많은 기업들이 자사의 업무 환경을 디지털 트랜스포메이션으로 전환하면서 대량의 데이터로 인하여 기업의 자산을 보호하는 보안은 디지털 트랜스포메이션 이전보다 시스템, 인력, 정책 등 보안을 강화하는 데 필요한 비용과 시간이 가중화되고 있다. 내부 구성원이 발생시키는 보안 위규와 이상 행위에 대한 보안대응 업무는 운영보안 및 사고 대응과 같은 연속성이 높은 상시업무로 사내에서 발생하는 보안 위규 분석, 구성원 인터뷰, 보안장비 처리와 같은 반복적인 업무 수행과 단순 노력이 필요하다. 따라서 반복적인 ...
많은 기업들이 자사의 업무 환경을 디지털 트랜스포메이션으로 전환하면서 대량의 데이터로 인하여 기업의 자산을 보호하는 보안은 디지털 트랜스포메이션 이전보다 시스템, 인력, 정책 등 보안을 강화하는 데 필요한 비용과 시간이 가중화되고 있다. 내부 구성원이 발생시키는 보안 위규와 이상 행위에 대한 보안대응 업무는 운영보안 및 사고 대응과 같은 연속성이 높은 상시업무로 사내에서 발생하는 보안 위규 분석, 구성원 인터뷰, 보안장비 처리와 같은 반복적인 업무 수행과 단순 노력이 필요하다. 따라서 반복적인 루틴을 진행하는 보안담당자의 업무 만족도 저하와 업무 매너리즘을 통해 업무의 연속성 저하와 정기 업무에 영향을 줄 수 있다. 본 논문에서는 IT보안관제 영역에서 SOAR를 통해 인적 문제와 환경 문제를 해결하는 사례를 확인하여 내부 보안에서도 SOAR를 활용하는 방법론을 계획하였다. SIEM과 SOAR를 활용하여 기업에서 운영하는 보안 규정과 대응 프로세스를 시스템으로 정립하고 내부 시나리오를 SIEM으로 설정 후 대응 프로세스에서 자동화 영역을 파악, SOAR를 통해 자동화가 가능한 영역을 제시하였다. 13가지 시나리오를 선별하여 시나리오별로 수동 대응에 소요되는 시간을 계산하였고 대응 영역을 SOAR에 적용시켜 자동화가 가능한 부분은 대응시간에서 제외 후 보안 담당자 수동 대응과 자동화 이후 대응 시간 차이를 계산하였다. 본 논문 결과는 SOAR를 통해 자동화를 진행하면 보안 담당자의 상시 수행하는 업무 시간이 시나리오 별로 약 25% ~ 100%까지 감소하는 효과성이 있을 수 있다는 결과를 도출하였다. 다만 API 미제공, 상세 분석이 중요한 업무에 대해서는 자동화가 제외되어, 완전 자동화를 기대하지는 못했지만 향후 보안 시스템과 SOAR의 발전으로 위 기능을 제공하게 된다면 본 논문에서 제시한 방법론을 통해 모든 내부 보안 대응 업무가 완전 자동화되는 모습을 볼 수 있을 것으로 기대한다.
많은 기업들이 자사의 업무 환경을 디지털 트랜스포메이션으로 전환하면서 대량의 데이터로 인하여 기업의 자산을 보호하는 보안은 디지털 트랜스포메이션 이전보다 시스템, 인력, 정책 등 보안을 강화하는 데 필요한 비용과 시간이 가중화되고 있다. 내부 구성원이 발생시키는 보안 위규와 이상 행위에 대한 보안대응 업무는 운영보안 및 사고 대응과 같은 연속성이 높은 상시업무로 사내에서 발생하는 보안 위규 분석, 구성원 인터뷰, 보안장비 처리와 같은 반복적인 업무 수행과 단순 노력이 필요하다. 따라서 반복적인 루틴을 진행하는 보안담당자의 업무 만족도 저하와 업무 매너리즘을 통해 업무의 연속성 저하와 정기 업무에 영향을 줄 수 있다. 본 논문에서는 IT보안관제 영역에서 SOAR를 통해 인적 문제와 환경 문제를 해결하는 사례를 확인하여 내부 보안에서도 SOAR를 활용하는 방법론을 계획하였다. SIEM과 SOAR를 활용하여 기업에서 운영하는 보안 규정과 대응 프로세스를 시스템으로 정립하고 내부 시나리오를 SIEM으로 설정 후 대응 프로세스에서 자동화 영역을 파악, SOAR를 통해 자동화가 가능한 영역을 제시하였다. 13가지 시나리오를 선별하여 시나리오별로 수동 대응에 소요되는 시간을 계산하였고 대응 영역을 SOAR에 적용시켜 자동화가 가능한 부분은 대응시간에서 제외 후 보안 담당자 수동 대응과 자동화 이후 대응 시간 차이를 계산하였다. 본 논문 결과는 SOAR를 통해 자동화를 진행하면 보안 담당자의 상시 수행하는 업무 시간이 시나리오 별로 약 25% ~ 100%까지 감소하는 효과성이 있을 수 있다는 결과를 도출하였다. 다만 API 미제공, 상세 분석이 중요한 업무에 대해서는 자동화가 제외되어, 완전 자동화를 기대하지는 못했지만 향후 보안 시스템과 SOAR의 발전으로 위 기능을 제공하게 된다면 본 논문에서 제시한 방법론을 통해 모든 내부 보안 대응 업무가 완전 자동화되는 모습을 볼 수 있을 것으로 기대한다.
