프로그램



Track D
2024.10.16 13:40 ~ 14:20
mail share facebook share twitter share linkedin share band share kakao
보안 운영의 초자동화 시대 연다, 지능형 보안 관리 성공 가이드

이글루코퍼레이션

이세호 분석기술실장


오늘날의 금융, 전자, 제조 기업들은 전례 없이 어려운 보안 과제에 직면하고 있습니다. AI를 악용한 고도화된 사이버 공격과 함께 내부자 위협에 의한 정보 유출 사고가 급격히 증가하고 있기 때문입니다. 특히 소규모 기업을 타깃으로 한 지능화된 랜섬웨어 공격은 해당 기업에게 치명적인 위협이 될 수 있습니다. 그러나 날로 진화하는 보안 위협에 선제 대응할 보안 전문가는 현저히 부족한 상황 속에서, 기업의 주요 정보 자산과 시스템을 어떻게 안전하게 보호할 수 있을까요?

이글루코퍼레이션이 초자동화 시대의 금융, 전자, 제조 기업에 부합하는 보안 관리 패러다임을 제시합니다. 차세대 SIEM(보안 정보 및 이벤트 관리)과 SOAR(보안 운영·위협 대응 자동화) 기반의 ‘지능형 보안 자동 대응 체계’ 구현을 통해, 보안 운영 및 위협 대응 업무의 효율성을 극대화하길 바랍니다.




이글루코퍼레이션  
SPiDER ExD (XDR(확장형 탐지·대응) 기반 차세대 보안 플랫폼)


스파이더 이엑스디(SPiDER ExD)는 일원화된 ‘고급 탐지-분석-대응’ 기능을 구현하는 ‘인공지능 기반 하이브리드 확장형 탐지·대응(AI-driven Hybrid XDR) 플랫폼(SIEM)’입니다. SPiDER ExD는 이기종 솔루션·서비스와의 유기적 통합·확장을 통해 구축한 포괄적 관점의 보안 운영 워크플로우를 토대로, 데이터 수집 다각화 및 탐지를 고도화하며 위협 데이터 간의 연관 관계를 분석하고 자동 대응합니다. 뿐만 아니라 각 조직의 보안 환경 및 위협 변화에 따라 필요한 기능을 적시에 확장할 수 있어 보안 대응의 효율성과 기민성을 극대화합니다. 이글루코퍼레이션은 SPiDER ExD를 중심으로 ‘Autonomous SOC’ 전략을 제시하며 보안 운영 자동화 실현에 박차를 가하고 있습니다.


[특장점]

1. 고가용성 보장
클러스터(Cluster) 기반의 빅데이터 아키텍처 및 레플리카(Replica) 기능을 토대로, 서비스 안정성 확보
① 클러스터 기반 병렬적 노드 확장
· 관제 대상, 로그 증가에 따른 확장성 보장(Scale-Out)
· 신규 노드가 추가되는 경우 기존 데이터 노드와 저장 용량을 균일하게 분산할 수 있는 기능
· 서비스 중단 없이 확장에 소요되는 시간을 최소화하고, 중앙관리 기능을 통해 관리의 편의성 보장
② 분산 저장/검색
· 정제된 이벤트 로그를 각 데이터 노드에 조건(Default: Day) 단위 별로 분산 적재(저장)
③ 복제 저장
· 데이터 전처리 후 이벤트 로그를 2개 이상 분산 저장하여, 저장 장치 장애 시에도 중단 없이 운영
· 저장 데이터와는 별개로 복제본을 생성 및 저장하게 되며, 다른 데이터 노드에 분산 적재(저장)
· 데이터 노드(서버) 장애 발생시, 복제 데이터를 이용 한 자동 복구
④ 압축/암호화/백업
· 저장된 로그 데이터는 디스크 저장 공간을 효율적으로 사용하기 위해 압축 저장
· 콜드(Cold) 데이터의 경우 파일 단위로 암호화하여 저장
· 백업 설정 정책에 따른 데이터 백업 및 삭제 관리

2. 데이터 검색 편의성 및 분석 정확성 강화
한 단계 강화된 적재 및 검색 기능을 토대로, 높은 수준의 데이터 분석 정확성 확보
① 정규화를 통한 수집·적재
· 사용자 정의 파서 기능을 통해 원본로그를 별도의 개발 없이 정규 표현식으로 필드별 설정 지원
· 이를 통해 생성된 인덱싱 필드 들은 검색 및 분석 용도로 활용 되어 데이터 검색 편의성 및 분석 효율성 향상
② 강화된 로그 검색
· 복합적으로 설정한 기준으로 로그 검색 가능 (AND, OR, NOT 등)
· 원본 로그, 인덱싱된 모든 필드 에 대한 표출 및 국가 정보, 유해 IP 정보 등 해당되는 부가 정보를 함께 제공
· 사용자 정의 검색, 대화형 검색 등 다양한 검색 기능 제공
③ 실시간 분석 및 탐지
· 신속한 분석을 위한 인메모리(In-Memory) 방식의 실시간 로그 분석 및 탐지 기능으로 분석 정확성 향상
· SIEM과 AI 분석 모델을 통합하는 확장형 분석 엔진으로 고급 분석 기능 지원
④ 심화된 검색 기반 분석
· 수집 로그의 모든 필드에 대한 특정 조건 및 정규 표현식 등 다양한 분석 조건 설정 지원
· 탐지 룰 별 예외 조건 기능을 제공하며 특정 요일, 시간에 대한 예외 처리 가능
· 수집된 데이터를 토대로 평판 DB를 구성하여, 해당 DB의 데이터를 통한 분석 기능 제공

