SOAR가 보안 플랫폼의 기본인 이유:
Why security orchestration, automation and response (SOAR) is fundamental to a security platform
오늘날 보안팀은 코로나19의 여파로 원격 및 하이브리드 인력이 확대되면서 점점 더 많은 어려움에 직면하고 있습니다. 이미 너무 많은 도구와 너무 많은 데이터로 어려움을 겪고 있던 팀들은 직원들이 가상 보안 운영 센터(SOC) 모델로 전환함에 따라 협업과 커뮤니케이션이 더욱 어려움을 겪고 있고, 동시에 더 많은 위협에 대처하고 있습니다.
단절된 팀은 보안에 대한 개방적이고 연결된 플랫폼 접근 방식의 필요성을 가속화합니다. 이러한 접근 방식을 채택하면 새로운 보안 도구와 기존 보안 도구를 통합하여 투자를 극대화하고, 워크플로를 한 곳으로 이동하여 SOC 분석가의 생산성을 높이고, IT 및 보안 프로그램을 변경함에 따라 조직에 유연성을 제공할 수 있습니다. 차세대 개방형 통합 보안 플랫폼에 대한 우리의 비전은 세 가지 핵심 원칙을 중심으로 수립되었습니다:
Security teams today are facing increased challenges due to the remote and hybrid workforce expansion in the wake of COVID-19. Teams that were already struggling with too many tools and too much data are finding it even more difficult to collaborate and communicate as employees have moved to a virtual security operations center (SOC) model while addressing an increasing number of threats.
Disconnected teams accelerate the need for an open and connected platform approach to security . Adopting this type of approach can maximize investments by bringing new and existing security tools together, make SOC analysts more productive by moving their workflow into one place, and provide flexibility for organizations as their IT and security programs change. Our vision for a next-generation, open and integrated security platform is built around three key tenets:
- 개방형 아키텍처: 오늘날 조직에서 사용하는 다양한 도구와 클라우드 플랫폼의 수가 증가함에 따라 차세대 보안 플랫폼은 여러 벤더의 다양한 도구를 쉽게 작업할 수 있을 만큼 충분히 개방적이어야 합니다. 기존 도구를 통합하거나 데이터를 이동하는 부분은 비용이 너무 많이 들고 복잡하지만, 오픈 소스 기술을 기반으로 하고 개방형 표준 기관의 지원을 받는 플랫폼을 채택하면 모든 도구를 표준화된 방식으로 통합하여 기존 투자를 극대화할 수 있습니다.
- 중앙 집중식 허브: SOC 분석가들은 워크플로를 관리하는 단일 기본 기록 시스템을 통해 생산성을 향상시킬 수 있습니다. 개방형 아키텍처 기반의 중앙 집중식 허브는 사람, 프로세스, 기술을 융합할 수 있는 방법을 제공합니다. 이를 통해 분석가는 사용하는 개별 도구에서 벗어나 작업을 한 곳으로 간소화하는 동시에 기존 도구의 가치 있는 데이터를 제공하고 배포된 모든 도구에 대해 전체 SOC를 교육할 필요성을 줄일 수 있습니다. 목표는 적절한 정보를 적시에 적절한 사람에게 자동으로 제공하여 효과적이고 결정적인 문제 해결을 가능하도록 하는 것입니다.
- 유연한 배포: 대부분의 조직은 보안 및 IT 환경을 관리하기 위해 여러 클라우드와 온프레미스 솔루션을 사용하고 있고, 각 솔루션은 일반적으로 클라우드로 전환하는 고유한 여정을 진행하고 있습니다. 어디서나 배포할 수 있는 차세대 보안 플랫폼은 특정 배포 모델에 종속되지 않으면서 기업이 현재와 미래에 가장 적합한 것을 선택할 수 있는 유연성을 제공합니다.
1. Open architecture: With the growing number of different tools and cloud platforms that organizations are using today, a next-gen security platform must be open enough to easily work with different tools from different vendors. Consolidating existing tools or moving data is often too expensive and complex to undertake, but adopting a platform that is based on open-source technology and backed by an open standards body allows teams to maximize existing investments by bringing all tools together in a standardized way.
2. Centralized hub: SOC analysts can improve their productivity with one primary system of record to manage their workflows. A centralized hub on top of an open architecture provides a way to fuse people, process and technology. This enables analysts to move out of the individual tools they use and streamline their work into one place while still providing the valuable data from the existing tools and decreasing the need to train the entire SOC on all of the tools deployed. The goal is to automatically put the right information in front of the right person at the right time to drive effective and decisive resolution.
3. Flexible deployment: Most organizations are using multiple clouds and on-premises solutions to manage their security and IT environments. And each is typically in the midst of their own unique journey to the cloud. A next-gen security platform that can deploy anywhere gives businesses the flexibility to choose what’s best now, and in the future, while avoiding lock-in to a particular deployment model.
차세대 보안 플랫폼의 핵심 - SOAR
SOAR is at the core of a next-gen security platform
SOAR(보안 오케스트레이션, 자동화 및 대응) 솔루션은 Gartner가 정의한 및 협업, 티켓 및 케이스 관리, 오케스트레이션 및 자동화, 위협 인텔리전스 관리 등 4 가지 엔진을 기반으로 구축되었습니다. 이러한 기능의 융합은 사람, 프로세스 및 기술을 통합하여 SOC 생산성 및 사고 대응(IR) 시간을 개선합니다. 따라서 이러한 엔진은 강력한 보안 스택을 위한 이상적인 기반을 제공합니다. 실제로 개방형 아키텍처에 기반하고 유연한 하이브리드 클라우드 배포를 갖춘 SOAR 기능은 이러한 비전을 실현하는 보안 플랫폼에 이상적인 접근 방식입니다.
