2019.05.02

서비스로서의 보안운영센터(SOCasS)란? 8가지 체크리스트

David Strom | CSO


다음으로 실제 SOC 위치에 대한 지리적 분산이 얼마나 중요할까? 일부 업체는 단일 SOC에 집중한다. 태양의 움직임을 따르거나 더 나은 인터넷 연결성을 위해 다른 대륙에 배치하는 곳도 있다. NTP는 필요한 기술을 가진 인력을 좀 더 쉽게 구할 수 있으므로 세인트루이스에 있는 본사에서 몇 시간 떨어진 곳에 두 번째 SOC를 보유하고 있다. 볼튼 랩스(Bolton Labs)는 아시아 시장에 집중하고 있어 SOC 3곳 중 2곳이 아시아에 있다.

업체의 비결은 무엇일까? 각 업체의 다양한 배경을 고려하는 것은 고장 정지 또는 유출 발생 시 그들이 모니터링, 해결, 알림을 위해 사용하는 전매특허 기술이 무엇인지 파악하는 데 도움이 된다. 일부는 오픈소스 툴을 엮어서 만들지만 성능 및 보안 현황을 확인할 수 있는 전매특허 대시보드를 개발했다. 위협 사냥 또는 기타 작업을 위해 자체적인 패키지를 개발한 곳들도 있다. AIT는 AV의 기술을 재판매하는 곳이며, 이는 또 다른 모델이다.

SOCaaS 제공자에게 질문할 사항
RFP 또는 질문서를 작성하면서 다음의 잠재적인 질문을 고려하자.

1. 제공 서비스가 순수 모니터링 서비스 접근방식과 어떻게 다른가? 이에 대한 답변은 업체들의 미묘한 차이와 차별점을 파악하는 데 도움이 될 것이다. AL은 SIEM으로 시작한 후 자체적인 글로벌 원격 측정 및 위협 모니터링 프로그램에 기초하여 다른 보호 기술을 추가했다. SOCaaS의 본격적인 도입 여부를 결정하기 전에 순수한 MSSP로 시작하고 자신의 경험을 확인하는 것이 좋을 수 있다.

2. 얼마나 많은 구형 SIEM과 서비스 데스크 시스템을 지원하나? 일부 업체는 고객이 자사의 자체 개발 솔루션으로 전환하기를 원한다. (DigitalHands.com 등은) 두 기술 모드에서 구형 시스템에 대한 광범위한 지원을 제공하지만 (NTP 등은) 자체적으로 또는 고객이 활용하기 위해 프로그램을 작성해야 하는 자체적인 API 세트가 있다.

3. 고객은 온프레미스 환경에 어떤 에이전트와 서버를 설치해야 하는가? 대부분의 업체는 인프라를 모니터링하기 위해 에이전트 그리고 트래픽을 수집하여 업체의 전매특허 앱을 구동하는 사용자 정의 서버가 필요하다. 일부는 순수한 모니터링과 해결 등 특정 작업을 위한 여러 에이전트가 필요하다.

4. 업체가 인프라를 얼마나 자주 재평가/스캔하는가? 모니터링은 연속 스캔부터 분기 스캔까지 다양하며 클라우드 vs. 온프레미스 장비에 따라 다를 수 있다.

5. 준법 감사 보고서를 어떻게 작성하는가? 일부 업체는 가격에 감사 보고서에 포함되어 있으며 추가 요금을 과금하는 곳도 있고 그들의 활동에 대해 완전히 독립적인 시각을 확보할 수 있도록 제3자를 소개하는 곳도 있다. 볼튼 랩스 등은 규제 준수 서비스를 전혀 제공하지 않는다. 접근방식마다 장점이 있으니 요금제에 무엇이 포함되어 있는지 파악하도록 하자.

6. 업체는 재판매업자 또는 직접 판매 모델이 있는가? 일부는 건전한 파트너 네트워크를 보유하고 있다. 접근성을 위해 잉그램마이크로(Ingram Micro) 등의 대형 유통사를 이용하거나 직접 대응하는 곳도 있다. 일부 SOCaaS 제공자는 자체 서비스를 다른 MSSP에 재판매하며, 이는 흥미로운 비즈니스 모델이다. 자신이 이용하는 접근방식을 파악하도록 하자.

7. 그들의 목표 고객 규모는 무엇인가? 일부 업체는 중간 시장 또는 소규모 기업에 더 집중한다. 여러 대륙에서 성장하여 매우 큰 네트워크로 확장할 수 있는 곳도 있다. 다시 한번 말하지만 그들의 장점을 파악하고 언제 자신의 규모가 너무 커져서 맞지 않게 될지 파악하도록 하자.

8. SOC의 인력은 어떠한가? 자신의 네트워크를 모니터링하는 사람들이 어떤 교육, 자격, 기타 기술을 보유하고 있는지 알고 싶을 것이다. 실제 장비보다 사람이 중요한 경우가 더 많다. 어쨌든, 자체 인력을 보유하지 않기 위해 SOCaaS를 도입하는 것이다.

