오늘날의 공격을 해결하고 미래의 위협을 준비하는 것 : 가트너가 선정한 2022년도 매직 쿼드란드 SIEM 리더
Tackling Today’s Attacks and Preparing for Tomorrow’s Threats: A Leader in 2022 Gartner® Magic Quadrant™ for SIEM

2022년 가트너 매직 쿼드란트에서 리더로써 인정받은 IBM QRadar SIEM의 최신버전에 대해서 알아보려 합니다.  전세계의 보안팀 리더들과 이야기를 하면 항상 따라잡기가 어려운 4가지 주제들이 있는데 이는 아래와 같습니다.

1. 계속 진화하고 증가하는 보안 위협상황
2. 기술력 있는 보안 전문가들을 외부에서 불러오는 것과 더불어 이러한 전문가들을 회사 내에 유지
3. 점점 더 복잡한 IT 환경들에 대해 배우고 관리할 뿐 만 아니라 그에 따르는 툴을 이용해서 보안
4. SIEM 소프트웨어를 포함한 그들의 보안 툴에서 나오는 정보에 기반하여 행동할 수 있는 능력

우리는 하나의 산업으로서, 여전히 기업들이 이러한 4가지 도전과제를 도울 수 있을 많은 것들을 갖고 있습니다. 왜냐하면 이러한 문제들은 사라지는 것이 아니기 때문입니다.  그러기는 커녕 오히려, 문제들은  포스트 코로나 환경에서 점점 정교해지고 있습니다. 

Get the latest on IBM Security QRadar SIEM, recognized as a Leader in the 2022 Gartner Magic Quadrant.
As I talk to security leaders across the globe, four main themes teams constantly struggle to keep up with are:

1. The ever-evolving and increasing threat landscape
2. Access to and retaining skilled security analysts
3. Learning and managing increasingly complex IT environments and subsequent security tooling
4. The ability to act on the insights from their security tools including security information and event management software (SIEM)

SIEM의 미래를 결정하는 사실들 / Truths Shaping the Future of SIEM

우리는 기업의 이러한 도전과제들을 수 많은 방법으로 도와 왔습니다. 이번 글에는 아래와 같이 보안산업에서의 위협에 대응 방향과 위협관리 솔루션이 변모해 나아가는 방법에 대해서 제시할 것 입니다.

There are numerous ways we plan to help organizations with these challenges. But we believe the truths outlined below are shaping the way the industry is moving in combatting threats and shaping threat management solutions:

통일된 워크플로우 vs. 보안 분석 / Unified Workflows vs. Security Analytics

SIEM은 오늘날 뿐만 아니라 미래에도 보안팀에게 있어서 주요 보안분석툴 중에 하나일 것 입니다.

그러나 보안은 독립되게 별도로 존재하는 것이 아니라 보안 팀들이 그들의 업무에서 필요로 하는 워크플로우, 데이터, 비지니스 문맥들과 같이 전반적인 영역에 걸쳐 있습니다. SIEM을 넘어서 EDR,ASM, NDR, 아이덴티티, 데이터보안, CWPP, CSPM 까지 영역을 넘나 듭니다. 

많은 기업들은 심지어 같은 종류의 업무에도 1개 이상의 툴을 보유하고 있습니다.  이러한 상황은 결국 기업들이 일관되고 하나로 이어진 분석 워크플로어를 제공하는 오픈형 솔루션을 필요로 하게 만듭니다. 이러한 분석 워크플로어는 현재의 보안기능을 기반으로 통찰력 있는 정보와 실체를 갖게 되고, 그들의 모든 데이터에 대한 접근을 통합관리를 할 수 있게 해줍니다.  


  SIEM is, and will remain, one of the key security analytics tools for a security team.
  However, it is not an island and the overall workflow, data, and business context that a security team requires to do their job often goes beyond the SIEM to other tools, including EDR, ASM, NDR, Identity, Data Security, CWPP, and CSPM. Many organizations even have more than one solution of the same type. Therefore, organizations need a truly open solution that provides a unified, streamlined analyst workflow that encompasses the insights and context from all of these current capabilities (and future ones) but also enables federated access to all of their data.

자동화 vs. 오케스트레이션 Automation vs. Orchestration

무엇보다 큰 기업에서는 우선순위를 두고 대응하는 워크플로어의 오케스트레이션이 중요하지만, 이는 보안팀에서 사건 또는 경보를 조사할때 지켜야 하는 메뉴얼 프로세스의 많은 부분을 대체할 수는 없습니다.

기업에게 발생할수 있는 위협을 찾아내고 이에 대한 사건을 조사하는 과정에서 더 많은 자동화와 관련된 도움이 필요합니다. 위협헌팅 프로그램을 사용하는 경우 너무 많은 도구들과  데이터의 고립이 있는 상황에서 데이터 분석과 관련된 단순한 노력을 줄이게 해 줄 뿐만 아니라 SI GMA 룰과 지능위협과 같은 넓은 정보보안 커뮤니티로 부터의 통창력 있는 정보들을 활용할 수 있게 해 줍니다. 

   Orchestration of triage and response workflows is a critical capability, particularly in larger organizations, but it is not a substitute for a large part of the manual processes security teams follow when investigating a security alert or incident.
   Organizations need more help and automation in the areas of investigation and threat hunting that not only reduces manual effort involved in analyzing the data across their various tools and data silos, but also leverages insights from the wider infosec community, including SIGMA rules and threat intelligence. The ultimate goal is to enable the security team with higher fidelity alerts, faster root cause insights, and recommended actions to mitigate or protect against a threat.

