SOC란 무엇인가요?
SOC(보안 운영 센터)는 인력, 프로세스 및 기술을 사용하여 조직을 지속적으로 모니터링하고 개선하는 조직 내의 중앙 집중식 기능입니다'사이버 보안 사고를 예방, 탐지, 분석 및 대응하는 동안 보안 태세를 유지합니다.
모든 SOC는 고유합니다. 팀과 프로세스, 다양한 도구 및 기술로 구성된 기업은 SOC를 아웃소싱하거나 사내에서 구축 및 유지 관리할 수 있습니다. 구현에 관계없이 SOC의 핵심 목표는 조직을 지속적으로 최적화하는 것입니다'보안 태세를 갖추고 사이버 공격을 방지합니다.
How to Prepare for a Cloud Cyberattack: An Actionable Incident Response Plan Template
A quickstart guide to creating a robust incident response plan – designed specifically for companies with cloud-based deployments.
Download Template
오늘날 SOC는 점점 더 중요해지고 있으며, 위협 환경은 그 어느 때보다 더 큰 피해를 주고 있습니다. 에 따르면 인디펜던트, 위협 행위자는 더 많은 것을 일으켰습니다. 2억 9천만 건의 데이터 유출 2023년에. 강력한 SOC가 없으면 유출과 침해를 방지하는 것이 거의 불가능합니다. SOC는 엔터프라이즈 데이터, 특히 비즈니스 비밀, 고객의 개인 식별 정보(PII), 자격 증명 및 지적 재산과 같은 고부가가치 보석을 보호합니다.
호황을 누리다 서비스형 SOC(SOC-as-a-service) 2028년까지 114억 달러에 이를 것으로 예상되는 시장은 SOC의 중요성을 강조합니다. 앞으로 살펴보겠지만 기업은 선택할 수 있는 많은 SOC 모델과 결정을 내리기 전에 고려해야 할 수많은 요소가 있습니다. 그러나 기업이 어떤 모델을 선택하든 SOC의 근본적인 기능과 목표는 동일합니다. 좀 더 자세히 살펴보겠습니다.
보안 운영 센터의 핵심 목표
보안 운영 센터'의 주요 목표는 다음과 같습니다. 조직 자산 보호 및 비즈니스 연속성 보장. 이를 달성하기 위해 SOC의 목표는 다음과 같습니다.
다운타임 및 재정적 손실 최소화 보안 사고로 인해.
조직 강화'S 보안 태세 위험을 사전에 식별하고 완화합니다.
인시던트 대응 시간 단축 사이버 공격의 영향을 줄일 수 있습니다.
업계 규정 준수 유지 및 표준.
강력한 보안 문화 구축 및 유지 관리 조직 내에서.
보안 투자 최적화 효율적인 자원 배분을 통해.
SOC 목표 측정
SOC 성과를 효과적으로 측정하려면 핵심성과지표(KPI)가 필수적입니다. 이러한 메트릭은 SOC를 정량화하는 데 도움이 됩니다'목표 달성에 성공했습니다.
KPI의 예:
인시던트 대응: 평균 탐지 시간(MTTD), 평균 대응 시간(MTTR), 평균 봉쇄 시간(MTTC) 및 인시던트 해결률.
위협 탐지: 거짓 긍정 비율, 참 긍정 비율 및 위협 탐지 효율성.
보안 태세: 취약성 수정 속도, 패치 규정 준수 및 시스템 구성 규정 준수.
비용 효율성: 인시던트당 비용, 보호 자산당 비용 및 ROSI(보안 투자 수익률).
SOC 목표와 비즈니스 목표 연계
성공적인 SOC는 전반적인 비즈니스 전략에 직접적으로 기여해야 합니다. 이러한 조정을 달성하기 위해 SOC는 다음을 수행해야 합니다.
비즈니스 우선 순위 이해: 핵심 비즈니스 기능을 지원하는 중요한 자산, 시스템 및 데이터를 식별합니다.
보안 위험 정량화: 보안 사고가 비즈니스 운영, 수익 및 평판에 미치는 잠재적 영향을 평가합니다.
