Texture Side Right Yellow 03

SIEM은 무엇이며 어떻게 작동하나요?

SIEM이란 보안 정보 및 이벤트 관리를 의미하며 조직에 차세대 탐지, 분석 및 대응 방안을 제공합니다. SIEM 소프트웨어는 보안 정보 관리(SIM)와 보안 이벤트 관리(SEM)를 결합하여, 애플리케이션 및 네트워크 하드웨어에 의해 생성되는 보안 경보에 대한 실시간 분석을 제공합니다. SIEM 소프트웨어는 이벤트를 규칙 및 분석 엔진과 대조하며, 전 세계에서 수집된 인텔리전스를 이용하여 1초 이내의 빠른 검색으로 지능형 위협을 탐지 및 분석할 수 있도록 이벤트를 인덱싱합니다. 데이터 분석, 이벤트 상관관계, 데이터 수집, 리포팅 및 로그 관리를 제공함으로써 보안 팀들은 해당 IT 환경에서 일어나는 활동에 대한 인사이트를 가질 수 있고 과거 활동을 추적할 수 있는 기록 정보가 확인 가능합니다.

SIEM 소프트웨어는 다음과 같은 여러 가지 기능과 이점이 있습니다.

  • 다수의 데이터 포인트 통합
  • 맞춤형 대시보드와 경보 워크플로우 관리 
  • 다른 제품과의 통합

SIEM은 어떻게 기능하나요?

SIEM 소프트웨어는 조직 애플리케이션, 보안 장치와 호스트 시스템에 의해 생성되는 로그 및 이벤트 데이터를 수집하고, 그 데이터를 하나의 중앙 집중식 플랫폼으로 통합하는 방식으로 기능합니다. SIEM은 안티바이러스 이벤트, 방화벽 로그 및 기타 위치로부터 데이터를 수집하고, 이 데이터를 카테고리(예: 멀웨어 활동, 로그인 실패와 성공)에 따라 분류합니다. SIEM이 네트워크 보안 모니터링을 통해 위협을 식별할 때 경보를 생성하고 사전에 정해진 규칙을 바탕으로 위협 수준을 정의합니다. 예를 들어, 누군가 어떤 계정에 로그인을 10분 동안 10회 시도하는 것은 괜찮지만, 10분 동안 100회 시도를 한다면 이것은 공격 시도를 암시할 수 있습니다. 이러한 방식으로 위협을 탐지하고 보안 경보를 생성합니다. SIEM의 맞춤형 대시보드 및 이벤트 관리 시스템을 통해 조사 효율성을 제고하고 위양성(false positive)으로 인한 시간 낭비를 줄일 수 있습니다.

SIEM 역량 및 애플리케이션

SIEM과의 연동을 하게 되면 포괄적인 보호 기능으로의 확장이 가능합니다. 또한 하나의 대시보드로 통합됨으로써 보다 쉽고 효율적으로 관리할 수 있습니다. SIEM은 디바이스 및 앱이 사용되는 전체 네트워크에 대한 가시성을 제공하여 조직 전반에 대한 보안을 가능하게 합니다.

이 소프트웨어를 통해 보안 팀은 공격자 전술에 대한 통찰, 기술과 절차(TTP), 파악된 침해 지표(IOC)에서 얻은 위협 규칙을 통해 공격자를 분석할 수 있습니다. 이를 위해 이 소프트웨어는 위협 탐지를 보완하는 여러 위협 인텔리전스 피드(잠재 및 현재 위협에 대해 정리되고 분석된 정보)를 사용합니다.

위협 탐지 요소 자체가 이메일, 클라우드 리소스, 애플리케이션, 외부 위협 인텔리전스 출처 및 엔드포인트에서 위협을 탐지하는 것을 도울 수 있습니다. 여기에는 위협을 암시할 수 있는 비정상적인 행동을 모니터링하기 위해 행동과 활동을 분석하는 사용자 및 조직체 행동 분석(UEBA)이 포함됩니다. 또한 이상 행동, 내부망 내 이동과 침해 계정을 탐지할 수 있습니다.

이것은 데이터에서 이상 징후를 탐지하여 이전에 파악되지 않은 위협에 대해 추적 정보를 알리는 보안 분석 구성 요소와 유사합니다.

