보안 분석 속도와 효율 높이는 ‘IBM 시큐리티 큐레이더 스위트’

클라우드 전환이 빠르게 진행되면서 기업들의 공격 표면은 나날이 확장되고 있으며, 이렇게 확장된 공격 표면을 노리는 사이버 공격 또한 기승을 부리고 있다. 또한 이런 사이버 공격은 날이 갈수록 지능화돼, 보안 탐지를 우회하고, 복합적으로 이뤄지는 공격을 통해 원래 목표를 감추는 등 지능화, 악성화 되고 있다. 또한 이제는 서비스형 공격 툴이나 DIY 툴킷 등을 통해 누구나 쉽게 공격할 수 있는 환경이 조성되면서, 공격 빈도 또한 높아지고 있다는 것 또한 문제다.

더구나 공격자들이 공격에 소요되는 시간은 지속적으로 감소하는 추세인 반면 기업의 80%는 보안 상태를 관리하기 위해 10개 이상의 서로 다른 솔루션을 사용하고 있으며, 이런 복잡성의 증가로 보안 환경의 52%는 지난 2년 동안 관리하기가 점점 더 어려워지고 있다.

이처럼 공격 표면은 증가하고 공격 타임라인은 짧아지고 있기 때문에 제한된 리소스를 사용하는 보안 팀이 성공적으로 업무를 수행하려면 속도와 효율성이 반드시 필요하다. 따라서 보안 분석가의 생산성을 극대화하고 공격의 각 단계에서 대응 속도를 높이기 위해, 현대화된 단일 사용자 경험을 중심으로 정교한 AI와 자동화 기능이 적용된 새로운 보안 솔루션이 필요하다.



보안 분석가 경험 통합해 효율 높이는 보안 솔루션

IBM은 인시던트 라이프사이클(Incident life cycle) 전체에서 보안 분석가 경험을 통합하고 향상하는 ‘IBM 시큐리티 큐레이더 스위트(IBM Security QRadar Suite)’는 주요 위협 탐지, 조사와 대응 기술을 포괄하는 솔루션이다.

SaaS 방식으로 제공되는 IBM 시큐리티 큐레이터 스위트는 하이브리드 클라우드를 위해 설계된 개방형 모델을 기반으로 한다. 모든 제품에 현대화된 단일 사용자 인터페이스를 적용했으며 첨단 인공지능과 자동화 기능이 내장돼, 분석가의 작업 속도, 효율성, 정확성을 향상시킨다.

이 솔루션에는 엔드 포인트 탐지 및 대응(EDR), 확장 탐지 및 대응(XDR), 보안 정보와 이벤트 관리(SIEM), 보안 오케스트레이션, 자동화와 대응(SOAR) 그리고 새롭게 클라우드 네이티브 로그 관리 기능이 추가됐다.


앞으로의 현대화된 보안 운영이 기존의 기술 중심이 아닌 분석가 중심으로 변화할 것으로 기대되는 가운데, 큐레이더 스위트는 통합 분석가 경험을 향상시키기 위해 노력했다. 수백 명의 실제 사용자와의 협업을 통해 탄생한 큐레이더 스위트는 모든 제품군에 현대화된 공통 UI가 적용돼, 공격 단계 전체에 걸쳐 분석가 속도와 효율성이 대폭 향상됐다. 또, 엔터프라이즈급 AI와 자동화 기능이 적용돼, 첫 해 동안 평균적으로 위협 조사와 분류 속도를 평균 55% 향상하는 것으로 입증됐다.

AWS에서 서비스형으로 제공되는 큐레이더 스위트 제품은 여러 클라우드 환경과 데이터 소스에 걸쳐 배포 간소화, 가시성, 통합을 지원한다. 효율적인 데이터 수집, 빠른 검색, 규모에 따른 분석에 최적화된 새로운 클라우드 네이티브 로그 관리 기능 또한 제공한다.

새로운 로그 인사이츠 솔루션을 사용하면 연합 검색 기능을 활용해 실시간에 가까운 조사가 가능한 대용량 쿼리에 대한 초 단위 검색 결과를 얻을 수도 있다.

표준이나 에코시스템을 사용해 상황에 맞게 구축할 수 있는 유연성을 제공하는 것 또한 특징적이다. 큐레이더 스위트는 이외에도 위협 탐지, 조사와 대응에 필요한 핵심 기술을 통합, 개방형 모델과 광범위한 파트너 생태계 그리고 IBM과 타사 제품간 상호운용성을 구현하는 900개 이상의 사전 구축된 통합 기능을 기반으로 구축됐다.

IBM은 큐레이더 스위트 내 주요 제품들을 서비스형으로 바로 서비스하고 있으며 새로운 통합 분석가 경험으로 업그레이드된 기능을 기반으로, 기존 큐레이더 제품을 확장 가능하다.

EDR, SIEM, SOAR, 로그인사이츠 등 탄탄한 구성

큐레이더 스위트는 ‘큐레이더 EDR’, ‘큐레이더 로그인사이츠’, ‘큐레이더 SIEM’, ‘큐레이더 SOAR’ 등으로 구성돼 있다.


큐레이더 EDR은 자동화와 수백 개에 달하는 기계 학습과 행동 모델을 사용해 거의 실시간으로 이상 징후를 감지하고 공격에 대응해, 이전에는 알려지지 않았던 제로데이 위협으로부터 엔드포인트를 보호한다. 외부에서 운영체제를 모니터링하는 고유한 접근 방식을 사용함으로써 공격자의 조작이나 간섭을 피할 수 있다.

큐레이더 로그인사이츠는 클라우드 네이티브 로그 관리와 보안 모니터링 솔루션으로, 데이터 수집을 간소화하고 신속한 검색, 조사, 시각화를 제공한다. 분석가들은 탄력적인 보안 데이터 레이크를 사용해 수 테라바이트에 달하는 데이터를 더 빠른 속도와 높은 효율로 분석할 수 있다.

큐레이더 SIEM은 광범위한 보안 운영 툴세트와 함께 공유된 통찰력과 워크플로우를 제공하는 새로운 유니파이드 분석 인터페이스를 제공하면서 AWS 환경에서 서비스 형태로 제공된다. AI나 네트워크, 사용자 행동 분석을 실제 위협 인텔리전스와 함께 사용함으로써, 보다 정확하고 상황에 맞는 우선 순위가 부여된 경고를 제공할 수 있다.

큐레이더 SOAR는 조직이 사고 대응 워크플로우를 자동화, 오케스트레이션할 수 있도록, 특정 프로세스에 대해 일관되고 최적화, 계측 가능한 방식으로 지원한다.

큐레이더 스위트에 사용된 수십 가지의 첨단 AI와 자동화 기능은 실제 사용자와 데이터를 활용해 오랜 기간 동안 개선됐다. 이런 활동에는 IBM 매니지드 시큐리티 서비스(IBM Managed Security Service)와 400곳 이상의 고객사 간의 협력도 포함된다.

통합된 분석가 경험을 통해 이러한 기능들을 함께 활용하는 큐레이더 스위트는 위협 환경을 자동으로 파악해 우선순위를 지정하고, 시각적으로 데이터를 형상화하며, 제품 간 공유된 인사이트와 자동화된 워크플로우를 제공한다. 이런 접근법을 따르면 위협을 조사하고 대응하는 데 필요한 단계와 선별 과정의 수를 대폭 줄일 수 있다.

데이터 17 클라우드 23 IBM 2 보안 16 클라우드 보안 3 SECaaS 3 큐레이더 1 SOAR 1 보안 운영 1 보안 분석 1