비즈니스 가치 입증: SOC가 어떻게 작동하는지 보여줍니다.'의 노력은 수익 창출, 비용 절감 또는 위험 완화에 기여합니다.
효과적인 의사 소통: SOC를 명확하게 표현'이해 관계자에 대한 비즈니스 목표를 달성하기 위한 의 역할.
SOC는 어떻게 작동하나요?
SOC 내의 주요 역할은 무엇입니까?
최고 정보 보안 책임자(CISO)사이버 보안 계층의 최상위에 있는 는 SOC와 CEO 사이의 다리 역할을 합니다.
SOC 관리자 SOC의 모든 팀, 도구, 워크플로 및 활동을 감독합니다.
보안 엔지니어 기업의 사이버 보안 아키텍처를 구축하고 유지 관리합니다.
위협 사냥꾼 기업의 IT 자산 내에서 새로운 위협과 숨겨진 위협을 사전에 검색합니다.
보안 분석가 IT 환경을 모니터링하고, 비정상적인 행동에 위험 신호를 표시하고, 경고를 분류합니다.
포렌식 전문가 사이버 인시던트를 분석하여 근본 원인을 밝혀내면 기업이 향후 유사한 악용을 방지하는 데 도움이 될 수 있습니다.
SOC의 일상적인 프로세스는 어떻게 되나요?
위협 모니터링: IT 환경 및 자산을 스캔하여 위협 발견
경고 심사: 비즈니스 및 워크로드 컨텍스트에 기반한 경고 및 위협의 우선 순위 지정
위협 분석: 위협을 조사하여 적법성과 효능을 검증합니다.
위협 격리: 현존하는 각 위협의 잠재적 폭발 반경과 공격 경로를 줄입니다.
수정: 손상된 시스템을 복구하고, 취약점을 패치하고, 사이버 사고로 인한 피해를 복구합니다.
법의학 조사: 위협, 사이버 공격 및 클라우드 이벤트에 대한 철저한 연구를 수행하여 공격자의 도구, 전술 및 절차(TTP)를 이해합니다.
SOC의 주요 기술과 도구는 무엇입니까?
최적의 SOC는 총체적이어야 하며 다양한 기능을 포함해야 합니다. 예를 들어 SOC는 다음을 제공해야 합니다.
물리적 인프라와 가상 인프라에서 모든 IT 자산을 식별하고 인벤토리를 작성할 수 있는 수단입니다.
무단 액세스의 징후를 식별하기 위한 침입 감지 메커니즘.
가상 머신, 컨테이너, 컨테이너 레지스트리, 서버리스 기능, 가상 어플라이언스 및 관리형 컴퓨팅 리소스에 대한 사전 예방적 검사(발견된 취약성의 우선 순위 지정 포함).
IT 환경 내의 비정상적인 패턴을 분석하기 위한 행동 분석 도구.
SIEM(보안 정보 및 이벤트 관리) 도구를 사용하여 조직의 다양한 지점에서 사이버 보안 정보를 수집, 관리 및 분석합니다.
EDR(Endpoint Detection and Response)은 엔터프라이즈 엔드포인트를 모니터링하고 보호합니다.
위협 인텔리전스 플랫폼은 퍼블릭, 프라이빗, 내부 및 외부 소스의 다양한 위협 데이터를 연구합니다.
클라우드 탐지 및 대응 기업의 클라우드 환경을 Montor 및 보호하기 위해
SOC 모델에는 어떤 종류가 있나요?
SOC 모델에는 3가지 유형이 있습니다.
사내 SOC: 기업은 사내 리소스만 사용하여 SOC를 관리하고 운영합니다.
아웃소싱 SOC: 기업 SOC를 관리할 타사 SOC-as-a-service 제공업체를 고용합니다.
하이브리드 SOC: 기업은 사내 리소스와 아웃소싱 서비스를 조합하여 SOC를 관리합니다.