관리되는 규칙 구성 요소를 통해 조직들은 분석가들로부터 실시간에 가까운 업데이트를 받아 최신 공격 기법에 거의 실시간으로 대응할 수 있습니다.

SIEM이 위협, 취약점, 공격 또는 의심스러운 행동이라 판단하면 즉각적인 대응을 위해 조직의 보안 팀에 경보를 생성합니다. 소프트웨어의 일부 버전에는 수행할 검색 작업 및 업무 가이드를 안내하도록 자동 생성된 단계별 조사 지침을 통해 조사 활동을 가속화하기 위한 워크플로우 및 사례 관리가 포함되어 있습니다. SIEM 경보는 또한 사용자의 필요에 맞게 맞춤화할 수 있습니다.

로그 관리는 다음의 세 가지 주요 영역으로 구성된 SIEM의 복잡한 구성 요소입니다.

  1. 데이터 집계: 다양한 애플리케이션과 데이터베이스에서 대량의 데이터를 한 곳으로 수집.
  2. 데이터 표준화: SIEM은 모든 상이한 데이터를 비교하고 상관관계를 파악하며 분석할 수 있습니다.
  3. 데이터 분석/보안 이벤트 상관관계: 데이터 침해, 위협, 공격 또는 취약점의 잠재적 징후를 파악.

SIEM은 또한 컴플라이언스와 경보 보고를 지원합니다. 이는 조직들이 데이터 대시보드를 사용하여 컴플라이언스 리포팅을 간소화함으로써 이벤트 정보를 유지 및 정리하고 허용된 사용자 액세스를 모니터링하는 것을 도와줍니다. 대부분의 산업 및 정부 규정(HIPAA 포함)은 어느 정도의 로그 컴파일과 표준화를 요구하고, 보고는 모든 곳에서 요구되기 때문에 이것이 중요한 것입니다.

일부 SIEM 솔루션(예: FireEye)은 클라우드 기반입니다.

 

SIEM 사용 사례

SIEM은 내외부 위협의 탐지 및 방지는 물론 다양한 법적 기준 컴플라이언스를 포함하여 현대의 위협 환경에서 많은 사용 사례가 있습니다.

컴플라이언스 관련 SIEM 사용

보다 엄격해진 컴플라이언스 규정으로 인해 기업은 IT 보안에 대한 투자 증대 압박을 받고 있는 가운데 SIEM은 조직이 PCI DSS, GDPR, HIPAA, SOX 표준을 준수하는 데 도움을 주는 중요한 역할을 하고 있습니다. 이러한 컴플라이언스 의무는 일반화되어 침해의 탐지와 보고에 대한 중요성을 높이고 있습니다. SIEM은 초기에 대형 기업들이 사용했지만, 컴플라이언스와 회사 보안 유지에 대한 중요성이 높아지면서 GDPR 등의 규정은 규모에 상관없이 적용되기 때문에 중소기업도 SIEM이 필요할 수 있습니다.

IoT 보안

사물 인터넷(IoT) 시장이 성장하고 있습니다. 가트너는 2020년까지 약 260억 개의 장치가 인터넷에 연결될 것이라고 예측하였습니다. 하지만 연결된 장치가 늘어날수록 기업에 침입할 수 있는 진입점이 많아지면서 발전과 함께 그에 따른 위험이 수반됩니다. 왜냐하면 해커가 연결된 장치를 통해 네트워크의 한 부분으로 들어가는 순간 그 나머지 부분에 아주 쉽게 접근할 수 있기 때문입니다. 대부분의 IoT 솔루션 벤더들은 SIEM 솔루션에 쉽게 통합될 수 있는 API와 외부 데이터 저장공간을 제공합니다. 이것은 고객 환경의 일부로 DoS 공격과 같은 IoT 위협을 완화하고 위험이 있거나 침해된 장치를 표시해줄 수 있기 때문에 SIEM 소프트웨어는 기업의 사이버 보안에 있어 필수적인 부분이 됩니다.

