제품소개
AhnLab SOAR는 보안관제 분야에서 오랜 기간 축적된 안랩의 기술력과 노하우를 집약시킨
보안 오케스트레이션, 자동화를 구현한 대응 플랫폼입니다.
등장배경
효율적이고 전문적인 대응이 날로 어려워지고 있는 현실로 인해 침해사고 대응의 자동화 및 유기적인 대응 프로세스의 필요성이 증가하고 있습니다.

Security Orchestration, Automation and Response
- 증가하는 이벤트
- 부족한 시간 및 자원, 효율적인 분석 방안 부재, 단순 반복적인 소모성 업무 증가
- 전문인력부족
- 전문 보안 인력 및 기술력 부족, 개인 능력에 따른 위협 판단, 조치 방안 적용 플랫폼 부재, 불규칙한 대응 품질
- 보안장비 증가
- 신규 보안 솔루션의 증가, 기존 시스템과의 유기적 통합 운영 부재, 관리 포인트의 증가
- 업무 프로세스 부재
- 현실적인 대응 매뉴얼 부재, 다양하고 정교해지는 공격, 대응 우선순위 식별
SOAR 솔루션이란?
2018년 Gartner 정의에 따르면, SOAR는 SOA, SIRP, TIP를 폭넓게 포함하는 개념으로 보안 운영에 있어 유입되는 위협에 대해 대응 레벨을 자동으로 분류하고, 표준화된 업무 프로세스에 따라 사람과 기계가 유기적으로 협력할 수 있도록 지원하는 대응 플랫폼을 말합니다.
Gartner에 따르면 "2020 년 말까지 5 명 이상의 보안 팀을 보유한 조직의 15 %가 오케스트레이션 및 자동화를 위해 SOAR 도구를 활용할 것이며, 현재는 1 % 미만"이기 때문에 앞으로 성장 가능성이 높은 시장으로 주목하고 있습니다.
SOAR 솔루션을 활용하면, 수집된 모든 로그 및 이벤트를 바탕으로 위협 인텔리전스와 능동적 탐지를 통해 침해정보와 영향도를 도출하고 이를 개선하기 위한 시스템 변경을 자동화할 수 있습니다.
SOAR 솔루션의 핵심 기능

SOAR = SOA + SIRP + TIP
- Security, Orchestration and Automation
- Security, Incident, Response, platforms
- Threatm, Intelligence, Platforms
- - 다양한 솔루션 연동을 통해 대응 프로세스의 효율성을 높여주는
오케스트레이션
- - 반복적으로 행해지는 태스크의 자동화
- - 체계적인 대응 및 보안운영 프로세스 구축을 통한 업무 생산성 향상
- - 재사용 가능한 플레이북
- - 보안 전문가간의 협업 및 커뮤니케이션
- - API 기반의 표준화된 연결 진행으로 효율적인 케이스 처리
AhnLab SOAR는 SOAR 솔루션의 핵심 기능을 구현한 제품으로
제품 도입 시 다음과 같은 이점이 있습니다.
AhnLab SOAR 특장점
AhnLab SOAR는 다년간 누적된 자사 위협 대응 프로세스를 플레이북 형태로 표준화하여 처리자의 업무 능력에 따른 품질 차이를 최소화시켜 대응 품질을 일관되게 유지하고, 국내외 솔루션과의 연동을 통해 운영 업무의 자동화와 표준화까지 확장할 수 있습니다.

- 안랩의 보안 운영 및 위협 대응 노하우
- 다년간 누적된 안랩의 위협 대응 시나리오를 기반으로 제작된 다양한 플레이북 제공
- 표준 플레이북 제공 및 고객사 업무에 맞는 플레이북 재생산 가능
- 기존 도입된 안랩 보안 솔루션과의 유기적 연동으로 위협 대응의 시너지 향상
- 다양한 솔루션과의 효율적 연동
- 보안 오케스트레이션 구현을 위한 다양한 3rd Party 연동 지원
- 머신러닝 기반 분석 모듈 ASA
- 위협 요소 자동 식별 및 식별된 위협에 대한 자동화된 추론
- 유사 위협의 그룹핑, 정오탐 분석 자동화로 분석가의 의사 결정에 도움
사용환경
구분
|
권장 사양
|
OS
|
Linux CentOS 7 이상
|
지원 브라우저
|
Chrome
|
CPU
|
Intel Xeon CPU E5-2630 x 2 이상
|
RAM
|
128 GB 이상
|
인터페이스
|
10/100/1000 Base-T x 2
|
RAID
|
기본 구성(RAID 5)
|
HDD 용량
|
기본형 2 TB(2 TB x 2) 이상
|
* 시스템 권장 사양은 고객사의 환경에 따라 달라질 수 있으므로 자세한 내용은 담당자와 개별 상담을 권장합니다.
주요기능
AhnLab SOAR는 표준화된 플레이북 및 자유로운 편집 기능을 제공하며, 다양한 솔루션과의 연동으로 오케스트레이션 개념을 업무에 도입할 수 있습니다. 또한 프로세스 자동화와 머신러닝 기반 분석 모듈을 통해 위협 요소를 자동 식별하고, 식별된 요소로 위협을 추론하여 대응 업무의 효율성을 향상시킬 수 있습니다.

