보안 운영
이 문서에서는 보안 운영 기능을 설정하거나 현대화하는 리더를 위한 전략적 지침을 제공합니다. 아키텍처 및 기술 중심 모범 사례는 보안 운영 모범 사례를 참조하세요.
보안 작업은 조직의 리소스에 액세스하는 공격자의 피해를 제한하여 위험을 줄입니다. 보안 작업은 활성 공격으로부터 탐지, 대응 및 복구를 지원하여 공격자가 리소스에 액세스하는 시간을 줄이는 데 중점을 줍니다.
신속한 대응 및 복구는 악의적 사용자의 ROI(투자 수익률)를 손상시켜 조직을 보호합니다. 악의적 사용자가 제거되고 새 공격을 시작하도록 강요하면 조직을 공격하는 데 드는 비용이 올라갑니다.
보안 작업(SecOps)을 SOC(보안 운영 센터)라고 하거나 구조화하기도 합니다. 운영 환경의 보안 상태 관리는 거버넌스 분야의 기능입니다. DevOps 프로세스의 보안은 혁신 보안 분야의 일부입니다.
SecOps 및 조직의 위험을 줄이는 데 있어 SecOps가 맡은 중요한 역할에 대해 자세히 알아보려면 다음 동영상을 시청하세요.
사용자 및 프로세스
보안 운영은 매우 기술적일 수 있지만 더 중요한 것은 인간 분야입니다. 사람들은 보안 운영에서 가장 중요한 자산입니다. 그들의 경험, 기술, 통찰력, 창의성 및 지략은 분야를 효과적으로 만드는 것입니다.
조직에 대한 공격도 범죄자, 스파이 및 핵티비스트와 같은 사람들에 의해 계획되고 수행됩니다. 일부 상품 공격은 완전히 자동화되어 있지만, 가장 큰 피해를 입히는 공격은 종종 살아있는 인간 공격 운영자에 의해 수행됩니다.
사람들에게 힘을 실어주는 데 집중: 사람들을 자동화로 대체하는 것을 목표로 삼아서는 안 됩니다. 일상적인 워크플로를 간소화하는 도구를 통해 사람들에게 힘을 실어줍니다. 이러한 도구를 사용하면 그들이 직면한 인간 적들을 따라잡거나 앞서나갈 수 있습니다.
노이즈(거짓 양성)에서 신호(실제 감지)를 신속하게 정렬하려면 인간과 자동화 모두에 투자해야 합니다. 자동화와 기술은 인간의 작업을 줄일 수 있지만 공격자는 인간이며 인간의 판단은 이를 물리치는 데 매우 중요합니다.
사고 포트폴리오 다각화: 보안 운영은 매우 기술적일 수 있지만 형사 사법과 같은 많은 경력 분야에서 나타나는 또 다른 새로운 버전의 법의학 조사이기도 합니다. 조사 또는 공제 또는 유도 이유에 강한 역량을 가진 사람들을 고용하고 기술에 그들을 훈련하는 것을 두려워하지 마십시오.
사람들이 건강한 문화로 설정되어 있고 올바른 결과를 측정하고 있는지 확인합니다. 이러한 관행은 생산성과 직원의 업무 즐거움을 높일 수 있습니다.
SecOps 문화권
집중해야 할 주요 문화 요소는 다음과 같습니다.
- 임무 정렬: 이 작업이 얼마나 어려운 일인지에 따라 보안 운영은 항상 업무가 전체 조직의 사명과 목표에 어떻게 연결되는지 명확하게 이해해야 합니다.
- 지속적인 학습: 보안 작업은 매우 세부적인 작업이며 공격자가 창의적이고 영구적이기 때문에 항상 변경됩니다. 매우 반복적이거나 수동적인 작업을 자동화하기 위해 지속적으로 학습하고 작업하는 것이 중요합니다. 이러한 유형의 작업은 사기와 팀 효율성을 빠르게 낮추 수 있습니다. 문화가 이러한 고통을 학습, 찾기 및 수정하는 데 보상하는지 확인합니다.
