SecOps 체계 수립

이 문서는 보안 및 기술 팀이 조직에서 예방 제어를 우회하는 활성 위협을 감지, 조사 및 대응하는 데 도움이 되는 SecOps(보안 운영) 분야를 수립하고 현대화하는 데 도움이 됩니다.

보안 분야는 조직이 전체 기술 자산에서 보안 결과를 일관되게 제공할 수 있도록 지원하는 관련 보안 작업의 그룹화입니다. 보안 채택 모델 내에서 분야는 비즈니스 시나리오기술 구현 간의 브리지를 제공하여 보안 투자가 보안 채택 모델의 일부로 실제 측정 가능한 결과로 변환되도록 합니다.

SecOps란?

SecOps는 실제 공격자가 시스템을 공격하는 상황에서도 시스템의 보안 보장을 유지하고 복원합니다. NIST 사이버 보안 프레임워크는 검색, 응답 및 복구의 SecOps 기능을 설명합니다.

  • 검색 - SecOps는 대부분의 경우 숨겨지도록 장려되는 시스템에 악의적 사용자가 있는지 감지하여 목표를 방해받지 않고 달성할 수 있도록 해야 합니다. 이는 의심스러운 활동에 대한 경고에 대응하거나 엔터프라이즈 활동 로그에서 비정상적인 이벤트를 사전에 헌팅하는 형태를 취할 수 있습니다.
  • 응답 - 잠재적인 악의적인 동작 또는 캠페인이 감지되면 SecOps는 신속하게 조사하여 실제 공격(참 긍정) 또는 거짓 경보(가양성)인지 확인한 다음 악의적인 작업의 범위와 목표를 열거해야 합니다.
  • 복구 - SecOps의 궁극적인 목표는 공격 중 및 공격 후 비즈니스 서비스의 보안 보증(기밀성, 무결성, 가용성)을 유지하거나 복원하는 것입니다.

위험 완화

대부분의 조직에서 직면하는 가장 중요한 보안 위험은 인간 공격 운영자로부터 발생합니다.

주목할 만한 예외를 제외하고, 대부분의 조직에서는 맬웨어 방지에 기본 제공되는 서명 및 기계 학습 기반 접근 방식을 통해 자동화/반복 공격의 위험이 크게 완화되었습니다.

사람이 직접 수행하는 공격은 적응성이 높아 대응하기 까다롭지만, 방어 측과 같은 "인간의 속도"로 움직이기 때문에 격차를 줄이는 데 도움이 됩니다.

SecOps는 공격자가 중요한 시스템과 데이터에 대해 확보할 수 있는 시간과 접근 범위를 제한하는 데 중요한 역할을 합니다. 공격자가 환경에 있는 매 분마다 공격 작업을 계속 수행하고 중요하거나 중요한 시스템에 액세스할 수 있습니다.

왜 이 분야인가?

모든 공격을 방지할 수 있는 것은 아닙니다. 대부분의 공격을 차단하는 강력한 보안 아키텍처 및 자세 관리가 있더라도 위협 행위자는 때때로 환경에 대한 초기 액세스를 얻습니다.

SecOps는 이러한 활성 공격 및 보안 인시던트 관리에 중점을 두고 공격자가 손상 후 발생할 수 있는 피해를 제한합니다. 효과적인 SecOps는 다음을 통해 위험을 줄입니다.

  • 악의적인 활동을 빠르게 검색합니다.
  • 공격자 체류 시간 단축.
  • 측면 이동과 충격을 억제합니다.
  • 복구 및 조직 복원력 지원

보안 도입 모델에서 SecOps는 침해 발생 후 대응하는 보안 영역을 의미하며, 사전 위험 감소와 공격 방지에 중점을 두는 보안 태세 관리를 보완합니다.

위험 감소에서 상호 보완적인 역할을 보여 주는 보안 운영 및 보안 상태 관리 다이어그램

효과적인 SecOps 분야가 없으면 액세스 권한을 얻는 공격자는 검색되지 않고 작동하고, 권한을 확대하고, 횡적으로 이동하고, 최대 비즈니스 피해를 입힐 수 있습니다.

임무 및 결과

SecOps 분야의 임무는 최신 기술 자산 전반의 위협을 신속하게 탐지, 조사 및 대응하여 사이버 공격의 비즈니스 영향을 제한하는 것입니다.

팀 크기 또는 운영 모델에 관계없이 완성도 높은 SecOps는 다음과 같은 결과를 제공합니다.

