그동안 SIEM은 다루기 힘들고 관리가 어려운 데다가 처음 약속했던 바를 다 지키지 못한다는 부정적인 평가를 받았습니다. Illuminate 컨퍼런스에서 진행한 프레젠테이션에서 저는 Sumo Logic이 로그 분석과 SIEM을 전체적으로 현대화하기 위해 어떤 노력을 하고 있는지 말씀드렸습니다.
오늘날 전반적인 기술 발전은 가속화되고 있지만 보안은 항상 그보다 한 발짝 뒤처지는 것처럼 보입니다. Sumo Logic은 이 문제에 정면으로 대응합니다.
우리가 직면하고 있는 과제를 더 면밀하게 이해하기 위해 먼저 이 주제를 세 가지 영역으로 나누고, 각 영역에서 클라우드와 최신 기술의 고유한 보안 요구 사항을 충족하기 위해 Sumo Logic이 어떤 조치를 취하고 있는지 알려드리겠습니다.
데이터 문제
오늘날 우리가 목격하고 있는 머신 데이터의 폭증을 예측한 사람은 아무도 없었을 것입니다. 기술이 우리의 비즈니스와 일상에 스며들면서 데이터의 양은 폭발적으로 증가하고 있습니다.
"데이터를 생성하는 속도가 데이터를 분석하는 능력을 빠르게 앞지르고 있습니다. 중요한 건 이러한 대규모 데이터 흐름을 '부담'에서 '강점'으로 바꾸는 것입니다."
Patrick Wolfe 교수
University College of London Big Data Institute 이사
우리는 제가 '수익 감소의 데이터 수집 법칙'이라고 부르는 현상을 경험하고 있습니다. 즉, 데이터를 더 많이 수집할수록 비용이 더 많이 들고 데이터로부터 가치를 창출하기가 더 어려워진다는 뜻입니다.
Sumo Logic이 데이터 문제를 해결하는 방법
Sumo Logic은 클라우드를 활용하는 동시에 비즈니스 비용을 정당화할 수 있는 가치 중심의 접근 방식을 취하고 있습니다.
이 접근 방식은 두 가지 방향으로 실행됩니다.
- 데이터의 민주화
Sumo Logic은 고객이 비용을 지불하는 이 데이터 저장소의 교차 기능성을 보장합니다. 즉, 서로 다른 시스템 소유자와 이해관계자들이 모두 이 데이터에 쉽게 액세스할 수 있도록 합니다. 더 많은 사람들이 데이터를 사용하고 인텔리전스를 얻을수록 데이터의 가치는 더욱 커지게 됩니다. - 혁신적인 가격 모델
모든 데이터가 같은 가치를 지닌 것은 아니며, 디버그 로그에 대해서는 컴플라이언스 로그, 보안 로그, 운영 로그과 동일한 비용을 지불하지 않아도 됩니다. Sumo Logic은 데이터가 저장되는 방식에 대해 매우 유연합니다. 고객은 다양한 데이터 유형에 대해 크레딧을 사용할 수도 있고 다른 가격대에서 다른 방식으로 저장할 수도 있습니다.
또한 클라우드의 이점으로서 제공되는 EOS(규모의 경제)도 함께 활용하며, 이러한 절감 효과를 고객에게도 제공할 수 있다고 믿습니다. 우리의 목표는 기존의 자본 비용 모델에서 데이터에 관해 더 효율적인 운영 방법인 운영 비용 모델로 더 쉽게 이전하도록 돕는 것입니다.
알림(Alert) 문제
많은 디펜더 프로그램이 쏟아지는 알림(Alert)으로 인해 곤란을 겪는데, 이중 대부분은 사실 허위 양성(false positive) 알림(Alert)에 해당합니다. 또한 이러한 알림(Alert)에는 비즈니스와 위험에 대한 배경 정보가 부족한 경우가 많습니다. 따라서 알림(Alert)이 올바르게 생성된 경우에도 데이터 분석가는 각 보안 이벤트가 미칠 수 있는 영향을 파악하기 위해 많은 작업을 수행해야 합니다. 또한 스택을 최신화할수록 알림(Alert)의 수가 계속 늘어납니다.
Sumo Logic이 알림(Alert) 문제를 해결하는 방법
최신 SIEM은 애플리케이션과 인프라를 클라우드, 컨테이너 및 마이크로서비스로 현대화할 때 그에 뒤처지지 않고 따라가야 합니다. 따라서 최소한 모든 주요 클라우드 서비스 공급업체를 지원하는 콘텐츠가 필요합니다. 그 외에도 각 플랫폼 내에서 수십 개의 서비스 또는 기능을 활용할 수 있도록 즉시 사용 가능한 콘텐츠가 있어야 합니다.