내부자 위협 방지

외부 위협만이 조직을 취약하게 만드는 것이 아닙니다. 내부자 위협의 경우 특히 액세스가 용이한 점을 고려하면 이 또한 상당한 위험을 야기시키게 됩니다. SIEM 소프트웨어를 통해 조직의 임직원들의 행동 이력들을 지속적으로 모니터링하고 ‘정상적인’ 활동을 기준으로 불규칙적인 이벤트에 대한 경보를 생성할 수 있습니다. 기업들은 또한 SIEM을 사용하여 특권 계정에 세분화된 모니터링을 수행하고, 소프트웨어 설치 또는 보안 소프트웨어 비활성화처럼 특정 사용자가 수행해서는 안 되는 행동과 관련된 경보를 생성할 수 있습니다.

차세대 SIEM과 기존 SIEM 비교

SIEM은 2005년부터 사용되어 왔지만 그 이후로 상당한 발전이 있었습니다. 차세대 SIEM은 그 이전의 버전들 대비 많은 업그레이드를 거쳤고 상당 부분이 개선되었으며 새로운 기능들을 갖추고 있습니다. 기존 SIEM의 한계는 다음과 같습니다.

  • SIEM은 모든 관련 데이터를 처리하지 못해서 볼 수 있는 범위가 제한적이었습니다.
  • SIEM은 소프트웨어 운영이 복잡하고 어려워 유지하는 데 많은 시간이 소요되었습니다.
  • SIEM은 소프트웨어의 위양성률이 높아서 보안 팀이 시간이 많이 걸리는 작업을 수행해야 했습니다. 

기술이 발전함에 따라 공격 또한 진화하였고 SIEM은 이와 함께 발전해 나가야 했습니다. FireEye와 같은 차세대 소프트웨어는 다음의 역량과 이점이 있습니다.

  • 개방적인 ‘빅 데이터 아키텍처’는 확장 가능하며 클라우드, 온사이트, BYOD를 비롯한 기업 인프라와의 빠른 통합을 가능하게 합니다. 
  • SIEM은 또한 맞춤형, 오픈 소스 및 구매를 통한 다양한 출처로부터의 위협 인텔리전스를 통합할 수 있습니다. 
  • 실시간 시각화 툴은 가장 중요한 고위험 활동을 구분하여 경보의 우선순위를 정합니다. 또한 위험 우선순위 지정 및 관리를 위해 규제 프레임워크(예: PCI DSS)와 비교하여 상태를 평가할 수 있습니다. 
  • 행동 분석 정보는 이벤트 컨텍스트를 이해하고 특정 시나리오에 대한 의도를 파악할 수 있습니다. 해당 사용자 및 조직체 행동 분석(UEBA)을 사용하면, 이 소프트웨어는 사용자 행동에 대한 큰 변화를 보여줄 수 있습니다. 
  • 차세대 SIEM은 또한 보안 팀들이 각자의 고유한 상황에 딱 맞는 워크플로우를 구축할 수 있도록 맞춤화할 수 있습니다.

SIEM 보안 솔루션을 최대한으로 활용하는 방법

전통적인 보안 운영 센터의 경우, 전 세계 사이버 보안 팀에서 따르는 침해 사고 대응 프로세스가 일반적인 표준에 해당하며 여기에는 많은 시간이 소요될 수 있습니다. SOAR는 워크플로우를 자동화하며 위협 유효성 확인, 조사 및 대응을 가속화하여 프로세스의 큰 부분들을 자동화함으로써 대응 시간을 줄여주면서 보안 팀이 실제 위협의 우선순위를 정하는 것을 도와줍니다. 이는 침해 사고 대응의 초기 단계를 자동적으로 수행하기 위해 다른 보안 기술과 상호작용하면서 이루어집니다.

UEBA는 또한 인간과 네트워크 내 시스템의 행동을 모두 모델링하여 지능형 위협 탐지를 제공함으로써 SIEM이 제공할 수 있는 기능에서 중요한 역할을 합니다.

Helix 보안 플랫폼

FireEye의 클라우드에서 호스팅되는 보안 운영 플랫폼인 Helix 보안 플랫폼은 SOAR, UEBA 및 기타 기능을 통합하여 이를 차세대 SIEM으로 강화함으로써 효율적이고 쉽게 구현 가능한 보안 솔루션을 제공합니다.

Helix와 제공하는 기능에 대해 자세히 알아보십시오.