SOC 분석가들이 '알림 피로'에 효과적으로 대처하는 방법

This post is also available in: English (영어) 简体中文 (중국어 간체) 繁體中文 (중국어 번체) 日本語 (일어) Português (브라질 포르투갈어)

Palo Alto Networks 설문 조사 데이터에 따르면 SOC 분석가들은 보안 도구에서 생성된 알림 중 14%만을 처리할 수 있습니다. 대부분의 알림이 오탐(false positive)[1]임을 보여주는 IDC 데이터를 고려해 보면 그 결과를 다음과 같이 예측할 수 있습니다. 알림은 무시되고, 분석가는 잘못된 단서를 쫓는 데 시간을 낭비하며, 실제 위협을 놓치고 맙니다.

대다수의 보안 도구는 초기 예방 외에도 알림 생성 및 대응이라는 한 가지 핵심 기능을 수행합니다. 희망적인 가정은 분석가들이 이러한 알림을 토대로 의심스러운 동작을 검토하고 포착할 것이라는 점입니다. 그러나 분석가가 매일 충실도가 낮은 알림 수천 건을 받기 시작하면 이 전략은 빠르게 무용지물이 됩니다.

알림 피로 감소 체크리스트

알림 생성 센서와 시스템을 제거하면 보안 사각지대가 발생하지만 정보가 너무 많으면 정보가 전혀 없는 것과 다를 바 없습니다. 그렇더라도 알림이 필요하며 좀 더 정확한 알림이 필요합니다. 다시 말해, 도구와 프로세스를 고려할 때 다음 개념을 수용해야 합니다.

1. 자동화

첫째, 기업은 자동화를 사용하여 알림 분류 프로세스를 크게 개선할 수 있습니다. Palo Alto Networks는 사전정의 플레이북을 사용하여 대응 작업을 자동화하는 SOAR 기술을 활용하여 모든 Tier 1(알림 분류) 보안 작업을 자동화할 수 있어야 한다고 생각합니다. 알림 분류의 경우, 이러한 작업에는 알림 분석, 알려진 문제인 경우 사례 업데이트, 알려진 문제가 아닌 경우 사례 열기, 알림의 심각도를 분류하여 분석가에게 보내는 작업이 포함됩니다. 이 프로세스를 자동화하면 분석가가 대응해야 하는 알림 수가 크게 줄어 분석가는 귀중한 시간을 로그를 확인하기보다는 문제를 조사하는 데 할애할 수 있습니다.

2. 데이터 연결

둘째, 보안팀은 가시성을 향상시키기 위해 격리된 도구보다 통합 도구를 우선순위에 두어야 합니다. 서로 통신하지 않고 각기 보안 인프라의 특정 부분을 살펴보는 7가지 도구를 사용하는 경우, 이러한 도구는 위협 추적과 조사에 도움이 되는 컨텍스트를 제공할 수 없습니다. 즉, 자체적으로는 양호해 보이는 일련의 작업이 실제로는 시스템에 악의적인 사용자가 있음을 나타내는 순서로 실행되고 있는지 알 수 없을 것입니다. 또는 EPP를 통과한 멀웨어 일부가 방화벽을 통해 차단되었다는 사실을 찾기까지 한 시간이 걸릴 수도 있습니다.

3. 머신 러닝

마지막으로 EDR 도구에는 패턴을 인식하여 학습을 통해 개선이 가능한 머신 러닝 기능이 있어야 합니다. EDR은 데이터 소스에서 가져와 우선순위에 따라 충실도가 높은 특정 알림을 생성하는 알고리즘을 지속적으로 세분화해야 합니다.

Cortex XDR이 제공하는 보다 스마트한 탐지

Cortex XDR은 보안 위협을 식별하는 데 가장 유용한 충실도 높은 최상의 알림 조합뿐 아니라, 조사 및 위협 추적을 위한 풍부한 관련 원격 분석 로그를 제공하는 것으로 입증되었습니다. 이러한 유형의 알림을 통해 기업은 오탐(false positive) 정보의 범람을 차단하므로 분석가들은 실제 위협을 조사하는 데 집중할 수 있습니다.

최근 MITRE ATT&CK를 통해 APT 3 그룹의 실제 공격 에뮬레이션을 사용하는 EDR 도구를 테스트한 결과, Cortex XDR 및 Traps가 엔드포인트 탐지 및 대응 벤더 10개 중 가장 많은 공격 기법을 탐지한 것으로 나타났습니다. 이 평가는 EDR 시장의 실제 기능과 성능에 대한 업계 최초의 객관적인 공개 평가였습니다.