- 팀워크: 우리는 "외로운 영웅"이 보안 운영에서 작동하지 않는다는 것을 배웠습니다. 팀 전체만큼 똑똑한 사람은 아무도 없습니다. 팀워크는 또한 고압적인 작업 환경을 더 즐겁고 생산적인 환경으로 만듭니다. 모든 사람이 서로의 등을 가지고 있는 것이 중요합니다. 인사이트를 공유하고, 서로의 작업을 조정하고 확인하며, 서로에게서 끊임없이 학습합니다.
SecOps 메트릭
메트릭은 동작을 구동하므로 성공을 측정하는 것이 올바른 요소입니다. 메트릭은 문화를 결과를 이끄는 명확한 측정 가능한 목표로 변환합니다.
측정한 내용과 이러한 메트릭에 집중하고 적용하는 방법을 고려하는 것이 중요하다는 것을 배웠습니다. 보안 작업은 공격 및 공격자와 같이 직접 제어할 수 없는 중요한 변수를 관리해야 합니다. 대상에서의 모든 편차는 주로 SOC가 목표를 달성하지 못한 것으로 가정하기보다는 프로세스 또는 도구 개선을 위한 학습 기회로 간주되어야 합니다.
조직 위험에 직접적인 영향을 미치는 주요 메트릭은 다음과 같습니다.
- 평균 승인 시간(MTTA): 응답성은 SecOps가 직접 제어할 수 있는 몇 안 되는 요소 중 하나입니다. 조명이 깜박이기 시작할 때, 분석가가 해당 경고를 보고 조사를 시작할 때와 같이 경고 사이의 시간을 측정합니다. 이러한 응답성을 개선하려면 분석가가 거짓 양성을 조사하는 데 시간을 낭비하지 않도록 해야 합니다. 무자비한 우선 순위 지정으로 달성할 수 있으므로 분석가 응답이 필요한 모든 경고 피드에 90%의 실제 긍정 검색 실적이 있어야 합니다.
- MTTR(평균 수정 시간): 위험 감소의 효율성은 다음 기간을 측정합니다. 이 기간은 분석가가 인시던트를 수정할 때 조사를 시작하는 시간입니다. MTTR은 SecOps가 환경에서 공격자의 액세스를 제거하는 데 걸리는 시간을 식별합니다. 이 정보는 분석가가 위험을 줄이는 데 도움이 되는 프로세스 및 도구에 투자할 위치를 식별하는 데 도움이 됩니다.
- 인시던트 수정(수동 또는 자동화 사용): 수동으로 수정되는 인시던트 수와 자동화로 해결되는 인시던트 수를 측정하는 것은 직원 및 도구 결정을 알리는 또 다른 주요 방법입니다.
- 각 계층 간 에스컬레이션: 계층 간에 에스컬레이션된 인시던트 수를 추적합니다. 워크로드를 정확하게 추적하여 직원 및 기타 결정을 알리는 데 도움이 됩니다. 예를 들어 에스컬레이션된 인시던트에 대한 작업이 잘못된 팀에 기인하지 않도록 합니다.
보안 작업 모델
보안 작업은 대용량 인시던트와 복잡성이 높은 인시던트 조합을 처리합니다.
보안 운영 팀은 다음과 같은 세 가지 주요 결과에 중점을 두는 경우가 많습니다.
-
인시던트 관리: 다음을 포함하여 환경에 대한 활성 공격을 관리합니다.
- 감지된 공격에 반응하여 대응합니다.
- 기존의 위협 탐지를 통해 미끄러진 공격을 사전에 헌팅합니다.
- 보안 인시던트에서 법적, 통신 및 기타 비즈니스 영향을 조정합니다.