또 한 가지 짚어 볼 점은 해당 솔루션이 클라우드 솔루션에서만 얻을 수 있는 글로벌 인텔리전스를 활용하는지 여부입니다. Sumo Logic은 전 세계 수천 명의 고객들이 받는 수많은 알림(Alert)을 보아왔기 때문에 고객의 보안 상황을 다른 고객들과 비교하여 인사이트를 제공할 수 있습니다. 흔히 볼 수 없는 위협이 발견되었나요? Sumo Logic은 고객이 별도의 비용 없이 위협 인텔리전스를 즉시 사용할 수 있도록 CrowdStrike와 협력하고 있습니다.
너무 많은 알림(Alert)으로 인한 피로라는 큰 문제는 여전히 남아 있습니다. 대부분의 분석가는 번아웃이나 회전의자 증후군에 익숙한데, 이는 매우 심각한 문제입니다. 전 NSA 부국장인 Bill Crowell은 다음과 같이 설명했습니다.
사이버 방어는 공격을 막기 위해 함께 작동하는 통합 툴 세트를 보유하는 것을 의미합니다. 그런데 현재 업계 상황은 빛의 점만 수천 개 있고 빛은 전혀 없는 것과 같습니다.
Sumo Logic은 상관 관계와 알림(Alert)에 대한 기존의 접근 방식을 재고해야 한다는 점을 인식하고 있습니다. 알림(Alert)과 인사이트의 정확도가 아주 높아야 하며, Sumo Logic은 바로 이러한 서비스를 제공합니다.
Sumo Logic은 Cloud SIEM Enterprise 플랫폼을 통해 자동화된 알림(Alert)을 줄이고, 높은 정확도의 인사이트와 조사를 위한 배경 정보를 제공할 수 있습니다. 어떻게 가능할까요?
엔티티 중심 관점
엔티티는 사용자일 수도 있고 시스템일 수 있습니다. 그러나 어떤 경우에서든 SIEM은 엔티티 수준에서 데이터를 집계할 수 있을 만큼 충분히 지능적이어야 합니다. 이렇게 하면 분석가가 알림(Alert)을 열 때 빛의 작은 점을 보는 것이 아니라 특정 엔티티에 발생하는 일에 대한 더 넓은 그림을 볼 수 있습니다.
MITRE 공격 단계에 대한 신호 오버레이
Sumo Logic은 MITRE 공격 라이프사이클의 업계 프레임워크를 기준으로 모든 신호를 해당하는 공격 단계에 대해 오버레이합니다. 분석가는 쿼리 및 조사 없이도 여러 신호와 해당 신호가 속한 상태를 즉시 확인할 수 있습니다.
공격자 체류 시간 제공
또한 공격자 체류 시간(dwell time)을 제공할 수 있습니다. 분석가는 여러 주에 해당하는 기간을 돌아볼 수 있으며 Cloud SIEM Enterprise는 시스템에 대해 알고 있는 모든 정보와 관련 보안 이벤트를 한눈에 보여줄 수 있습니다.
다음은 Sumo Logic Cloud SIEM Enterprise 플랫폼에 대한 간략한 설명입니다. 정식 데모를 요청해서 확인하실 것을 적극 권장해 드립니다.
전문 인력 필요
일반적으로 보안 및 기술 전문 인력은 크게 부족하며 모니터링하는 자산이 점점 더 정교해짐에 따라 이러한 현상은 더욱 악화되고 있습니다. 전문성이 높은 분석가는 새로운 지식도 풍부하고 다방면에 걸쳐 여러 전문 기술을 보유하고 있을 것으로 기대됩니다. 기업 환경을 모니터링하고 보호하기 위해 시장에 출시되는 툴 또한 점점 더 복잡해지고 있습니다.
연구 결과에 따르면 SecOps 팀의 75%가 매일 발생하는 모든 알림(Alert)을 해결하기 위해서는 분석가를 3명 이상 고용해야 한다고 답했습니다.
앞서 언급한 모든 접근 방법이 이러한 문제를 해결하는 데 도움이 될 수 있습니다. 데이터를 민주화한 다음, 모두가 높은 정확도의 알림(Alert)과 인사이트를 통해 동일한 데이터 저장소를 볼 수 있다면, 서로 다른 팀의 구성원 모두가 동일한 데이터를 활용하고 가치를 창출할 수 있습니다. Sumo Logic이 제공하는 것은 단순한 툴이 아니며, 팀원들이 분류하여 처리할 시간이 없는 알림(Alert)의 소스도 아닙니다.
Sumo Logic은 기존 로그 분석 및 SIEM을 SaaS 및 클라우드 컴퓨팅의 세계로 가져오는 것을 목표로 시작했습니다. 이제 거의 모든 주요 SIEM 공급업체 또는 로그 분석 플랫폼이 로그 관리를 위해서는 이와 같은 방향이 올바른 미래라고 인식하고 있습니다.
Complete visibility for DevSecOps
Reduce downtime and move from reactive to proactive monitoring.
