SecOps(보안 운영) 함수
클라우드 SecOps(보안 작업) 함수의 주요 목적은 엔터프라이즈 자산에 대한 활성 공격을 탐지, 대응 및 복구하는 것입니다.
SecOps가 완성되면 보안 작업은 다음을 수행해야 합니다.
- 도구에서 탐지한 공격에 능동적으로 대응
- 사후 반응 탐지를 통과한 공격을 사전에 헌팅
현대화
위협 탐지 및 대응은 현재 모든 수준에서 상당한 현대화를 진행하고 있습니다.
- 비즈니스 위험 관리 권한 상승: SOC는 조직의 비즈니스 위험을 관리하는 핵심 구성 요소로 성장하고 있습니다.
- 메트릭 및 목표: SOC 효과 추적은 "검색할 시간"에서 다음 주요 지표로 발전하고 있습니다.
- MTTA(평균 승인 시간)를 통한 응답성.
- MTTR(평균 수정 시간)을 통한 수정 속도.
- 기술 발전: SOC 기술은 특수한 도구 및 정교한 분석 기법의 사용을 추가하기 위해 SIEM에서 로그의 정적 분석을 단독으로 사용하는 것으로 발전하고 있습니다. 이렇게 하면 SIEM의 광범위한 관점을 보완하는 고품질 경고 및 조사 환경을 제공하는 자산에 대한 심층적인 인사이트를 제공합니다. 두 가지 유형의 도구는 AI와 기계 학습, 동작 분석 및 통합 위협 인텔리전스를 점점 더 많이 사용하여 악의적인 공격자가 될 수 있는 비정상적인 작업을 파악하고 우선 순위를 지정하는 데 도움을 줍니다.
- 위협 헌팅: SOC는 가설 기반 위협 헌팅을 추가하여 고급 공격자를 사전에 식별하고 최전방 분석가 큐에서 시끄러운 경고를 전환합니다.
- 인시던트 관리: 법적, 커뮤니케이션 및 기타 팀과 인시던트 비기술적 요소를 조정하기 위해 징계가 공식화되고 있습니다. 내부 컨텍스트 통합: 사용자 계정 및 디바이스의 상대적 위험 점수, 데이터 및 애플리케이션의 민감도, 밀접하게 방어할 주요 보안 격리 경계와 같은 SOC 활동의 우선 순위를 지정하는 데 도움이 됩니다.
자세한 내용은 다음을 참조하세요.
- 보안 운영 분야
- 보안 작업 모범 사례 비디오 및 슬라이드
- CISO 워크숍 모듈 4b: 위협 방지 전략
- CDOC(사이버 방어 운영 센터) 블로그 시리즈 1부, 2a부, 2b부, 3a부, 3b부, 3c부, 3d부
- NIST 컴퓨터 보안 인시던트 처리 가이드
- 사이버 보안 이벤트 복구를 위한 NIST 가이드
팀 구성 및 주요 관계
클라우드 보안 운영 센터는 일반적으로 다음과 같은 유형의 역할로 구성됩니다.
- IT 작업(일반 연락처 닫기)
- 위협 인텔리전스
- 보안 아키텍처
- 내부자 위험 프로그램
- 법률 및 인적 자원
- 커뮤니케이션 팀
- 위험 조직(있는 경우)
- 산업별 협회, 커뮤니티 및 공급업체(인시던트 발생 전)
다음 단계
보안 아키텍처의 기능을 검토합니다.