SOC라고도 하는 보안 운영 센터는 보안 인프라, 네트워킹, 애플리케이션, 기업 기기, 조직과 상호 작용하는 기타 기술 또는 서비스 등 조직의 보안 환경을 지속적으로 모니터링하는 조직 내의 중앙 집중식 보안 허브입니다.

보안 운영 센터는 지속적인 모니터링, 위협 분석 및 보안 위협 교정 외에도 기존 보안 이니셔티브를 개선하여 조직의 보안 태세가 가능한 한 강력하고 견고하게 유지되도록 보장해야 합니다.

이러한 이니셔티브를 충족하기 위해 보안 운영 센터는 조직 전반에 걸쳐 존재하는 다양한 데이터 소스에서 데이터를 지속적으로 수집하고 기록하여 보안 운영 팀이 실시간 보안 분석에 사용할 수 있는 실시간 보안 데이터를 제공합니다. 이 과정에서 SOC 팀은 24시간 내내 잠재적인 보안 위협을 관찰, 분석, 교정하고 중요한 보안 위협 정보를 최고 경영진에게 전달합니다.

성공적인 보안 운영 센터의 핵심 구성 요소 중 하나는 SIEM이라고도 하는 보안 정보 및 이벤트 관리 시스템을 사용하는 것입니다. 보안 정보 및 이벤트 관리 시스템은 조직 네트워크 내의 다양한 기기에서 중요한 보안 데이터를 폴링하는 서비스에서 실시간 데이터를 가져오도록 설계되었습니다.

SIEM에서 수집한 데이터는 다양한 방식으로 사용할 수 있습니다. 예를 들어 SIEM에서 수집한 의심스러운 데이터는 의심스럽거나 비정상적인 이벤트에 대한 알림을 생성하는 데 사용할 수 있습니다.

SIEM은 IPS(침입 방지 시스템), IDS(침입 탐지 시스템), 보안 관련 데이터베이스, 데이터 웨어하우스, 데이터에 대한 추가 보안 작업을 수행하는 데 사용되는 TIP(위협 인텔리전스 플랫폼)과 같은 취약점 평가 솔루션에 보안 관련 데이터를 전달하는 데 사용됩니다.

SOC를 갖출 경우의 주요 이점 중 하나는 조직이 이 보안 이니셔티브를 통해 보안 태세를 개선할 수 있다는 것입니다.

보안 운영 센터에 투자하는 조직은 조직 전체를 지속적으로 모니터링하여 네트워크, 기기 및 애플리케이션과 관련된 실시간 데이터를 24시간 연중무휴로 수집할 수 있습니다. 이를 통해 조직에서 사고에서 대응까지 소요되는 시간을 크게 단축하여 공격으로 인한 잠재적 피해를 대폭 완화할 수 있습니다.

강력한 SOC 모델을 채택하는 조직은 악의적인 공격을 조기에 포착하고 잠재적인 사이버 보안 공격의 피해를 줄일 가능성이 훨씬 높습니다.

보안 운영 센터는 인력 부족과 기술 부족이라는 두 가지 주요 장애 요소를 겪고 있습니다.

인력 부족:

오늘날의 역동적인 고용 시장에서 조직은 우수한 인재를 채용하고 유지하는 데 어려움을 겪고 있습니다. 특히 보안 분야는 더욱 그렇습니다. 올해 초에 거의 50만 개의 보안 관련 일자리가 생겨났지만 필요한 역할을 수행할 수 있는 자격을 갖춘 지원자가 충분하지 않아 보안 팀은 계속해서 인력 부족과 업무 과중을 겪고 있습니다.

기술 부족:

기술 부족 또한 보안 업계에 큰 영향을 미치고 있습니다. 인력 풀이 제한되면 조직은 자격이 부족한 지원자를 채용할 수밖에 없습니다. 즉, 고용주는 내부적으로 직원의 역량을 강화하거나 기존 직원(때로는 주변 부서)에 의존하여 추가 업무를 수행해야 합니다.

보안 운영 센터는 오늘날 기술 의존도가 높은 현대 조직에서 위협을 식별하고 억제 전략을 수립하는 역할을 합니다. 위협 억제는 사이버 공격의 리스크를 완화하기 위해 다양한 보안 애플리케이션, 서비스 및 툴을 사용합니다.

각 보안 운영 센터는 보안 환경을 강화하기 위해 각자 다른 보안 툴을 채택합니다. 하지만 대부분의 보안 운영 센터에서 공통적으로 사용하는 보안 애플리케이션, 서비스 및 툴이 몇 가지 있습니다.