SOAR를 보안 플랫폼의 중심에 두는 것은 팀이 중앙 집중화되고 에코시스템 그리고 모든 보안 프로세스 전반에 걸쳐 가치를 확장하고 극대화하는 데 도움이 됩니다. SOAR 기능을 차세대 보안 플랫폼에 통합하면 여러 가지 이점을 제공할 수 있는 기반을 마련할 수 있습니다.
Security orchestration, automation and response (SOAR) solutions are built on four engines as defined by Gartner: workflow and collaboration, ticket and case management, orchestration and automation, and threat intelligence management. The fusion of these capabilities improves SOC productivity and incident response (IR) times by bringing together people, process and technology. As such, these engines also provide an ideal basis for a robust security stack. Indeed, SOAR capabilities based on an open architecture and with a flexible, hybrid cloud deployment is the ideal approach for a security platform that fulfills this vision.
Placing SOAR at the heart of a security platform helps teams extend and maximize value across the ecosystem and to any security process while working in a centralized, coordinated manner. Incorporating SOAR capabilities into a next-gen security platform provides a foundation that will deliver several benefits.
보안팀 내외부 커뮤니케이션 개선
Better communication within and outside the security team
모든 SOC, 특히 가상 SOC는 대응을 주도하고 작업을 구성하기 위해 원활한 협업이 필요하며, 이는 SOAR 플랫폼의 핵심 기능입니다. 팀은 처음부터 다시 시작하는 대신 메뉴얼에 포함된 워크플로우를 따라 스마트하게 작업할 수 있습니다. 또한 보안팀은 SOAR의 워크플로우와 협업 엔진을 활용하여 IT, 법률, HR 또는 PR과 같은 다양한 부서의 담당자와 소통함으로써 조율되고 효율적인 대응을 도모할 수 있습니다.
Any SOC, especially a virtual one, requires seamless collaboration to guide responses and organize tasks — this is a key capability of a SOAR platform. Rather than starting from scratch, teams can work intelligently by following workflows embedded within dynamic playbooks. Furthermore, security teams can leverage the workflow and collaboration engine of SOAR to communicate with key players in different functions, such as IT, legal, HR or PR, helping to facilitate a coordinated and efficient response.
중앙 집중식 케이스 관리를 통한 효율성 향상
Improved efficiency with centralized case management
SOC 분석가는 SOAR 솔루션의 중앙 집중식 허브에서 관리할 수 있는 케이스 관리 기능을 통해 여러 도구와 대시보드 간에 전환할 필요 없이 효율성을 높일 수 있습니다. 케이스 관리가 SOAR 솔루션을 넘어 더 광범위한 보안 플랫폼으로 확장되면 분석가는 연결된 모든 기능에서 사용할 수 있는 공통 형식을 제공합니다. 강력한 케이스 관리 기능에는 대시보드 및 보고 기능도 포함하여 지표와 KPI를 추적하고, 동향 및 현황을 파악하고, SOC의 비즈니스 가치를 높일 수 있습니다..
SOC analysts gain efficiencies from case management capabilities that can be managed from the centralized hub of a SOAR solution, eliminating the need to switch between multiple tools and dashboards. When case management is extended beyond the SOAR solution and into a broader security platform, it provides analysts with a common format to use across all connected capabilities. A strong case management function will also include dashboard and reporting capabilities to track metrics and KPIs, highlight trends and gaps, and elevate the business value of the SOC.
에코시스템의 깊이와 폭을 극대화
Maximum depth and breadth of the ecosystem
보안 팀은 개방형 아키텍처를 통해 에코시스템의 깊이와 폭을 극대화할 수 있습니다. 개방형 표준 기반 접근 방식을 통해 SOC 팀은 다양한 데이터 소스 및 도구 간의 통합을 통해 다양한 에코시스템의 기능을 활용하고 기존 투자를 활용할 수 있습니다. 이러한 기술의 오케스트레이션은 SOAR 기능을 확장하는 동시에 보안 분석가에게 에코시스템에 대한 더 큰 가시성을 제공합니다.
차세대 플랫폼의 핵심에 SOAR를 배치하면 고객은 SOAR가 만들어진 사고 대응 프로세스를 넘어 취약점 관리, ID 관리, DevSecOps 등과 같은 모든 보안 프로세스를 포함하도록 SOAR의 이점을 확장할 수 있습니다. 이는 논리적으로 투자를 확대하여 추가적인 ROI를 창출할 뿐만 아니라 이러한 프로세스에 대한 KPI를 산출하여 지속적인 개선을 추진하고 보안과 조직의 나머지 부분과의 관계를 변화시키는 데 사용할 수 있습니다.
Security teams can maximize the depth and breadth of their ecosystems through an open architecture. An open, standards-based approach allows SOC teams to leverage the capabilities of a diverse ecosystem through integrations across a wide variety of data sources and tools and to capitalize on existing investments. The orchestration of these technologies extends SOAR capabilities while providing security analysts greater visibility into the ecosystem.
Placing SOAR at the heart of a next-gen platform allows customers to extend SOAR benefits beyond the incident response process for which SOAR was created to include any security process, such as vulnerability management, identity management, DevSecOps and more. This not only logically extends this investment to generate additional ROI but also yields KPIs about these processes, which can be used to drive continuous improvement and transform security’s relationship to the rest of the organization.
Learn about QRadar SOAR
Automation | Cloud Services | Collaboration | Data Management | Hybrid Cloud | Incident Response (IR) | Integrated Security | Open Source | Platform-as-a-Service (PaaS) | Security Operations and Response | Security Operations Center (SOC)
https://securityintelligence.com/posts/why-security-orchestration-automation-and-response-soar-is-fundamental-to-a-security-platform/