As many companies transform their work environment into digital transformation, security to protect corporate assets due to large amounts of data is increasing the cost and time required to strengthen security such as systems, manpower, and policies than before digital transformation. Security r...
As many companies transform their work environment into digital transformation, security to protect corporate assets due to large amounts of data is increasing the cost and time required to strengthen security such as systems, manpower, and policies than before digital transformation. Security response tasks for security violations and abnormalities caused by internal members are continuous, such as operational security and accident response, and require repetitive efforts such as in-house security violation analysis, member interviews, security equipment handling, and guidance. Therefore, it may affect the continuity of work and regular work through the decrease in work satisfaction and work mannerism of security personnel who perform repetitive routines. In this paper, a methodology using SOAR in internal security was planned by identifying cases of solving problems through SOAR in the IT security control area. Using SIEM and SOAR, security regulations and response processes operated by companies were established as systems, internal scenarios were set as SIEMs, and automation areas were identified in the response process, and areas that could be automated through SOAR were presented. In detail, 13 scenarios were selected to calculate the time required for manual response for each scenario, and the entire response area was applied to SOAR to exclude areas that can be automated from the response time, and the difference between manual response by security personnel and response time after automation was calculated. The results of this paper found that if automation is performed through SOAR, the working hours of security personnel at all times may be reduced by about 25% to 100% for each scenario. However, we did not expect full automation except for tasks that do not provide APIs and are important for detailed analysis, but if the above functions are provided due to the development of security systems and SOAR in the future, we expect to see all internal security response tasks automated 100% through the methodology presented in this paper.
As many companies transform their work environment into digital transformation, security to protect corporate assets due to large amounts of data is increasing the cost and time required to strengthen security such as systems, manpower, and policies than before digital transformation. Security response tasks for security violations and abnormalities caused by internal members are continuous, such as operational security and accident response, and require repetitive efforts such as in-house security violation analysis, member interviews, security equipment handling, and guidance. Therefore, it may affect the continuity of work and regular work through the decrease in work satisfaction and work mannerism of security personnel who perform repetitive routines. In this paper, a methodology using SOAR in internal security was planned by identifying cases of solving problems through SOAR in the IT security control area. Using SIEM and SOAR, security regulations and response processes operated by companies were established as systems, internal scenarios were set as SIEMs, and automation areas were identified in the response process, and areas that could be automated through SOAR were presented. In detail, 13 scenarios were selected to calculate the time required for manual response for each scenario, and the entire response area was applied to SOAR to exclude areas that can be automated from the response time, and the difference between manual response by security personnel and response time after automation was calculated. The results of this paper found that if automation is performed through SOAR, the working hours of security personnel at all times may be reduced by about 25% to 100% for each scenario. However, we did not expect full automation except for tasks that do not provide APIs and are important for detailed analysis, but if the above functions are provided due to the development of security systems and SOAR in the future, we expect to see all internal security response tasks automated 100% through the methodology presented in this paper.
주제어
#SOAR SIEM 보안 위규 보안 대응 내부 시나리오 운영 보안 Security Regulations Security Response Internal Scenarios Operational Security
학위논문 정보
저자
최정수
학위수여기관
중앙대학교 보안대학원
학위구분
국내석사
학과
기술보호학과 산업기술보호전공
지도교수
신동천
발행연도
2022
총페이지
iv, 49장
키워드
SOAR SIEM 보안 위규 보안 대응 내부 시나리오 운영 보안 Security Regulations Security Response Internal Scenarios Operational Security
AI-Helper
※ AI-Helper는 부적절한 답변을 할 수 있습니다.