEM 활용 가이드 5월호 “SOAR, 피할 수 없는 길! 지능적 자동화로 대응한다.“를 참고 하면 좀 더 자세한 정보를 확인 할 수 있다.

 

 

 

[그림 5] AI시스템과 SOAR의 관계도

 

 

[그림 6] 보안 오케스트레이션 솔루션 흐름도

 

 

SIEM의 역할은 데이터 수집 및 경보 / AI의 역할은 Payload 분석을 통한 지도학습과 비지도학습 / SOAR의 역할은 Playbook을 통한 자동화 분석 및 자동대응, 전문가 모드 침해대응분석 / UD의 역할은 솔루션별 데이터를 한눈에 볼 수 있는 대시보드의 역할을 유연하게 표현 할 수 있다. 

 

 

3) AI + SOAR 사이트 적용 후 보안관제의 변화

 

인공 지능 적용 대상

  

구    분

비    고

IPS

지도학습 대상

Payload 수집

WAF

WAF 수집 로그

FW

비지도학습 대상

방화벽 로그

WEB

Combine Web 로그 수집

 

[표 1] AI시스템 연동 현황

 

 

SOAR  Play book 현황

  

Playbook

Playbook 의미

[서비스거부]Playbook

DDX 장비에서 이벤트가 발생하고 APT 장비에서 이벤트가 멀웨어 탐지되는 이력 분석

[웹해킹]Playbook

/외부를 판단하여 내부는 무시하며 외부의 페킷중 IPS,웹방화벽의 5일전 데이터 비교

      분석하여 이벤트 발생시 Playload 특정 패턴을 탐지하고 CTI의 데이터 이력 분석

[단순침입시도]Playbook

CTI 출발지/목적지 기준으로 출발지는 취약 포트+IPS+WAF 이벤트의 5일전 데이터 분석

      목적지는 백신탐지+IPS 이벤트 5일전 데이터 분석

[정보수집]Playbook

DMZ와 인터넷 영역을 판단하여 DMZ는 해외에서 들어오는 아이피를 분석하며 인터넷 영역이면 백신과 APT5일전 데이터 분석

[비인가접근]Playbook

방화벽의 3Way Hand Shake 기준의 허용값 분석을 통하여 웹포트 접근 및 3분간 지속성을 판단하는 분석

[악성코드]Playbook

백신에서 출발지와 목적지 기준 분석을 하며 백신이 탐지되지 않으면 CTI를 추가 분석하고 백신이력이 존재하면 APT멀웨어를 추가로 분석

[정보유출]Playbook

IPS정보유출성 분석이 외부로 탐지될 경우 5일간 IP가 지속적인 이벤트를 분석

 

[표 2] SOAR 시스템 Playbook 적용 현황

 

 

AI + SOAR  적용 후 관제 변화 (1)

 

평균 500건의 경보를 SOAR를 이용하여 동일 이벤트의 중복 조건을 적용하면 300여건으로 경보가 축약 되었으며 자동화된 Playbook 처리를 통하여 관제는 최종 결과의 검증 진행으로 관제 처리 업무 처리 시간이 단축 되었습니다.

 

 

[그림 7] 경보의 변화

 

 

AI + SOAR  적용 후 관제 변화 (2)

 

과거 SIEM운용의 경보는 일평균 40개의 이벤트를 처리 하였는데 SOAR Playbook 도입을 통하여 이벤트 처리는 60건으로 20여건 추가 처리가 가능하게 되었다. 또한 인공지능 도입을 통하여 이상행위 분석에 이벤트를 평균 20여건씩 처리하여 더 많은 이벤트 분석을 진행하고 있다.

 

 

 

[그림 8] 일일 경보 처리 현황

 

SOAR의 자동화 도입으로  경보 이벤트 상세 분석량이 증가함

SOAR의 자동화 분석의 이점을 살려 인공지능 이상행위 분석 시간 할당 가능

 

 

인공지능기반시스템  비지도 모델의 탐지 사례

 

 

[그림 9] 인공지능기반시스템 이상행위 탐지 사례

 

 

위 사례는 인공지능기반시스템에서 이상행위 탐지로 방화벽 이벤트의 “특정서버로 과다접속 탐지”에 탐지가 되어 분석한 결과로 목적지 서버의 관리자 페이지가 노출되었으며 출발지는 확인 결과 유지보수 업체의 유지보수 목적으로 공인IP를 Open하여 이용중이 였다. 해당 업체의 NAS서버를 이용하고 있어 해당 Page가 동작하는 것을 확인 하였다. 이에 해당기관으로 취약점 조치 요청을 한 사례이다.

 

 

03. 결론

 

 

[그림 10] 보안오케스트레이션의 효과

 

 

04. 마치며

 

AI와SOAR를 도입하면 AI와 SOAR가 업무를 자동화를 해주어 관제요원의 역할이 줄어드는지 문의를 받곤 한다.  그러나 인력이 줄어드는 효과는 미비하며 주요 효과는 관제 대응력이 향상되고 사각지대에 놓인 이벤트를 추가적으로 분석하여 관제 요원의 영량이 상향 평준화 된다는 것이 주요 효과이다.