Chronicle 보안 운영 소개: Google의 속도, 규모, 인텔리전스를 활용한 사이버 위협 감지, 조사, 대응

* 본 아티클의 원문은 2022년 10월 11일 Google Cloud 블로그(영문)에 게재되었습니다.

증가하는 보안 위협 및 이슈를 사전에 대비하는 것은 어느 조직에게나 가장 중요한 논의사항에 속하지만 과도한 알림과 변화하는 위협 동향으로 인해 보안 운영은 극히 어려운 실정입니다. 최근 원격 근무와 하이브리드 업무로 대대적인 전환이 이루어지는 데다 위협 행위가 점점 더 정교해지면서 위협 감지가 그 어느 때보다 어렵고 데이터 집약적으로 바뀌고 있으며 그 중요성이 높아지고 있습니다.

오늘 Google Cloud Next에서 Chronicle 보안 운영을 발표한 이유가 바로 여기에 있습니다. 이 현대적인 클라우드 기반 소프트웨어 제품군은 사이버 보안팀이 Google의 속도, 규모, 인텔리전스를 활용해 위협을 감지 및 조사하고 이에 대응할 수 있도록 지원합니다. 이 제품군 출시로 보안 운영을 범용화하고 규모와 전문성 수준에 상관없이 모든 조직에 더 나은 보안 서비스를 제공하기 위한 Google의 노력이 한 발 더 진전하게 되었습니다.

Chronicle 보안 운영에서는 위협을 보다 빠르게 식별하고 신속하게 대응하기 위해 많은 보안팀에서 사용하는 기능들을 종합적으로 제공합니다. Chronicle의 보안 정보 및 이벤트 관리(SIEM) 기술에 Siemplify 인수를 통해 확보한 보안 조정, 자동화, 대응(SOAR) 솔루션, Google Cloud의 위협 인텔리전스를 통합했습니다. 최근에 마무리된 Mandiant 인수를 통해 이슈 및 노출 관리와 위협 인텔리전스 기능이 더 추가될 예정입니다.

앞으로 모든 보안 운영 소프트웨어가 Chronicle 브랜드로 제공됩니다. Siemplify 브랜드는 Chronicle SOAR로 대체되며, 이 제품군의 보안 분석 기능은 Chronicle SIEM으로 명명될 예정입니다.

현재 미리보기 버전인 Chronicle 보안 운영은 보안 운영팀에 다음과 같이 보다 간소화된 통합 경험을 제공합니다.

• Chronicle SIEM 및 SOAR 기능의 일관된 디자인과 분위기로 통합 사용자 경험을 제공합니다.
• VirusTotal과 Google Cloud 위협 인텔리전스를 비롯한 여러 관련 데이터 소스에서 항목에 대한 정보를 가져와 표시하는 단일 화면으로 컨텍스트 제공과 빠른 의사 결정을 지원합니다.
• 분석가가 Chronicle SIEM 감지 및 Chronicle SOAR 모듈에서 알림과 항목 간 전환을 통해 더 빠르게 조사할 수 있도록 지원하는 조사 피벗을 제공합니다.
• Chronicle SIEM 감지와 Chronicle SOAR 위협 중심 케이스 관리의 알림 관리를 통합하여 조사 환경을 간소화합니다.
• 사전 패키징된 Google Cloud 기반 알림 대응 플레이북이 Security Command Center에 표시되어 해결 속도를 높이고 수작업을 줄여줍니다.

Google Cloud를 활용한 보안 운영

보안 운영팀의 데이터 및 자동화 의존도가 높아짐에 따라 Google Cloud는 규모에 맞게 데이터 컨텍스트를 분석, 검색, 발견하는 전문성을 토대로 조직이 위협 및 이슈를 감지하고 이에 대응하는 능력을 혁신할 수 있도록 돕고 있습니다.

