엘라스틱, ‘엘라스틱 시큐리티 7.6’ 출시…진단시간 최소화로 ‘업무효율↑’
엘라스틱, ‘엘라스틱 시큐리티 7.6’ 출시…진단시간 최소화로 ‘업무효율↑’
  • 곽민구 기자
  • 승인 2020.03.03 11:21
  • 댓글 0
이 기사를 공유합니다

(데일리포스트 이미지 출처=엘라스틱 제공)
(데일리포스트 이미지 출처=엘라스틱 제공)

[데일리포스트=곽민구 기자] 데이터베이스 분야의 글로벌 선도업체 엘라스틱이 전례 없는 가시성과 위협 보호를 제공해주는 '엘라스틱 시큐리티 7.6'을 출시했다.

'엘라스틱 시큐리티 7.6'은 전산시스템을 공격하는 각종 보안 위협 탐색을 자동화하기 위해 새로운 통합보안관리(SIEM) 탐색 엔진을 도입, 평균 진단 시간(MTTD)을 최소화하고 보안팀이 다른 업무에 할애하던 시간을 줄여 사람의 직관과 기술을 필요로 하는 보안 업무에 집중할 수 있는 시간을 갖게 해주는 것이 특징이다.

'엘라스틱 시큐리티 7.6'의 핵심 기능 가운데 하나인 '엘라스틱 SIEM'은 '엘라스틱서치'를 기반으로 하기 때문에 보안 조사의 속도를 높여 소요시간을 수 시간에서 수 분으로 단축시켜준다. 이 새로운 자동 탐색 기능은 만약 이 기능이 없었더라면 놓치게 될 위협을 찾아냄으로써 지연 시간을 줄여준다.

엘라스틱은 또 다른 도구가 종종 놓치는 위협의 신호를 포착하기 하기 위해 엘라스틱의 '어택'이란 참조 자료와 맞춘 약 100개의 기본 규칙 시작 세트를 제공해준다.

보안 전문가들이 만들고 유지 관리하는 이 규칙들은 위협 활동을 가리키는 도구, 전술 및 절차를 자동으로 탐색하고 새로운 위협에 대처하기 위해 계속 업데이트된다. 탐색 엔진이 생성하는 신호와 관련된 위험과 심각도 점수 덕분에 분석가들은 문제를 빠르게 분류한 뒤 가장 중요한 작업에 집중할 수 있게 된다.

스카이텍커뮤니케이션즈의 맥심 베로 보안책임자는 "엘라스틱은 우리 보안팀이 관리할 수 있는 볼륨으로 알림의 수를 줄이면서도 수백만 개의 로그를 효율적으로 검색하는 데 필요한 도구를 갖추게 해줌으로써 우리 보안팀이 중요한 업무에 집중하도록 도와준다“며 ”엘라스틱 시큐리티 7.6의 출시로, 엘라스틱 SIEM의 기본 신호 탐색을 통해 우리는 가시성 데이터에 걸쳐 분석을 자동화하고 위협이 발생하는 순간, 그 위협을 탐색하여 대응할 수 있다“고 말했다.

'엘라스틱 SIEM'이 제공하는 규칙은 윈도, 맥OS, 리눅스 시스템에서 수집된 '엘라스틱 커먼 스키마(ECS)' 준수 데이터 및 다른 소스의 네트워크 정보 상에서 운영되기 때문에 보안팀이 자체 환경에 추가되는 새로운 ECS 준수 데이터 소스에 대한 규칙을 다시 작성할 필요가 없다.

즉 기본적인 '엘라스틱 SIEM' 위협 탐색 규칙은 엘라스틱의 보안 전문가들이 개발하고 유지 관리하며, SIEM 앱의 머신 러닝 기반의 이상 징후 탐색 작업과 '엘라스틱 엔드포인트 시큐리티'의 호스트 기반 보호 양쪽 모두를 보완해준다.

또 '엘라스틱 시큐리티 7.6'에 기본 탑재되는 새로운 탐색 기능은 이 데이터를 활용하여 키보드 입력을 포착하고, 악성 코드를 다른 프로세서에 심으려는 시도 등을 탐색해준다. 실무자는 이러한 탐색 규칙이 생성하는 이벤트와 자동화된 대응을 연결하여 계층화된 방지를 확립할 수 있다.

맥OS와 리눅스 시스템에 대한 기존 방지, 탐색, 대응 기능과 이러한 가시성 및 보호를 결합하여 엘라스틱 '엔드포인트 시큐리티' 사용자들에게 전체 환경에 걸쳐 완전한 보호를 제공해준다.

평균진단시간(MTTD)도 단축시켜준다. 새로운 엘라스틱 SIEM 앱 개요 페이지와 폭넓은 워크플로 개선으로 보안 실무자들은 위협을 빨리 헌팅하고 조사할 수 있다. 사용자들은 타임라인을 열어 최근의 탐색 신호를 보고, 엘라스틱 엔드포인트 시큐리티, 팔로알토네트웍스, 수리카타, 지크 등 외부 소스의 알림을 검토하여 바로 조사에 들어갈 수 있다.

이밖에 엘라스틱 SIEM은 HTTP 데이터에 대한 큐레이팅된 가시성을 제공하여 SIEM 앱 내에서 직접 엘라스틱 APM 데이터를 볼 수 있게 해주며, 중앙화된 시각화와 분석을 위해 '엘라스틱 스택'으로 데이터를 수집하는 일을 쉽게 처리할 수 있다.

또 '엘라스틱 시큐리티 7.6'은 AWS(아마존웹서비스) 클라우드 트레일 데이터에 대한 지원을 도입하며, 구글 클라우드 플랫폼에 대한 지원을 개선하여 현대적인 공격을 파악하는 데 핵심적인 가시성을 제공해준다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.