- 인시던트 준비: 조직이 향후 공격에 대비할 수 있도록 지원합니다. 인시던트 준비는 조직의 모든 수준에서 근육 메모리 및 컨텍스트를 구축하기 위한 광범위한 전략적 활동 집합입니다. 이 전략은 주요 공격을 더 잘 처리하고 보안 프로세스 개선에 대한 인사이트를 얻을 수 있도록 준비합니다.
- 위협 인텔리전스: 보안 리더십을 통해 보안 운영, 보안 팀, 보안 리더십 및 비즈니스 리더십 이해 관계자에게 위협 인텔리전스를 수집, 처리 및 전파합니다.
이러한 결과를 전달하려면 보안 운영 팀이 주요 결과에 집중하도록 구조화되어야 합니다. 대규모 SecOps 팀에서는 종종 하위 팀 간에 결과가 구분됩니다.
- 심사(계층 1): 보안 인시던트에 대한 첫 번째 응답 줄입니다. 심사는 경고의 대용량 처리에 중점을 두며 일반적으로 자동화 및 도구에서 생성됩니다. 심사 프로세스는 대부분의 일반적인 인시던트 유형에 대해 해결하고 팀 내에서 해결합니다. 더 복잡한 인시던트 또는 이전에 확인되지 않은 인시던트가 계층 2로 에스컬레이션되어야 합니다.
- 조사(계층 2): 여러 원본에서 데이터 요소의 상관 관계가 필요한 추가 조사가 필요한 인시던트에 초점을 맞췄습니다. 이 조사 계층은 에스컬레이션된 문제에 대해 반복 가능한 솔루션을 제공합니다. 그런 다음 계층 1을 사용하여 해당 문제 유형의 이후 되풀이를 해결할 수 있습니다. 또한 계층 2는 위험의 심각도와 신속하게 조치해야 할 필요성을 반영하기 위해 중요 비즈니스용 시스템에 대한 경고에 응답합니다.
- 헌트(계층 3): 주로 매우 정교한 공격 프로세스에 대한 사전 예방적 헌팅과 결과적으로 보안 제어를 성숙하기 위한 더 넓은 팀에 대한 지침을 개발하는 데 중점을 두었으며, 또한 계층 3 팀은 포렌식 분석 및 대응을 지원하기 위해 주요 인시던트에 대한 에스컬레이션 지점 역할을 합니다.
SecOps 비즈니스 터치포인트
SecOps는 비즈니스 리더십과 여러 잠재적인 상호 작용을 합니다.
- SecOps에 대한 비즈니스 컨텍스트: SecOps는 팀이 유동적인 실시간 보안 상황에 해당 컨텍스트를 적용할 수 있도록 조직에 가장 중요한 사항을 이해해야 합니다. 비즈니스에 가장 부정적인 영향을 미칠 수 있는 것은 무엇인가요? 중요한 시스템의 가동 중지 시간? 평판과 고객 신뢰의 손실? 중요한 데이터의 공개? 중요한 데이터 또는 시스템을 변조하시겠습니까? SOC의 주요 리더와 직원이 이러한 맥락을 이해하는 것이 중요하다는 것을 배웠습니다. 그들은 정보의 지속적인 홍수와 심사 사건을 통해 웨이드하고 자신의 시간, 관심, 노력의 우선 순위를 것입니다.
- SecOps와 공동 연습: 비즈니스 리더는 정기적으로 SecOps에 참여하여 주요 인시던트에 대한 대응을 연습해야 합니다. 이 교육은 실제 인시던트 고압에서 빠르고 효과적인 의사 결정에 중요한 근육 기억력과 관계를 구축하여 조직의 위험을 줄입니다. 또한 이 방법은 실제 인시던트가 발생하기 전에 해결할 수 있는 프로세스의 간격과 가정을 노출하여 위험을 줄입니다.