  • 신속한 위협 대응 – ID, 엔드포인트, 인프라, 애플리케이션 및 데이터 전반에서 위협을 적시에 탐지하고 포함
  • 공유 위협 인텔리전스 – 분석가, 자동화 및 다운스트림 보안 제어를 알리는 중앙 집중식 신호 및 인사이트
  • 사전 위협 검색 – 새로운 기술 및 공격자 동작을 밝히기 위한 위협 헌팅 및 공격 시뮬레이션

SecOps 팀은 단일 개인에서 전 세계적으로 분산된 대규모 24/7 작업에 이르기까지 다양할 수 있으며, 기능은 부분적으로 또는 완전히 아웃소싱될 수 있습니다. 구조와 크기에 관계없이 결과는 동일하게 유지됩니다.

SecOps에서 제로 트러스트 채택

보안 작업(SecOps)은 제로 트러스트 전략의 기초입니다. 제로 트러스트 손상이 있다고 가정하고 컨트롤이 실패할 때 영향을 최소화하는 데 중점을 둡니다. SecOps는 환경 전반의 위협을 지속적으로 감지, 조사 및 대응하여 해당 가정을 실행으로 전환합니다.

제로 트러스트 모델에서는 예방만으로는 충분하지 않습니다. 조직은 공격자가 컨트롤을 우회하고 SecOps를 사용하여 악의적인 활동을 조기에 식별하고, 공격을 신속하게 포함하고, 시간이 지남에 따라 보안 상태를 개선하는 인사이트를 생성할 것으로 예상해야 합니다.

보안 채택 모델 내에서 SecOps 지침은 모니터링, 검색, 조사, 응답, 자동화 및 지속적인 학습을 포함하여 조직 전체의 제로 트러스트 지원하는 데 필요한 운영 기능에 중점을 둡니다.

  • 검색 및 가시성 중앙 집중화: ID, 엔드포인트, 애플리케이션 및 인프라를 비롯한 환경 전반의 로그 및 원격 분석을 중앙 집중식 검색 및 조사 기능에 통합합니다. 이렇게 하면 SecOps가 일관된 도메인 간 가시성을 확보하여 초기에 타협을 감지하고 공격자의 동작을 이해할 수 있습니다.
  • 응답 및 포함 자동화: 오케스트레이션 및 자동화를 사용하여 손상된 디바이스를 격리하거나 위험한 계정을 사용하지 않도록 설정하는 등 반복 가능한 응답 작업을 실행합니다. 자동화는 응답 시간을 줄이고, 분석가 인지 부하를 줄이며, 압력을 받고 일관된 실행을 보장합니다.
  • 위협 사전 검색: 위협 헌팅을 핵심 SecOps 기능으로 처리합니다. 가설 기반 헌팅과 고급 분석을 사용하여 자동화된 탐지를 회피하는 공격자 활동을 찾아내고, 침해 지속 시간을 줄이며, 보안 통제의 허점을 발견합니다.
  • 경고 및 인시던트 효과적으로 관리: 감지를 조정하여 노이즈를 줄이고 분석가가 의미 있는 경고에 집중할 수 있도록 합니다. 인시던트가 일관되고 효율적으로 처리되도록 플레이북을 사용하여 조사 및 응답 워크플로를 표준화합니다.
  • 위험에 따라 지속적으로 노출 감소: 공격 경로 분석 및 노출 인사이트를 사용하여 타협을 가능하게 할 수 있는 조건을 식별합니다. 비즈니스 영향 및 가능성에 따라 수정의 우선 순위를 지정하므로 가장 중요한 위치에 노력이 집중됩니다.
  • SecOps 프로세스를 지속적으로 발전합니다. 실제 인시던트 및 위협 인텔리전스를 기반으로 검색, 플레이북 및 응답 결과를 정기적으로 검토합니다. 이러한 학습을 SecOps 전략에 다시 제공하여 공격자, 기술 및 비즈니스 우선 순위가 변경됨에 따라 기능이 적응할 수 있도록 합니다.

조직은 SecOps를 제로 트러스트 원칙에 맞게 조정하여 사후 인시던트 처리에서 모든 인시던트가 기업 전체에서 탐지, 대응 및 예방을 강화하는 복원력 있는 운영 모델로 전환합니다.

이 분야를 적용하는 방법

SecOps 분야를 효과적으로 적용하려면 조직 전체의 위협을 감지, 대응 및 복구하는 조정된 접근 방식을 설정하는 데 집중합니다.