*David Strom은 보안, 네트워킹, 커뮤니케이션을 주제로 CSO 온라인, 네트워크월드, 컴퓨터월드 등에 기고문을 쓰면서 연사로도 활동하고 있다. ciokr@idg.co.kr




2019.05.02

서비스로서의 보안운영센터(SOCasS)란? 8가지 체크리스트

David Strom | CSO


다음으로 실제 SOC 위치에 대한 지리적 분산이 얼마나 중요할까? 일부 업체는 단일 SOC에 집중한다. 태양의 움직임을 따르거나 더 나은 인터넷 연결성을 위해 다른 대륙에 배치하는 곳도 있다. NTP는 필요한 기술을 가진 인력을 좀 더 쉽게 구할 수 있으므로 세인트루이스에 있는 본사에서 몇 시간 떨어진 곳에 두 번째 SOC를 보유하고 있다. 볼튼 랩스(Bolton Labs)는 아시아 시장에 집중하고 있어 SOC 3곳 중 2곳이 아시아에 있다.

업체의 비결은 무엇일까? 각 업체의 다양한 배경을 고려하는 것은 고장 정지 또는 유출 발생 시 그들이 모니터링, 해결, 알림을 위해 사용하는 전매특허 기술이 무엇인지 파악하는 데 도움이 된다. 일부는 오픈소스 툴을 엮어서 만들지만 성능 및 보안 현황을 확인할 수 있는 전매특허 대시보드를 개발했다. 위협 사냥 또는 기타 작업을 위해 자체적인 패키지를 개발한 곳들도 있다. AIT는 AV의 기술을 재판매하는 곳이며, 이는 또 다른 모델이다.

SOCaaS 제공자에게 질문할 사항
RFP 또는 질문서를 작성하면서 다음의 잠재적인 질문을 고려하자.

1. 제공 서비스가 순수 모니터링 서비스 접근방식과 어떻게 다른가? 이에 대한 답변은 업체들의 미묘한 차이와 차별점을 파악하는 데 도움이 될 것이다. AL은 SIEM으로 시작한 후 자체적인 글로벌 원격 측정 및 위협 모니터링 프로그램에 기초하여 다른 보호 기술을 추가했다. SOCaaS의 본격적인 도입 여부를 결정하기 전에 순수한 MSSP로 시작하고 자신의 경험을 확인하는 것이 좋을 수 있다.

2. 얼마나 많은 구형 SIEM과 서비스 데스크 시스템을 지원하나? 일부 업체는 고객이 자사의 자체 개발 솔루션으로 전환하기를 원한다. (DigitalHands.com 등은) 두 기술 모드에서 구형 시스템에 대한 광범위한 지원을 제공하지만 (NTP 등은) 자체적으로 또는 고객이 활용하기 위해 프로그램을 작성해야 하는 자체적인 API 세트가 있다.

3. 고객은 온프레미스 환경에 어떤 에이전트와 서버를 설치해야 하는가? 대부분의 업체는 인프라를 모니터링하기 위해 에이전트 그리고 트래픽을 수집하여 업체의 전매특허 앱을 구동하는 사용자 정의 서버가 필요하다. 일부는 순수한 모니터링과 해결 등 특정 작업을 위한 여러 에이전트가 필요하다.

4. 업체가 인프라를 얼마나 자주 재평가/스캔하는가? 모니터링은 연속 스캔부터 분기 스캔까지 다양하며 클라우드 vs. 온프레미스 장비에 따라 다를 수 있다.

5. 준법 감사 보고서를 어떻게 작성하는가? 일부 업체는 가격에 감사 보고서에 포함되어 있으며 추가 요금을 과금하는 곳도 있고 그들의 활동에 대해 완전히 독립적인 시각을 확보할 수 있도록 제3자를 소개하는 곳도 있다. 볼튼 랩스 등은 규제 준수 서비스를 전혀 제공하지 않는다. 접근방식마다 장점이 있으니 요금제에 무엇이 포함되어 있는지 파악하도록 하자.

6. 업체는 재판매업자 또는 직접 판매 모델이 있는가? 일부는 건전한 파트너 네트워크를 보유하고 있다. 접근성을 위해 잉그램마이크로(Ingram Micro) 등의 대형 유통사를 이용하거나 직접 대응하는 곳도 있다. 일부 SOCaaS 제공자는 자체 서비스를 다른 MSSP에 재판매하며, 이는 흥미로운 비즈니스 모델이다. 자신이 이용하는 접근방식을 파악하도록 하자.

7. 그들의 목표 고객 규모는 무엇인가? 일부 업체는 중간 시장 또는 소규모 기업에 더 집중한다. 여러 대륙에서 성장하여 매우 큰 네트워크로 확장할 수 있는 곳도 있다. 다시 한번 말하지만 그들의 장점을 파악하고 언제 자신의 규모가 너무 커져서 맞지 않게 될지 파악하도록 하자.

8. SOC의 인력은 어떠한가? 자신의 네트워크를 모니터링하는 사람들이 어떤 교육, 자격, 기타 기술을 보유하고 있는지 알고 싶을 것이다. 실제 장비보다 사람이 중요한 경우가 더 많다. 어쨌든, 자체 인력을 보유하지 않기 위해 SOCaaS를 도입하는 것이다.

*David Strom은 보안, 네트워킹, 커뮤니케이션을 주제로 CSO 온라인, 네트워크월드, 컴퓨터월드 등에 기고문을 쓰면서 연사로도 활동하고 있다. ciokr@idg.co.kr


X