AhnLab SOAR
- 오케스트레이션
- 다양한 솔루션과의 연동(보안, 비보안)
- 양방향 통합(Push/Pull)
- 손쉬운 사용성
- 사고 대응 및 협업
- 케이스 관리
- 대응 전문가와 분석가 사이의 협업
- 대응 내역과 의사결정 기록 및 관리
- 자동화
- 조직 내 업무 프로세스 자동화
- 플레이북 제작 지원
- 표준 대응 절차 제공
- 대시보드 및 리포팅
- 대응 활동에 대한 보고 지표
- 의사결정 지원
주요기능
오케스트레이션

- • 하나의 대응 프로세스에 속해 있는 각 태스크의 조율
- • 다양한 솔루션과의 연동
-
* 태스크는 각 업무의 단위를 의미합니다.
자동화
- • 빌트인 플레이북 제공 및 플레이북 제작 지원
- • 스크립트 엔진을 이용한 액션의 자동화
- • 플레이북 시뮬레이터 지원
-
* 플레이북은 특정 작업 절차에 속한 개별 업무 단위를 선별하고 태스크로 정의하여 태스크 간의 흐름, 처리 시점, 사용자나 시스템의 개입 여부 등을 정의한 표준화된 작업 절차입니다.
-
* 액션은 사용자가 해당 이슈를 처리하기 위해 취하는 모든 행동을 의미합니다.
케이스 관리
- • 대응 내역 및 의사결정에 대한 관리 및 근무자 간의 협업 지원
- • 위협 대응, 보안 운영, 업무 요청 및 지원 등 유형별 케이스 생성 및 관리
대시보드
- • 공용 및 개인 대시보드 지원
- - 공용 대시보드 : 조회 기간 내 선택된 위젯의 정보
- - 개인 대시보드 : 계정별 조회 조건 내 수행 내역 정보
기대 효과
SOAR(Security Orchestration, Automation and Response) 기술이 적용된 AhnLab SOAR를 통해 사람에 의해 수동으로 처리되던 단순 반복적인 프로세스를 자동화하여 각 케이스에 대한 선별 및 대응을 즉각적으로 수행하고 플레이북 기반의 표준화된 대응 체계 구축으로 평균 이상의 대응 품질을 유지할 수 있습니다.
또한 다양한 솔루션과 연동으로 통합적이고 유기적인 대응이 실현되어 분석 업무와 같이 가치가 높은 업무에 집중할 수 있습니다.

* [통계] AhnLab 보안관제팀 대상 실제 AhnLab SOAR 적용 사례
-
- People 100%
- 주로 보안 인력의 경험과 역량에 의존
- 대응 중요도보다 많은 양의 업무 처리 우선
-
- People 45% + Sefinity AIR 55%
- 플레이북 기반의표준화된 대응 절차 제공
- 중요도에 따른 효율적인 업무 분배 및 처리
오케스트레이션
보안 오케스트레이션은 위협 대응을 위해 개별적으로 운영되던 다양한 보안 제품과 기술을 유기적으로 조정하여 여러 솔루션과 정보를 하나의 화면에서 확인하고 운영할 수 있는것을 의미합니다. 따라서, 보안 오케스트레이션 기술을 통해 통합 보안 운영의 편의성 증대를 기대할 수 있습니다.

보안솔루션 개별 운영 > 보안솔루션 통합 운영
보안 담당자가 매일 처리하는 보안 운영 업무는 높은 난이도와 신속한 처리를 요구합니다. 일반적인 위협 대응 프로세스에서 각 태스크를 처리하는 방법은 여러 가지가 있습니다.
오케스트레이션은 보안 대응 업무에 최적화된 프로세스를 자동 매칭 및 복잡하고 번거로운 작업 과정을 상호 연결하여 매끄럽게 처리할 수 있도록 해줍니다. 또한 각 단계에서 특정 액션을 자동화하거나 여러 단계를 거치고 채널을 이동하면서 확인 가능한 정보를 하나의 화면에서 즉시 확인할 수 있는 정보의 가시성을 제공합니다.
각 액션의 자동화와 더불어 특정 단계에서 사람의 결정이 필요한 경우 사용자가 직접 선택권을 가지고 결정할 수 있는 선택의 자유를 보장합니다.

