AhnLab Sefinity AIR

AhnLab Sefinity AIR(Advanced Incident Response)는 보안관제 분야에서 오랜 기간 축적된 안랩의 기술력과 노하우를 집약시킨 보안 오케스트레이션, 자동화를 구현한 대응 플랫폼입니다.

 

 

 

등장 배경

효율적이고 전문적인 대응이 날로 어려워지고 있는 현실로 인해 침해사고 대응의 자동화 및 유기적인 대응 프로세스의 필요성이 증가하고 있습니다.

 

 

 

SOAR 솔루션이란?

2018년 Gartner 정의에 따르면, SOAR는 SOA, SIRP, TIP를 폭넓게 포함하는 개념으로 보안 운영에 있어 유입되는 위협에 대해 대응 레벨을 자동으로 분류하고, 표준화된 업무 프로세스에 따라 사람과 기계가 유기적으로 협력할 수 있도록 지원하는 대응 플랫폼을 말합니다. Gartner에 따르면 " 2020년 말까지 5명 이상의 보안 팀을 보유한 조직의 15%가 오케스트레이션 및 자동화를 위해 SOAR 도구를 활용할 것이며, 현재는 1% 미만" 이기 때문에 앞으로 성장 가능성이 높은 시장으로 주목하고 있습니다.

 

SOAR 솔루션을 활용하면, 수집된 모든 로그 및 이벤트를 바탕으로 위협 인텔리전스와 능동적 탐지를 통해 침해정보와 영향도를 도출하고 이를 개선하기 위한 시스템 변경을 자동화할 수 있습니다.

 

 

 

SOAR 솔루션의 핵심 기능

 

 

- 다양한 솔루션 연동을 통해 대응 프로세스의 효율성을 높여주는 오케스트레이션

- 반복적으로 행해지는 태스크의 자동화

- 체계적인 대응 및 보안 운영 프로세스 구축을 통한 업무 생산성 향상

- 재사용 가능한 플레이북

- 보안 전문가 간의 협업 및 커뮤니케이션

- API 기반의 표준화된 연결 진행으로 효율적인 케이스 처리

 

 

 

특장점

AhnLab Sefinity AIR는 다년간 누적된 자사 위협 대응 프로세스를 플레이북 형태로 표준화하여 처리자의 업무 능력에 따른 품질 차이를 최소화시켜 대응 품질을 일관되게 유지하고, 국내. 외 솔루션과의 연동을 통해 운영 업무의 자동화와 표준화까지 확장할 수 있습니다.

 

 

 

안랩의 보안 운영 및 위협 대응 노하우

- 다년간 누적된 안랩의 위협 대응 시나리오를 기반으로 제작된 다양한 플레이북 제공

- 표준 플레이북 제공 및 고객사 업무에 맞는 플레이북 재생산 가능

 

 

 

다양한 솔루션과의 효율적 연동

- 보안 오케스트레이션 구현을 위한 다양한 3rd Party 솔루션 연동 지원

- 기존 도입된 안랩 보안 솔루션과의 유기적 연동으로 위협 대응의 시너지 향상

 

 

 

머신러닝 기반 분석 모듈 ASA

- 위협 요소 자동 식별 및 식별된 위협에 대한 자동화된 추론

- 유사 위협의 그룹핑, 정오탐 분석 자동화로 분석가의 의사 결정에 도움

* AhnLab Sefinity ASA(Advanced Security Analytics)는 머신러닝 기반 데이터 분석 엔진으로 별도 판매 제품입니다.

 

 

 

주요 기능

AhnLab Sefinity AIR는 표준화된 플레이북 및 자유로운 편집 기능을 제공하며, 다양한 솔루션과의 연동으로 오케스트레이션 개념을 업무에 도입할 수 있습니다. 또한 프로세스 자동화와 머신러닝 기반 분석 모듈을 통해 위협 요소를 자동 식별하고, 식별된 요소로 위협을 추론하여 대응 업무의 효율성을 향상시킬 수 있습니다.

 

 

 

 

오케스트레이션

- 하나의 대응 프로세스에 속해 있는 각 태스크의 조율

- 다양한 솔루션과의 연동

 

 

보안 오케스트레이션은 위협 대응을 위해 개별적으로 운영되던 다양한 보안 제품과 기술을 유기적으로 조정하여 여러 솔루션과 정보를 하나의 화명에서 확인하고 운영할 수 있는 것을 의미합니다. 따라서, 보안 오케스트레이션 기술을 통해 통합 보안 운영의 편의성 증대를 기대할 수 있습니다.

 

 

보안 담당자가 매일 처리하는 보안 운영 업무는 높은 난이도와 신속한 처리를 요구합니다. 일반적인 위협 대응 프로세스에서 각 태스크를 처리하는 방법은 여러 가지가 있습니다. 오케스트레이션은 보안 대응 업무에 최적화된 프로세스를 자동 매칭 및 복잡하고 번거로운 작업 과정을 상호 연결하여 매끄럽게 처리할 수 있도록 해줍니다. 또한 각 단계에서 특정 액션을 자동화하거나 여러 단계를 거치고 채널을 이동하면서 확인 가능한 정보를 하나의 화면에서 즉시 확인할 수 있는 정보의 가시성을 제공합니다. 각 액션의 자동화와 더불어 특정 단계에서 사람의 결정이 필요한 경우 사용자가 직접 선택권을 가지고 결정할 수 있는 선택의 자유를 보장합니다.