더 적극적으로 방어하는 것 / Becoming More Proactive

사이버보안의 현재의 업무량을 고려해 보면, 우리는 무언가를 실행하는데에 있어서 매우 신중해야 합니다. 결국 솔루션 또는 보안방법은 들은 분석가들로 부터 일을 줄여야 주어야 하는 것 이지, 일을 더 주어서는 안 됩니다. 

아쉽게도 기업들이 대응해야 하는 취약점, 보안 설정오류, 위협, 비이상적인 의심스러운 행동들이 너무나 많습니다. 따라서 우리는 공격자들과 같이 생각하고, 우선순위로 해결하는 방어시스템이 꼭 필요하다는 확신을 가져야 하며, 결국 이를 핵심으로 "공격 기반의 방어" 로 변화하는 것이 중요합니다. 우리는 운영방식의 전환의 필요한 상황입니다. 결국  이러한 보안 프로세들을 더욱 자동화 하여,  보안팀에서 진행하는 발견 및 대응의 시간을 줄이고 일어나는 보안 위협의 리스크를 줄일 수 있습니다.

   Given the current state of security team workloads, we need to be very deliberate in execution. A security solution or capability must take work away from an analyst; not add to it.
   Unfortunately, there are always going to be too many vulnerabilities, security misconfigurations, threats, and malicious behaviors for organizations to respond to. It is therefore critical that we shift to a ‘threat-driven defense’ approach to security that is centered around understanding the attacker’s perspective and ensuring defense systems are addressing it as a priority. Today, such efforts are typically highly manual and infrequent. We need to move to a mode of operation where these processes become much more automated, which will ultimately reduce the risk of a security incident happening and shorten the time to detect and respond where they do.

SIEM 의 미래 / The Future of SIEM

점점 더 복잡하고 끈질겨지는 사이버보안위협의 현재상황에 따라 SIEM 시장은 업무량을 관리할 수 있는 툴을 반드시 제공해야만 합니다. 우리는 SIEM이  아래와 같은 기능을 해야한다고 이해하고 있습니다. 

• 우선순위화된 Hi-Fi 경고에애 인공지능의 기능을 추가하여, 보안전문가들이 중요한 경고에 초점을 맞추게 함
• 당신의 SIEM을 작동시킬 때까지 위협은 기다려 주지 않기 때문에, 사용하기 쉽고  빠르게 설치가 가능해야 하는 함
• 기존에 있던 툴과 기술들에 통합하는 것에 대해 개방되어 있어야 함 
  
  

산업이 점점 진보해 감에 따라 보안팀들은  전체 보안운영센터 (SOC) 의 워크플로우를 빠르고 쉽게 지원할 수 있는 오픈보안이 필요해 집니다. 이 워크플로에는 보안의 가시성, 위협 발견, 조사, 대응과 같은 것들이 포함을 하고 있으며, 다양한 도구들과 데이터 세트들은 엄청 거대해지고 많아질 것 입니다. 

IBM이 SIEM 에 대한 2022년 가트너 매직 쿼드란트 리포트에서 13년 연속 리더로 선정되어 온 하나의 이유는 바로 이 분야에 크게 투자를 하고 있기 때문이라고 저희는 생각합니다.

With the current state of cyber security threats becoming more advanced and more persistent, it is imperative that the SIEM market deliver a tool that can manage the workload. We understand a SIEM needs to be:

• Infused with artificial intelligence to deliver prioritized, high-fidelity alerts so that security analysts focus on alerts that matter
• Easy to use and fast to deploy because threats will not stand by as you spin up your SIEM
• Open to integrating existing tools and technologies

SIEM 2022년 가트너 매직 쿼드란트 보고서를 얻기  / Get the 2022 Gartner Magic Quadrant for SIEM report

2022년도 10월 10일 피터, 엔드류, 밋쉘에 의해 보안 정보 및 이벤트 관리에 대한 가트너 매직  보고서가 출시되었습니다.
가트너는 이 보고서 출간에 있어서 묘사된 제품과 서비스에 대해 어떠한 벤더로부터 후원을 받지 않았으며,  높은 랭킹 또는 다른 지정에 있어서 이러한 벤더들 중 어느 하나를 선택한 기술적인 유저들로 부터 조언을 받지 않았습니다. 가트너 리서치 출판물은 가트너 연구기관의 의견으로 구성이 되어 있으며 사실에 기반하지는 않습니다. 가트너는 특정 목적으로 어떠한 상품에 대한 보장을 하는 것과 더불어  보고서의 관찰자로 함축되거나 묘사된 부분에 있어서 모든 보증을 하지 않습니다.

가트너 매직 쿼드는 상품과 서비스 마크로 등록이 되어 있으며, 미국과 국제적인 연합 그리고 안에 사용이 허가되어 있습니다. 모든 권한은 여기에서 보호됩니다. 

  Gartner, Magic Quadrant for Security Information and Event Management, 10 October 2022, By Pete Shoard, Andrew Davies, Mitchell Schneider
  Gartner does not endorse any vendor, product or service depicted in its research publications and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner’s research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.
  GARTNER and Magic Quadrant are registered trademarks and service mark of Gartner, Inc. and/or its affiliates in the U.S. and internationally and are used herein with permission. All rights reserved.

https://securityintelligence.com/posts/2022-gartner-magic-quadrant-siem-leader/