이러한 모든 과정은 보안 제품과 기술 뿐만 아니라 사람과의 협업까지도 고려한 개념이기 때문에 결과적으로 기술, 사람, 프로세스를 조율하여 보안 대응 업무의 전반적인 효율성을 향상시킬 수 있습니다.
플레이북
플레이북은 특정 작업 절차를 표준화한 것으로 기존의 작업 방법과 비슷해 보이지만, 다른 개념을 가지고 있습니다.
기존의 작업 방법은 상세한 처리 매뉴얼없이 작업자에게 업무가 할당되기 때문에 작업 우선 순위의 판단과 처리 방법을 작업자가 직접 선택해야 합니다. 이러한 선택 과정은 작업자의 역량에 따라 처리 방법과 대응 품질의 차이를 야기시켰습니다.
플레이북은 필요한 정보 선별과 우선 순위에 따라 순차적으로 업무를 처리하기 위한 판단을 시스템이 담당하도록 설계되어 있습니다. 따라서, 이벤트 종류에 맞는 처리 방법을 시스템이 선택하여 매칭하고 일관된 프로세스로 작업을 처리할 수 있어 작업자 역량에 따른 대응 품질의 편차를 줄일 수 있습니다.

[민첩하고 유연한 대응이 가능한 플레이북]
- 워크플로우
- 처리할 작업 목록과 이벤트가 우선 순위 구분없이 제공됨
- 작업 처리 방법 선택과 우선 순위 식별이 어려움
- 작업자 역량 기반의 업무 처리로 대응 품질 차이 발생
- 플레이북
- 필요한 정보만 선별하여 순차적으로 제공됨
- 작업 처리 방법 선택과 우선 순위를 시스템에서 판단함
- 시스템 기반의 업무 처리로 대응 품질 편차 감소
플레이북 특장점

- 빠른 판단
- 중요한 정보와 처리 단계에 집중 - 발생한 케이스의 유효성을 빠르게 판단하고 결정하여 유효한 케이스 처리에 집중할 수 있습니다. 또한, 많은 시간이 소요되고 반복적으로 처리되던 업무의 자동화로 사람의 결정이 필요한 업무에 시간을 할애할 수 있습니다.
- 명료한 처리
- 일관된 대응 품질 유지 - 작업자의 업무 역량 기반으로 처리되던 기존의 대응 업무와 달리 시스템 기반의 업무 처리로 정확하고 유연한 처리 절차와 가이드를 제공하여, 일관된 품질의 대응과 담당자 교체에 따른 업무 공백 및 신규 인력 교육으로 인한 리스크를 최소화할 수 있습니다.
- 재사용
- 다양한 환경에 유연한 적응력 - 재사용 및 끊임없는 프로세스 개선으로 빠르게 변화하는 공격에 맞춰 효율적인 운영 정책을 적용하여 정확하고 민첩하게 대응할 수 있습니다.
- 프로세스 가시화
- 체계적인 대응 프로세스로 효율적인 보안 운영 - 체계화되지 않은 기존의 대응 프로세스를 정리하여 효율적인 보안 운영이 가능합니다. 또한, 사용 중인 국내외 벤더의 제품을 연동할 수 있어 통합적인 운영을 가능하게 합니다.
AhnLab Sefinity AIR는 액션과 플레이북 실행 조건을 설정하여 각 기업 환경에 맞는 다양한 플레이북을 설계할 수 있습니다.
따라서, 보안 위협 및 운영 뿐만 아니라 프로세스를 가지고 있는 업무를 플레이북으로 표준화하여 시스템 기반으로 처리할 수 있습니다.

[안랩의 IR 데이터로 제공 가능한 플레이북]
- 웹 기반 공격
- SQL Injection, XSS, 악성코드 삽입 등
- 사전식 대입 공격
- Application/FTP/SSH Brute Force 등
- 로컬 시스템 공격
- 권한 획득, 시스템 명령 실행 로컬파일 생성 등
- 네트워크 공격
- 세션 공격, 원격접속, Spoofing/Sniffing 등
- 내부자료 공격(DB, 개인정보 유출)
- 계정 노출, DB유출, 내부시스템 접근 등
- Scanning(정보 수집)
- TCP/UDP Port Scan, Network Scan 등
- 악성코드
- 악성코드 설치, C&C 연결, 프로세스 감염 등
- DDos(Anomaly Traffic)
- HTTP Connection Flood, ICMP Fragment 등
- Application 취약점
- Email 공격, Memory Corruption 등
자동화
자동화는 작업 프로세스 중 사용자 개입 없이 해결 가능한 태스크를 자동 처리하는 기술입니다.
보안 모니터링이나 SIEM 솔루션을 통해 이미 많은 기업이 일정 부분 자동화를 경험했습니다. 그러나, SOAR 플랫폼에서의 자동화는 탐지 단계뿐만 아니라 모든 단계의 단위 작업에서 반복적으로 처리되던 업무를 자동화할 수 있습니다.
따라서, 사람의 결정이 필요한 분석 및 공격 시나리오 설계와 같이 전략적이고 가치가 높은 일에 집중할 수 있습니다.