- SecOps의 주요 인시던트 업데이트: SecOps는 주요 인시던트가 발생하는 경우 비즈니스 관련자에게 업데이트를 제공해야 합니다. 이 정보를 통해 비즈니스 리더는 위험을 이해하고 사전 예방적 및 사후 조치를 모두 수행하여 위험을 관리할 수 있습니다. Microsoft 검색 및 대응 팀의 주요 인시던트에 대한 자세한 내용은 인시던트 응답 참조 가이드를 참조하세요.
- SOC의 비즈니스 인텔리전스: 때때로 SecOps는 악의적 사용자가 예상되지 않는 시스템 또는 데이터 집합을 대상으로 하는 것을 발견합니다. 이러한 발견이 이루어지면 위협 인텔리전스 팀은 비즈니스 리더에 대한 인사이트를 트리거할 수 있으므로 비즈니스 리더와 이러한 신호를 공유해야 합니다. 예를 들어 회사 외부의 누군가가 비밀 프로젝트를 알고 있거나 예기치 않은 공격자 대상이 간과되는 데이터 세트의 가치를 강조 표시합니다.
SecOps 현대화
다른 보안 분야와 마찬가지로 보안 운영은 지속적으로 진화하는 비즈니스 모델, 공격자 및 기술 플랫폼의 혁신적인 효과에 직면해 있습니다.
보안 작업의 변환은 주로 다음과 같은 추세에 의해 좌우됩니다.
- 클라우드 플랫폼 적용 범위: 보안 작업은 클라우드 리소스를 포함하여 엔터프라이즈 자산에서 공격을 감지하고 대응해야 합니다. 클라우드 리소스는 SecOps 전문가에게 익숙하지 않은 새롭고 빠르게 진화하는 플랫폼입니다.
-
ID 중심 보안으로 전환: 기존 SecOps는 네트워크 기반 도구에 크게 의존하지만 이제 ID, 엔드포인트, 애플리케이션 및 기타 도구 및 기술을 통합해야 합니다. 이 통합은 다음과 같은 이유로 인해 수행됩니다.
- 공격자는 피싱, 자격 증명 도난, 암호 스프레이 및 기타 공격 유형과 같은 ID 공격을 네트워크 기반 탐지를 안정적으로 회피하는 무기고에 통합했습니다.
- BYOD(Bring Your Own Device)와 같은 가치 자산은 네트워크 경계 외부에서 수명 주기의 일부 또는 전부를 소비하여 네트워크 검색의 유틸리티를 제한합니다.
- IoT(사물 인터넷) 및 OT(운영 기술) 적용 범위: 악의적 사용자는 공격 체인의 일부로 IoT 및 OT 디바이스를 적극적으로 대상으로 지정합니다. 이러한 대상은 공격의 궁극적인 목적이거나 환경에 액세스하거나 트래버스하는 수단일 수 있습니다.
- 원격 분석의 클라우드 처리: 클라우드에서 제공되는 관련 원격 분석의 엄청난 증가로 인해 보안 운영 현대화가 필요합니다. 이 원격 분석은 온-프레미스 리소스 및 클래식 기술로 처리하기 어렵거나 불가능합니다. 그런 다음, SecOps가 대규모 분석, 기계 학습 및 동작 분석을 제공하는 클라우드 서비스를 수용하도록 유도합니다. 이러한 기술은 보안 작업의 시간에 민감한 요구 사항을 충족하기 위해 신속하게 가치를 추출하는 데 도움이 됩니다.
보안 운영이 이러한 과제를 충족할 수 있도록 업데이트된 SecOps 도구 및 교육에 투자하는 것이 중요합니다. 자세한 내용은 클라우드에 대한 인시던트 대응 프로세스 업데이트를 참조하세요.
보안 작업 역할 및 책임에 대한 자세한 내용은 보안 작업을 참조하세요.
더 많은 아키텍처 및 기술 중심 모범 사례는 보안 작업에 대한 Microsoft 보안 모범 사례 및 비디오 및 슬라이드를 참조하세요.
다음 단계
다음 분야는 자산 보호입니다.