보안 운영 센터(SOC)란?

보안 운영 센터(SOC)란?

보안 운영 센터(SOC)는 정보 보안 운영 센터(ISOC)라고도 하며 보안 전문가가 잠재적인 사이버 위협을 모니터링, 분석, 완화하는 전용 시설입니다. 최신 조직의 분산된 특성으로 인해 이러한 기능을 수행하는 보안 엔지니어 및 분석가 팀을 설명할 때 "SOC"를 흔히 사용합니다.

SOC의 아키텍처는 조직마다 다르지만 몇 가지 주요 기능을 수행합니다.

• 네트워크, 서버, 데이터베이스, 장치 전반의 활동 추적
• 위협 조사 및 대응
• 규정 준수 보장 및 보안 상태 개선

일반적으로 조직은 위협 관리 및 해결을 위해 단일 내부 SOC에 의존하지만, 대기업은 여러 국가에 걸쳐 여러 SOC(글로벌 보안 운영 센터 또는 GSOC)를 유지하거나 타사 보안 분석가 및 엔지니어 그룹을 고용할 수 있습니다.

SOC는 위협으로부터 어떻게 조직을 보호하나요?

SOC는 다양한 방식으로 구성할 수 있으며 조직의 요구와 역량에 따라 변경될 가능성이 높습니다. 일반적으로 그 책임은 세 가지 버킷으로 나뉩니다.

방지

자산 인벤토리: 위협으로부터 조직을 보호하고 보안 허점을 파악하려면 SOC는 시스템, 앱, 데이터는 물론 이를 보호하는 보안 도구에 대한 완전한 가시성을 확보해야 합니다. 자산 검색 도구를 사용하여 인벤토리 프로세스를 수행할 수 있습니다.

취약성 평가: 공격의 잠재적 영향을 측정하기 위해 SOC는 조직의 하드웨어 및 소프트웨어에 대한 정기적인 테스트를 수행하고 그 결과를 사용하여 보안 정책을 업데이트하거나 사고 대응 계획을 개발할 수 있습니다.

예방적 유지 관리: SOC가 조직 인프라의 취약점을 찾아내면 보안 상태를 강화하기 위한 조치를 취할 수 있습니다. 여기에는 방화벽 업데이트, 허용 목록 및 차단 목록 유지 관리, 소프트웨어 패치, 보안 프로토콜 및 절차 개선 등이 포함될 수 있습니다.

감지

로그 수집 및 분석: SOC는 조직 네트워크 전반의 이벤트(예: 방화벽, 침입 방지 및 감지 시스템 등에 의해 문서화된 이벤트)에서 생성된 로그 데이터를 수집한 다음 이러한 로그를 분석하여 이상이나 의심스러운 활동이 있는지 확인합니다. 조직 인프라의 규모와 복잡성에 따라 리소스 집약적인 프로세스가 될 수 있으며 자동화된 도구를 통해 수행할 수 있습니다.

위협 모니터링: SOC는 로그 데이터를 사용하여 의심스러운 활동 및 기타 침해 지표(IOC)에 대한 경고를 생성합니다. IOC는 데이터의 이상(네트워크 트래픽 불규칙, 예기치 않은 시스템 파일 변경, 무단 애플리케이션 사용, 이상한 DNS 요청 또는 기타 동작 등)으로 침해 또는 기타 악의적인 이벤트가 발생할 가능성이 있음을 나타냅니다.

보안 정보 및 이벤트 관리(SIEM): SOC는 종종 SIEM 솔루션과 함께 작동하여 위협 보호 및 해결을 자동화합니다. SIEM의 일반적인 기능은 다음과 같습니다.

• 로그 데이터 집계
• 경고 모니터링
• 고급 위협 인텔리전스
• 보안 사고 분석
• 규정 준수 보고

보호

사고 대응 및 해결: 공격이 발생하면 SOC는 피해를 완화하고 영향을 받은 시스템을 복구하기 위해 흔히 여러 단계를 거칩니다. 여기에는 감염된 장치 격리, 손상된 파일 삭제, 맬웨어 방지 소프트웨어 실행, 근본 원인 조사 수행 등이 포함될 수 있습니다. SOC는 이러한 결과를 사용하여 기존 보안 정책을 개선할 수 있습니다.

규정 준수 보고: 공격이 발생한 후 SOC는 손상된 보호 데이터의 양과 유형에 대해 해당 기관에 알려 조직이 데이터 보호 규정(예: GDPR)을 준수할 수 있도록 지원합니다.

일반적인 SOC 유형은?

SOC를 만들 때 조직에는 몇 가지 옵션이 있습니다. 가장 일반적인 SOC 범주는 다음과 같습니다.

• 사내 SOC 또는 전용 SOC는 이를 사용하는 조직이 소유하고 운영합니다. 사내 SOC의 장점으로는 더 빠른 사고 대응 시간, 맞춤형 보안 감지 및 대응 기능 등이 있지만, 다른 SOC보다 유지 관리 비용이 많이 들고 리소스 집약적일 수 있습니다.
• 관리형 SOC 또는 서비스형 SOC를 사용하면 조직에서 SOC 책임을 타사 보안 공급자에 아웃소싱할 수 있습니다. 대부분의 관리형 SOC는 관리형 보안 서비스 공급자(MSSP) 및 관리형 감지 및 대응(MDR)중 하나에 속합니다.
• MSSP는 시스템과 데이터를 모니터링하는 관리형 SOC 서비스입니다. MSSP의 주요 역할은 악의적인 활동이 감지되면 조직에 경고하는 것입니다. 네트워크 이벤트를 분류하고 이상을 감지하여 이를 수행합니다.
• MDR은 MSSP의 포렌식 기능을 확장하는 관리형 SOC 서비스입니다. 네트워크 활동을 추적하고 경고를 생성하는 것 외에도 잠재적 위협을 조사하고, 경고에서 긍정 오류를 제거하고, 고급 분석 및 위협 인텔리전스를 제공하고, 보안 사고를 해결하는 데 도움을 줍니다.

네트워크 운영 센터(NOC)란?

네트워크 운영 센터(NOC)는 네트워크 활동과 위협을 감독합니다. NOC 팀은 조직의 네트워크 상태를 모니터링하고, 중단을 예측 및 방지하고, 공격을 방어하고, 다양한 시스템과 소프트웨어에 대한 정기적인 유지 관리 점검을 수행하는 역할을 담당합니다.

조직의 전체 인프라에서 악의적인 활동을 추적하고 완화하는 SOC와 달리, NOC는 네트워크 보안 및 성능에만 집중합니다.

Cloudflare는 SOC 서비스를 제공하나요?

Cloudflare 서비스형 보안 운영 센터는 감지 및 모니터링 기능을 웹 애플리케이션 방화벽(WAF), 봇 관리 솔루션, DDoS 공격 방지와 같은 주요 보안 기술과 결합합니다. SOC 책임을 Cloudflare로 오프로드하여 조직은 인프라에 대한 가시성을 유지하고, 들어오는 위협을 추적 및 완화하며, 전반적인 보안 비용을 절감할 수 있습니다.