  1. 비즈니스 위험에 맞는 위협 탐지 및 대응 전략 정의
    잠재적인 비즈니스 영향에 따라 위협을 식별, 우선 순위 지정 및 대응하기 위한 명확한 접근 방식을 설정합니다.
  2. 환경 전체에서 일관된 검색 및 응답 보장
    ID, 디바이스, 애플리케이션 및 인프라 전반에서 모니터링, 조사 및 응답에 통합된 접근 방식을 적용합니다.
  3. 검색, 응답 및 복구를 위한 프로세스 표준화
    인시던트를 일관되게 처리하여 응답 시간을 줄이고 영향을 제한하는 명확한 지침을 제공합니다.
  4. SecOps를 비즈니스 우선 순위 및 중요한 시나리오에 맞게 조정
    중요한 자산을 보호하고 보안 인시던트의 영향을 최소화하는 데 집중하기 위해 검색 및 대응 노력의 우선 순위를 지정합니다.
  5. 인사이트 및 피드백을 통해 지속적으로 개선
    인시던트, 위협 인텔리전스 및 운영 메트릭의 학습을 사용하여 탐지 기능을 강화하고 시간에 따른 대응을 개선합니다.

변경을 관리하세요

SecOps 현대화는 일회성 도구 배포가 아니라 지속적인 개선 여정입니다. 목표는 손상이 발생할 때 공격자의 영향을 줄이는 조직의 기능을 꾸준히 개선하는 것입니다.

주요 작업 및 제로 트러스트 맞춤이 강조 표시된 보안 작업 임무 요약 스크린샷.

제로 트러스트 원칙에 부합하는 최신 SecOps 접근 방식은 다음을 강조합니다.

  • 임무 조정 - 경고 및 위협이 AI를 포함하여 인간과 자동화로 응답할 수 있는 능력을 초과할 때 비즈니스에 가장 중요한 사항 우선 순위 지정
  • 지속적인 학습 - 위협 행위자, 플랫폼 및 비즈니스 우선 순위가 변경됨에 따라 검색, 기술 및 프로세스를 조정합니다.
  • 협업 및 공유 - 보안, IT 운영, 엔지니어링, 법률, 커뮤니케이션 및 리더십 전반에 걸친 팀 노력으로 SecOps를 처리합니다.

위협 행위자는 실패할 때까지 저렴하고 효과적이며 신뢰할 수 있는 기술을 재사용하는 경향이 있으므로 과거 공격에 대한 인사이트를 사용하여 위협 인텔리전스를 캡처하고 공유하는 것이 중요합니다. SecOps 위협 인텔리전스는 비즈니스 및 규정 준수 요구 사항과 함께 보안 제어 디자인, 우선 순위 지정 및 상태 개선을 직접 알려야 합니다.

분야별 역할 및 협업자

SecOps 분야는 일반적으로 전담 SecOps 팀이 주도합니다. 소규모 조직에서 SecOps 책임은 파트타임이거나 역할 간에 공유될 수 있지만 여전히 명확한 소유권이 필요합니다.

이 분야의 주요 역할은 일반적으로 다음과 같습니다.

  • SecOps / SOC 관리자
  • 1차 분류 분석가
  • 계층 2 조사 분석가
  • 위협 사냥꾼(계층 3)
  • 감지 엔지니어
  • SecOps 플랫폼 및 데이터 엔지니어
  • 디지털 법의학 및 인시던트 대응 전문가
  • 위협 인텔리전스 분석가
  • 인시던트 조정 및 관리 역할
  • 공격 시뮬레이션 전문가(레드 팀, 자주색 팀, 침투 테스트)

주요 협력자는 다음과 같습니다.

  • 기술 엔지니어링 및 운영 팀 – 로깅을 사용하도록 설정하고 설계 및 실행하는 시스템의 조사, 포함 및 복구를 지원합니다.
  • 아키텍처 역할 – SecOps 위협 인텔리전스의 인시던트 학습을 기반으로 시스템 및 컨트롤의 디자인을 지속적으로 개선합니다.
  • 애플리케이션 및 제품 팀 – 인시던트 인사이트에 대한 응답으로 소프트웨어 및 서비스를 업데이트합니다.
  • 보안 전략, 통합 및 거버넌스 분야 – SecOps 투자에 대한 우선 순위, 메트릭 및 책임을 설정합니다. 주요 인시던트 중에 지원 및 조정을 제공합니다.

효과적인 SecOps는 인시던트 응답과 시스템 디자인 간의 긴밀한 피드백 루프에 따라 달라집니다.

다른 분야와의 맞춤

SecOps는 광범위한 보안 운영 모델의 일부로 작동하며 다른 분야와 긴밀하게 통합됩니다.