3. 폭넓은 확장성 보유
플랫폼 형태 아키텍처로 기능 확장 및 추가 용이
- Open API 연동 솔루션:
① SOAR (보안 운영·위협 대응 자동화)
② AI (머신러닝 기반 지도/비지도 분석 지원)
③ 취약점 진단 (취약점 진단 솔루션 연계 및 결과 연계)
④ 위협 인텔리전스 (위협 정보 및 위험 IP, URL, IoC, 탐지 정책 연계)
⑤ 대시보드 (사용자 정의 대시보드)
⑥ 정보보호 포털 (연계 기관 대응을 위한 포털)
⑦ 정보보호 솔루션 (차단 및 정책 연계)
⑧자산관리 및 시스템 관리 솔루션 연계

4. 고도화된 위협 탐지 및 대응
고급 위협 탐지 기능 제공, 추가 기능 및 연동 지원
① 고급 탐지?조사 기능 제공
· 머신러닝 기반 지도/비지도 분석, 위협 헌팅(Threat Hunting), 마이터 어택(MITRE ATT&CK) 프레임워크 분석 프로세스 등 다양한 기본 탐지 및 조사 기능을 통해 고도화된 위협 탐지 가능
② 위협 정보 연계 기능 제공
· 유해 IP/URL, 악성코드 해시값/취약점에 대한 관리 기능 제공
· 보안 기업에서 직접 제공하는 보안 뉴스, 취약점 정보 등 보안 콘텐츠의 자동 업데이트를 통해 최신 위협 상황에 대한 효과적인 대응 지원
· 기본 탑재된 CTI를 통해, 위협 정보를 실시간으로 연계 및 공유함으로써 신속 정확한 조사 지원


[주요 기능]

SPiDER ExD는 높은 수준의 가용성·정확성·확장성을 보장하는 XDR 기반 차세대 보안관제 플랫폼(SIEM)입니다. SPiDER ExD는 이기종 솔루션·서비스와의 유기적 통합·확장을 통해 구축한 포괄적 관점의 보안 운영 워크플로우를 토대로, 데이터 수집 다각화 및 탐지 고도화하며 위협 데이터 간의 연관 관계를 분석하고 자동 대응합니다. 뿐만 아니라 각 조직의 보안 환경 및 위협 변화에 따라 필요한 기능을 적시에 확장할 수 있어 보안 대응의 효율성과 기민성을 극대화합니다.

1. 수집
· 실시간 보안 시스템 로그/이벤트 (네트워크 보안 시스템, 엔드포인트 보안 시스템 연계)
· 웹 모니터링 (홈페이지 위변조 모니터링 솔루션 WEBMON 연계)
· Windows, UNIX, Linux 등 내부 주요 서버 (자산 위협 관리·보안 진단 자동화 솔루션 Smart[Guard] 연계)

2. 탐지/분석
· 다양한 탐지/분석/통계 기법 (실시간 수집, 분산 적재, 대용량 검색, 통합 대시보드 등)
· 사이버 위협 인텔리전스 (CTI)
· 머신러닝 기반 지도/비지도 분석 (AI 보안관제 솔루션 SPiDER TM AI Edition 연계)
· IT·OT 통합 분석 (OT 보안관리 솔루션 SPiDER OT 연계)

3. 대응/공유
· 침해대응 시스템 연계
· 다양한 솔루션 및 데이터 연동, 플레이북 기반 자동화, 자동 차단 지원 (보안 운영·위협 대응 자동화(SOAR) 솔루션 SPiDER SOAR 연계)
· 리포트/대시보드 (자체 및 3rd 제품 연계)


장*준(***-****-0187)    2024.10.16 14:10

자동화라고는 하지만 사실상 담당자의 정책정의에 의한 영역이 커보이는데요. 이부분은 수동상황에서도 가장 어려운 부분인데, 자동학습에 의한 정책설정이나 자체 보유 보안DB에 의한 관리기능이 있는지요?


장*준(***-****-0187)    2024.10.16 14:08

자동화라고는 하지만 결국 사숑다 정의 정책기반이 큰것 같은데요. 해당제품자체의 학습에 의한 자동화부분 및 자체보유 보안DB에 의한 정책설정은 어느정도 가능한 상황인가요?


장*준(***-****-0187)    2024.10.16 14:08

자동화라고는 하지만 결국 사숑다 정의 정책기반이 큰것 같은데요. 해당제품자체의 학습에 의한 자동화부분 및 자체보유 보안DB에 의한 정책설정은 어느정도 가능한 상황인가요?


김*솔(***-****-4712)    2024.10.16 14:07

playbook에 타사 탐지룰이나 시그니처 등록이 가능한지 궁금합니다.


임*현(***-****-2164)    2024.10.16 14:09

초자동화의 기반이 되는 SOAR 플레이북이 많아지면 관리 어려움이 있을텐데 유효성, 히트율, 개선 포인트 제안 등 라이프 사이클 관리를 지원할 수 있는 새로운 기능이 있을까요?