보안 위협은 새로운 기술, 도메인 등이 생겨남에 따라 점점 복잡해지고 방대해지고 있습니다. 업무량 증가에 따라 대용량 데이터를 처리해야하는 상황에는 누수가 발생할 수 있으며, 이는 결국 보안 사고로 이어질 수 있습니다. 따라서, 중요한 업무에 집중하고 놓치는 위협이 없도록 자동화 환경을 구축하는 것이 중요합니다.
자동화 도입으로 인해 작업자 피로도에 의한 실수나 사고를 예방할 수 있으며, 대용량 데이터 처리가 가능해집니다.

-
- 자동화 도입 전 침해 대응 프로세스 예시
- 수동 처리(티켓분류 > 칩입 여부 인지 > 침입 대응 > 결과 분석)
-
- 자동화 도입 후 침해 대응 프로세스 예시
- 자동화(티켓분류 > 칩입 여부 인지 > 침입 대응) > 수동 처리(결과 분석 - 고부가가치 업무에 집중)
오케스트레이션
보안 오케스트레이션은 위협 대응을 위해 개별적으로 운영되던 다양한 보안 제품과 기술을 유기적으로 조정하여 여러 솔루션과 정보를 하나의 화면에서 확인하고 운영할 수 있는것을 의미합니다. 따라서, 보안 오케스트레이션 기술을 통해 통합 보안 운영의 편의성 증대를 기대할 수 있습니다.

보안솔루션 개별 운영 > 보안솔루션 통합 운영
보안 담당자가 매일 처리하는 보안 운영 업무는 높은 난이도와 신속한 처리를 요구합니다. 일반적인 위협 대응 프로세스에서 각 태스크를 처리하는 방법은 여러 가지가 있습니다.
오케스트레이션은 보안 대응 업무에 최적화된 프로세스를 자동 매칭 및 복잡하고 번거로운 작업 과정을 상호 연결하여 매끄럽게 처리할 수 있도록 해줍니다. 또한 각 단계에서 특정 액션을 자동화하거나 여러 단계를 거치고 채널을 이동하면서 확인 가능한 정보를 하나의 화면에서 즉시 확인할 수 있는 정보의 가시성을 제공합니다.
각 액션의 자동화와 더불어 특정 단계에서 사람의 결정이 필요한 경우 사용자가 직접 선택권을 가지고 결정할 수 있는 선택의 자유를 보장합니다.

이러한 모든 과정은 보안 제품과 기술 뿐만 아니라 사람과의 협업까지도 고려한 개념이기 때문에 결과적으로 기술, 사람, 프로세스를 조율하여 보안 대응 업무의 전반적인 효율성을 향상시킬 수 있습니다.
플레이북
플레이북은 특정 작업 절차를 표준화한 것으로 기존의 작업 방법과 비슷해 보이지만, 다른 개념을 가지고 있습니다.
기존의 작업 방법은 상세한 처리 매뉴얼없이 작업자에게 업무가 할당되기 때문에 작업 우선 순위의 판단과 처리 방법을 작업자가 직접 선택해야 합니다. 이러한 선택 과정은 작업자의 역량에 따라 처리 방법과 대응 품질의 차이를 야기시켰습니다.
플레이북은 필요한 정보 선별과 우선 순위에 따라 순차적으로 업무를 처리하기 위한 판단을 시스템이 담당하도록 설계되어 있습니다. 따라서, 이벤트 종류에 맞는 처리 방법을 시스템이 선택하여 매칭하고 일관된 프로세스로 작업을 처리할 수 있어 작업자 역량에 따른 대응 품질의 편차를 줄일 수 있습니다.