Gartner® Research는 7월에 발표한 Hype Cycle for Security Operations(보안 운영의 과대광고 주기) 보고서1에서 “더 큰 컴퓨팅 및 스토리지에 대한 요구는 최신 SIEM을 클라우드 플랫폼에서 서비스 형식으로 제공되게 만든 가장 큰 동인입니다. 클라우드의 SaaS SIEM 솔루션에서는 플랫폼 및 인프라 유지보수를 공급업체에 맡길 수 있기 때문에 성장을 위한 보다 예측 가능한 선형 예산 책정이 가능합니다.”

Chronicle 보안 운영은 Google Cloud 고객 Vertiv의 보안 관행에서 중요한 부분을 차지합니다. 마이크 오로스 Vertiv 최고 정보 보안 담당자는 “Chronicle을 사용하면서 어떤 데이터를 로그해야 할지, 얼마나 짧은 기간 동안만 보관해야 할지 결정하느라 고민하는 일이 사라졌습니다. 보안 이벤트 모니터링 부족은 옛일이 되었고 그 어느 때보다도 권장사항을 잘 준수하고 있습니다.”라고 말했습니다.

Chronicle 보안 운영은 다음과 같은 기능을 지원하여 현대 보안팀이 오늘날의 위협 환경에서 성공적으로 업무를 처리하는 데 필요한 인텔리전스, 속도, 규모를 제공할 수 있습니다.

• 클라우드 규모의 데이터: 확장성이 뛰어난 Google Cloud 인프라를 활용하여 보안팀이 보안 원격 분석을 진행하고 예측 가능한 고정적인 가격대로 업계 표준보다 훨씬 오랫동안 데이터를 보관할 수 있습니다.
• 사용 편의성: Google 검색을 실행할 때처럼 손쉽게 페타바이트 규모의 정보를 1초 내에 검색할 수 있습니다. Chronicle은 간단한 조사를 위한 위협 중심 케이스 관리를 제공하며 가장 관련성이 높은 컨텍스트를 표시하여 일관되게 적절한 결정을 내리도록 지원하여 팀의 조사 및 대응 속도가 빨라집니다.
• 일선 인텔리전스: Google Cloud의 전문성과 권장사항으로 보안 운영의 범용화를 도와드립니다. 선별된 감지는 수십억 명의 사용자를 보호하며 수집한 Google Cloud의 통계 및 위협 인텔리전스를 활용한 기능으로, 이를 사용하면 조직이 직면한 고유한 보안 과제에 소수의 전문가 리소스를 집중적으로 투입할 수 있습니다.
• 자동화된 대응: 사전 패키징된 플레이북 가이드를 제공하며 피싱 및 멀웨어와 같은 일반적인 보안 위협에 대한 대응을 자동화합니다. 보안 및 IT 전반의 도구 수백여 개를 조정할 수 있는 커스텀 플레이북을 간단한 드래그 앤 드롭 인터페이스로 빌드할 수 있습니다.

Chronicle 보안 운영의 사용 편의성은 Jack Henry와 같은 금융 기술 기업이 보안을 효과적으로 확장하는 데 도움이 되고 있습니다. “사이버 보안 융합 센터의 업무량을 줄이고 민첩성을 향상하기 위해 노력하고 있는데, Chronicle 보안 운영은 Google Cloud 등의 환경에서 보안을 개선하는 데 필요한 규모, 속도, 인텔리전스를 제공해 줍니다.”라고 요네시 누녜스 Jack Henry 최고정보책임자는 말했습니다.

시작하는 방법

보안 운영을 한 단계 업그레이드하고 보안 운영 센터에서 Google의 속도, 규모, 인텔리전스를 활용할 준비가 되었다면 chronicle.security에서 자세한 내용을 알아보거나 Google Cloud 영업팀에 문의하세요.

1. Gartner, Hype Cycle for Security Operations(보안 운영의 과대광고 주기), 2022년, 앤드류 데이비스, 2022년 7월. Gartner는 미국 및 기타 국가에서 Gartner, Inc. 및/또는 그 자회사의 등록 상표 및 서비스 표시이며 허가 하에 여기에 사용되었습니다. All rights reserved.