가트너(Gartner)에 따르면, 설문 조사에 참여한 기업의 63%가 하이브리드 SOC 모델을 선호합니다. 이는 사내 및 아웃소싱 보안 리소스를 모두 활용합니다. 34%는 외부 서비스 제공업체를 포함하지 않는 사내 SOC 모델을 갖추고 있습니다.
SOC 모델 선택
기업은 어떤 SOC 모델을 선택해야 하는지 어떻게 알 수 있을까요? 다음은 사내 및 아웃소싱 SOC 모델을 구축하거나 선택하기 위한 5가지 주요 고려 사항입니다.
| Considerations | In-House SOC | Outsourced SOC |
|---|---|---|
| Customization and cost | An in-house SOC gives organizations a higher degree of control. However, in-house models are more expensive. | Businesses may not always be able to intricately tailor off-the-shelf SOC solutions, but they are considerably cheaper. |
| Scalability | In-house SOCs are not easy or affordable to scale. | Outsourced SOCs feature higher degrees of scalability, which can help accommodate future variables. |
| Required expertise | In-house SOC teams have in-depth knowledge of enterprise IT assets and resources. That said, they may lack other critical cybersecurity knowledge or expertise. | Third-party providers may not understand an enterprise’s IT environments as well as in-house security operations teams. On the other hand, third-party teams may have more expertise and skill sets related to the latest cybersecurity threats and trends. |
| Risk of coverage gaps | Because of the close proximity to their own environments, in-house SOC teams may have a biased or limited perspective. | Outsourced SOCs will likely have a more objective and panoramic view of an enterprise’s IT environments and adversaries. |
| Ease of updates | It’s often expensive for in-house SOCs to commission and include new tools and technologies. | Third-party providers constantly update and optimize their backend infrastructure and tools to serve their customers with cutting-edge capabilities. |
위의 표에서 볼 수 있듯이 사내 및 아웃소싱 SOC 모델에는 수많은 장점과 단점이 있습니다. 이것이 아마도 대다수의 기업이 종종 두 세계의 장점을 선택하는 이유일 것입니다. 그러나 경우에 따라 기업은 다른 것보다 하나를 선택해야 할 타당한 이유가 있을 수 있습니다. SOC 모델을 선택할 때 명확한 옳고 그른 답은 없습니다. 대신, 고유한 IT 및 사이버 보안 요구 사항을 이해하고 이를 해결하는 모델을 식별하는 것이 중요합니다.
Empowering SecOps in the cloud: enhancing threat detection with Wiz and Google Security Operations
더 알아보기
Wiz가 SOC 팀을 지원하는 방법
Wiz는 보안 모니터링, 위협 탐지 및 인시던트 대응.
주요 지원 메커니즘은 다음과 같습니다.
위협 탐지: Wiz는 실시간 위협 탐지를 위한 대시보드와 도구를 제공하여 SOC 팀이 보안 사고를 신속하게 모니터링하고 대응할 수 있도록 합니다.
보안 그래프: 더 위즈 보안 그래프 기능은 보안 데이터를 컨텍스트화하여 잠재적 위협을 더 쉽게 식별하고 이해할 수 있도록 합니다.
클라우드 이벤트: SOC 팀은 특정 시간대별로 필터링된 클라우드 이벤트를 탐색하여 의심스러운 활동을 정확히 찾아내고 조사할 수 있습니다.
정책 및 제어: Wiz는 수많은 보안 정책 및 제어를 시행하여 인프라가 안전하게 유지되고 업계 표준을 준수하도록 합니다.
통합: Wiz는 티켓팅, SIEM, SOAR 등을 위한 다양한 타사 도구와의 원활한 통합을 통해 간소화된 워크플로와 효율적인 인시던트 관리를 촉진합니다.
더 자세히 알고 싶으신가요? 데모 신청하기 이제 SOC 팀이 Wiz의 업계 최고의 클라우드 보안 플랫폼을 어떻게 활용할 수 있는지 알아보십시오.
A single platform for everything cloud security
Learn why CISOs at the fastest growing organizations choose Wiz to secure their cloud environments.