[민첩하고 유연한 대응이 가능한 플레이북]
- 워크플로우
- 처리할 작업 목록과 이벤트가 우선 순위 구분없이 제공됨
- 작업 처리 방법 선택과 우선 순위 식별이 어려움
- 작업자 역량 기반의 업무 처리로 대응 품질 차이 발생
- 플레이북
- 필요한 정보만 선별하여 순차적으로 제공됨
- 작업 처리 방법 선택과 우선 순위를 시스템에서 판단함
- 시스템 기반의 업무 처리로 대응 품질 편차 감소
플레이북 특장점

- 빠른 판단
- 중요한 정보와 처리 단계에 집중 - 발생한 케이스의 유효성을 빠르게 판단하고 결정하여 유효한 케이스 처리에 집중할 수 있습니다. 또한, 많은 시간이 소요되고 반복적으로 처리되던 업무의 자동화로 사람의 결정이 필요한 업무에 시간을 할애할 수 있습니다.
- 명료한 처리
- 일관된 대응 품질 유지 - 작업자의 업무 역량 기반으로 처리되던 기존의 대응 업무와 달리 시스템 기반의 업무 처리로 정확하고 유연한 처리 절차와 가이드를 제공하여, 일관된 품질의 대응과 담당자 교체에 따른 업무 공백 및 신규 인력 교육으로 인한 리스크를 최소화할 수 있습니다.
- 재사용
- 다양한 환경에 유연한 적응력 - 재사용 및 끊임없는 프로세스 개선으로 빠르게 변화하는 공격에 맞춰 효율적인 운영 정책을 적용하여 정확하고 민첩하게 대응할 수 있습니다.
- 프로세스 가시화
- 체계적인 대응 프로세스로 효율적인 보안 운영 - 체계화되지 않은 기존의 대응 프로세스를 정리하여 효율적인 보안 운영이 가능합니다. 또한, 사용 중인 국내외 벤더의 제품을 연동할 수 있어 통합적인 운영을 가능하게 합니다.
AhnLab Sefinity AIR는 액션과 플레이북 실행 조건을 설정하여 각 기업 환경에 맞는 다양한 플레이북을 설계할 수 있습니다.
따라서, 보안 위협 및 운영 뿐만 아니라 프로세스를 가지고 있는 업무를 플레이북으로 표준화하여 시스템 기반으로 처리할 수 있습니다.

[안랩의 IR 데이터로 제공 가능한 플레이북]
- 웹 기반 공격
- SQL Injection, XSS, 악성코드 삽입 등
- 사전식 대입 공격
- Application/FTP/SSH Brute Force 등
- 로컬 시스템 공격
- 권한 획득, 시스템 명령 실행 로컬파일 생성 등
- 네트워크 공격
- 세션 공격, 원격접속, Spoofing/Sniffing 등
- 내부자료 공격(DB, 개인정보 유출)
- 계정 노출, DB유출, 내부시스템 접근 등
- Scanning(정보 수집)
- TCP/UDP Port Scan, Network Scan 등
- 악성코드
- 악성코드 설치, C&C 연결, 프로세스 감염 등
- DDos(Anomaly Traffic)
- HTTP Connection Flood, ICMP Fragment 등
- Application 취약점
- Email 공격, Memory Corruption 등
자동화
자동화는 작업 프로세스 중 사용자 개입 없이 해결 가능한 태스크를 자동 처리하는 기술입니다.
보안 모니터링이나 SIEM 솔루션을 통해 이미 많은 기업이 일정 부분 자동화를 경험했습니다. 그러나, SOAR 플랫폼에서의 자동화는 탐지 단계뿐만 아니라 모든 단계의 단위 작업에서 반복적으로 처리되던 업무를 자동화할 수 있습니다.
따라서, 사람의 결정이 필요한 분석 및 공격 시나리오 설계와 같이 전략적이고 가치가 높은 일에 집중할 수 있습니다.

보안 위협은 새로운 기술, 도메인 등이 생겨남에 따라 점점 복잡해지고 방대해지고 있습니다. 업무량 증가에 따라 대용량 데이터를 처리해야하는 상황에는 누수가 발생할 수 있으며, 이는 결국 보안 사고로 이어질 수 있습니다. 따라서, 중요한 업무에 집중하고 놓치는 위협이 없도록 자동화 환경을 구축하는 것이 중요합니다.
자동화 도입으로 인해 작업자 피로도에 의한 실수나 사고를 예방할 수 있으며, 대용량 데이터 처리가 가능해집니다.

-
- 자동화 도입 전 침해 대응 프로세스 예시
- 수동 처리(티켓분류 > 칩입 여부 인지 > 침입 대응 > 결과 분석)
-
- 자동화 도입 후 침해 대응 프로세스 예시
- 자동화(티켓분류 > 칩입 여부 인지 > 침입 대응) > 수동 처리(결과 분석 - 고부가가치 업무에 집중)