동작 모니터링 시스템
최신 보안 운영 센터의 표준 관행인 동작 모니터링은 보안 위협의 징후일 수 있는 이상 현상을 파악할 의도로 다양한 조직 속성을 모니터링하는 프로세스입니다.

동작 모니터링 툴이 분석하는 일반적인 속성은 다음과 같습니다.

• 네트워크 활동
• 의심스러운 다운로드
• 엔드포인트 재부팅
• 정책 위반
• 인바운드/아웃바운드 트래픽의 지리적 위치 진단
• 오류 메시지

엔드포인트 모니터링 시스템
사용자 엔드포인트는 오늘날 사이버 보안 공격에 가장 취약한 대상 중 하나입니다. 안타깝게도 사용자는 악성 e-메일을 열거나 소셜 엔지니어링 공격의 피해자가 되기 쉽습니다. 활성 엔드포인트 모니터링은 오늘날의 보안 운영 센터에서 가장 중요한 요소입니다.

SIEM(보안 정보 및 이벤트 관리)
SIEM(보안 정보 및 이벤트 관리)은 다양한 보안 애플리케이션, 서비스 및 툴에서 실시간 보안 데이터를 수집하고 의심스러운 활동에 대해 알림을 생성하는 역할을 합니다. SIEM은 보안 운영 센터에서 가장 중요한 툴 중 하나이며, 거의 모든 보안 관련 결정의 기준이 되는 중앙 데이터 수집 허브 역할을 합니다.

IDS(침입 탐지 시스템)
IDS(침입 탐지 시스템)는 보안 운영 센터의 또 다른 핵심 구성 요소입니다. IDS는 네트워크를 드나드는 데이터를 모니터링하는 작업을 합니다. IDS의 역할은 조직의 네트워크 내에서 이동하는 잠재적인 보안 위협을 식별하고 플래그를 지정하는 것입니다.

IPS(침입 방지 시스템)
IPS(침입 방지 시스템)는 조직의 네트워크를 통해 수행되는 위협을 완화하는 역할을 한다는 점에서 IDS와 유사합니다. 그러나 보안 운영 팀의 추가 조치를 위해 의심스러운 패킷을 식별하고 플래그를 지정하는 IDS와 달리 IPS는 실시간으로 네트워크에서 의심스러운 패킷을 식별하고 제거합니다.

오늘날 보안 운영 팀의 구조는 모든 조직의 성공에 있어 중요한 역할을 합니다. 보안 운영 팀에 속한 개인에게 역할에 맞는 적절한 교육이 제공되어야 할 뿐만 아니라 팀 전체가 조직의 보안과 무결성을 보장하기 위해 조화로운 방식으로 운영되어야 합니다.

CISO(최고 정보 보안 책임자)

CISO(최고 정보 보안 책임자)는 회사 전체에 영향을 미치는 보안 이니셔티브와 관련하여 개략적인 의사 결정을 내리는 최고 경영진 직책입니다.

CISO는 보안 운영 및 위협 방지 운영에 대한 접근 방식의 일관성을 보장하기 위해 사고 대응 책임자 및 SOC 관리자를 비롯한 보안 운영 센터 리더십에게 전달되는 보안 관련 전략 및 운영을 수립합니다.

수석 보안 관리자

수석 보안 관리자는 SOC 팀의 모든 운영을 감독하고 심각한 보안 위협이 발생할 경우 팀이 운영하고 대응하는 방법에 대한 개략적인 지침을 제공합니다. 또한 수석 보안 관리자는 CISO(최고 정보 보안 책임자)와 함께 지침에 대해 소통하여 심각한 보안 문제에 관한 정보를 전달하는 역할을 합니다.

사고 대응 담당자

사고 대응 담당자는 보안 모니터링 툴의 구성 및 관리와 더불어 식별된 사이버 위협에 대한 보고를 담당합니다. 이 역할은 매일 발생하는 수백 건의 보안 위협을 감독하며 잠재적인 보안 위협을 처리하는 방법에 대한 실시간 의사 결정을 내립니다.

SOC 애널리스트

SOC 애널리스트는 보안 이벤트를 모니터링하고 L2/L3 보안 분석가의 알림을 분류합니다. 또한 모든 의심스러운 활동을 조사하고 알림에 대응합니다.

VMware는 보안 운영 센터의 현대화를 지원하는 보안 솔루션 제품군을 제공합니다. VMware과 함께하면 확신을 가지고 빠르고 정확하게 대응을 확장할 수 있습니다. VMware는 동급 최고의 플랫폼을 통해 즉시 사용 가능한 운영 신뢰성을 제공하고 문제 해결 시간을 단축합니다.