  • 보안 상태 관리 분야: 인시던트 방지에 중점을 둡니다. SecOps는 여전히 발생하는 인시던트 관리
  • 액세스 및 ID 분야: ID 원격 분석은 기본 검색 및 조사 신호입니다.
  • 데이터 보안 분야: SecOps는 데이터 도난, 강탈, 내부자 위험 및 개인 정보 취급 방침을 조사합니다.
  • 보안 아키텍처 분야: 검색 및 응답 메커니즘이 의도한 시스템 디자인과 일치하도록 합니다.
  • 전략, 통합 및 거버넌스 분야: SecOps 우선 순위, 메트릭 및 성공 기준을 정의합니다.

기술 핵심 요소와의 맞춤

SecOps 분야는 모든 기술 핵심 요소에서 작동하며, 공격이 발생할 때마다 탐지하고 포함해야 합니다.

  • ID: ID는 기본 공격 진입점이므로 SecOps의 최우선 순위입니다. 거의 모든 다단계 공격은 더 많은 조직 자산에 접근하기 위해 ID 기반 공격(pass-the-hash/ticket/etc.)에 의존해 수평 이동하며, 대개 IT 관리자 또는 관리용 서비스 계정과 연결된 권한 있는 계정을 사용합니다.
  • 엔드포인트: 엔드포인트는 일반적인 발판, 작업 기반 및 공격자를 위한 로컬 공격 도구 스토리지입니다. 침해된 엔드포인트를 신속하게 찾아 피해를 억제하고 공격자의 목표와 역량을 파악하는 것은 매우 중요합니다.
  • 인프라: 위협 행위자는 위반 시 광범위한 타협을 가능하게 하는 고부가가치 클라우드 및 온-프레미스 인프라 자산을 자주 대상으로 하므로 효과적인 탐지 및 대응이 중요합니다.
  • : 공격자가 비즈니스 자산에 액세스하기 위해 조직을 입력하고 횡적으로 트래버스하는 데 사용하는 경우가 많기 때문에 이메일, 공동 작업, 비즈니스 라인 및 기타 앱에 대한 공격에 대한 신속한 탐지 및 대응이 중요합니다.
  • 데이터: 공격자는 종종 지적 재산권 도용, 강탈 또는 랜섬웨어에 대한 레버리지를 얻기 위한 암호화, 향후 공격 계획 및 기타 목적을 위해 데이터를 대상으로 합니다. 또한 SecOps는 개인 정보 보호, 내부자 위험 및 기타와 관련된 데이터 관련 조사에 관여하거나 공동 작업할 수 있습니다.
  • 네트워크: 합법적인 통신과 마찬가지로 위협 행위자 통신 및 공격 작업은 네트워크 연결을 통해 이동합니다. SecOps는 네트워크 센서에 중점을 두고 있으며, 암호화로 가시성이 감소하더라도 데이터는 컨텍스트 및 포함에 여전히 유용합니다.
  • AI: AI가 공격 표면으로 등장함에 따라 효과적인 탐지 및 조사를 위해 새로운 도구와 기술이 필요합니다. 위협 행위자가 AI 기술을 채택함에 따라 AI 공격 볼륨이 증가하고 있습니다. SecOps는 AI를 활용하여 분석 및 기타 프로세스를 자동화할 수도 있습니다.

다음 단계

Microsoft Unified는 조직이 보안 태세 관리 전략, 아키텍처 및 기술의 현대화를 가속화할 수 있도록 전문가 주도 워크샵을 제공합니다. 이러한 워크샵은 다음과 같습니다.

  • 아키텍처 및 전략 워크샵 - SAF(보안 채택 프레임워크) -Architecture 디자인 세션: 최신 보안 운영 워크샵은 SecOps 현대화를 가속화하는 데 중점을 둡니다. 이 워크샵은 다음과 같이 제공됩니다.

    • 항목 요약 - 주요 학습 및 모범 사례에 초점을 맞춘 4시간 미만의 토론입니다.
    • 보안 ADS(보안 아키텍처 디자인 세션) - 추가 세부 정보, Microsoft 사례 연구, 완성도 모델 토론 및 참조 현대화 계획을 제공하는 2일간의 워크샵입니다.

  • 테크놀로지 채택 워크샵 - Microsoft Unified는 조직이 SecOps에 대해 배우고, 계획하고, 구현하고, 최적화하는 데 도움이 되는 워크샵을 제공합니다.

보안 기술 학습, 계획 및 구현 단계를 보여 주는 Microsoft Unified SecOps 워크샵의 다이어그램.

Microsoft 주도 워크샵에 대한 자세한 내용은 고객 성공 계정 관리자에게 문의하세요.

  • Last updated on