 

 

이러한 모든 과정은 보안 제품과 기술뿐만 아니라 사람과의 협업까지도 고려한 개념이기 때문에 결과적으로 기술, 사람, 프로세스를 조율하여 보안 대응 업무의 전반적인 효율성을 향상시킬 수 있습니다.

 

 

자동화

- 빌트인 플레이북 제공 및 플레이북 제작 지원

- 스크립트 엔진을 이용한 액션의 자동화

* 플레이북은 특정 작업 절차에 속한 개별 업무 단위를 선별하고 태스크로 정의하여 태스크 간의 흐름, 처리 시점, 사용자나 시스템의 개입 여부 등을 정의한 표준화된 작업 절차입니다.

* 액션은 사용자가 해당 이슈를 처리하기 위해 취하는 모든 행동을 의미합니다.

 

 

자동화는 작업 프로세스 중 사용자 개입 없이 해결 가능한 태스크를 자동 처리하는 기술입니다. 보안 모니터링이나 SIEM 솔루션을 통해 이미 많은 기업이 일정 부분 자동화를 경험했습니다. 그라나, SOAR 플랫폼에서의 자동화는 탐지 단계뿐만 아니라 모든 단계의 단위 작업에서 반복적으로 처리되던 업무를 자동화할 수 있습니다. 따라서, 사람의 결정이 필요한 분석 및 공격 시나리오 설계와 같이 전략적이고 가치가 높은 일에 집중할 수 있습니다.

 

 

보안 위협은 새로운 기술, 도메인 등이 생겨남에 따라 점점 복잡해지고 방대해지고 있습니다. 업무량 증가에 따라 대용량 데이터를 처리해야 하는 상황에는 누수가 발생할 수 있으며, 이는 결국 보안 사고로 이어질 수 있습니다. 따라서, 중요한 업무에 집중하고 놓치는 위협이 없도록 자동화 환경을 구축하는 것이 중요합니다. 자동화 도입으로 인해 작업자 피로도에 의한 실수나 사고를 예방할 수 있으며, 대용량 데이터 처리가 가능해집니다.

 

 

 

플레이북

플레이북은 특정 작업 절차를 표준화한 것으로 기존의 작업 방법과 비슷해 보이지만, 다른 개념을 가지고 있습니다. 기존의 작업 방법은 상세한 처리 매뉴얼 없이 작업자에게 업무가 할당되기 때문에 작업 우선순위의 판단과 처리 방법을 작업자가 직접 선택해야 합니다. 이러한 선택 과정은 작업자의 역량에 따라 처리 방법과 대응 품질의 차이를 야기시켰습니다. 플레이북은 필요한 정보 선별과 우선순위에 따라 순차적으로 업무를 처리하기 위한 판단을 시스템이 담당하도록 설계되어 있습니다. 따라서, 이벤트 종류에 맞는 처리 방법을 시스템이 선택하여 매칭하고 일관된 프로세스로 작업을 처리할 수 있어 작업자 역량에 따른 대응 품질의 편차를 줄일 수 있습니다.

 

 

플레이북 특장점

 

 

AhnLab Sefinity AIR는 액션과 플레이북 시행 조건을 설정하여 각 기업 환경에 맞는 다양한 플레이북을 설계할 수 있습니다. 따라서, 보안 위협 및 운영뿐만 아니라 프로세스를 가지고 있는 업무를 플레이북으로 표준화하여 시스템 기반으로 처리할 수 있습니다.

 

 

 

케이스 관리

- 대응 내역 및 의사결정에 대한 관리 및 근무자 간의 협업 지원

- 위협 대응, 보안 운영, 업무 요청 및 지원 등 유형별 케이스 생성 및 관리

 

 

 

대시보드

- 공용 및 개인 대시보드 지원

- 공용 대시보드 : 조회 기간 내 선택된 위젯의 정보

- 개인 대시보드 : 계정별 조회 조건 내 수행 내역 정보

 

 

 

 

도입 효과

SOAR(Security Orchestration, Automation and Response) 기술이 적용된 AhnLab Sefinity AIR를 통해 사람에 의해 수동으로 처리되던 단순 반복적인 태스크를 자동화하여 각 케이스에 대한 선별 및 대응을 즉각적으로 수행하고 플레이북 기반의 표준화된 대응 체계로 대응 품질을 상향 평준화할 수 있습니다. 다양한 솔루션 연동으로 통합적이고 유기적인 대응이 실현되어 단순 반복 업무에 대부분 할애되던 업무 시간을 위협 분석과 같은 보다 전문적이고 가치가 높은 업무에 투자할 수 있습니다.

 

 

 

 

제품 사양

 

 

AhnLab Security Map

AhnLab Security Map