지니언스 기술 블로그

SOAR를 위한 차세대 NAC 보안 자동화 - Genians

Written by Genians | Oct 29, 2020 6:00:00 AM
 

Genian Next-Gen NAC는 기업에 존재하는 SIEM (Security Information and Event Management, 보안 정보 및 이벤트 관리)이나 SOAR (Security, Orchestration, Automation and Response, 보안, 오케스트레이션, 자동화 및 대응)와 같은 위협 탐지 및 모니터링 시스템의 기능을 향상시킵니다. 향상된 가시성 및 감시 기능, 실시간 격리 옵션 및 외부 시스템으로의 다양한 알림 기능을 통해, 기업의 보안팀이 사이버 환경에서 효과적으로 내부 시스템을 관리할 수 있습니다. Genian NAC와 연동됨으로써 이러한 향상된 기능을 제공할 수 있는 시스템에는 Seceon aiSIEMInfoblox DDI가 있습니다.

SIEM이 여러 개의 소스로부터 경고 알림을 수집 및 통합하여 단일 뷰로 제공하는 솔루션인 반면, SOAR는 발생하는 수 많은 경고 알림에 대해 자동화된 대응을 제공하는 솔루션입니다. SOAR 시장에서 IBM은 IBM Resilient라는 제품을 통해 시장의 선두주자로 활동하고 있습니다. Resilient는 160개 이상의 통합 어플리케이션을 가지고 있으며, 이는 IBM AppExchange에서 제공하고 있습니다. 이 어플리케이션들은 IBM Resilient가 여러 외부 시스템과 연동하게 해줌으로써, Resilient 단일 제품만으로는 제공하지 못하는 다양한 기능들을 제공할 수 있게 도와줍니다.

 

네트워크 감시

Device Platform Intelligence (DPI)을 통해, Genian NAC는 가시성 2.0을 제공합니다. 기존 디바이스 핑거프린팅은 BYOD, IoT, OT 등의 환경을 지원하기에는 뒤쳐져 있고 효과적이지 않습니다. DPI를 통해서, 단순히 디바이스 카테고리 수준의 정보 (예를 들어, PC, 전화기, 프린터 등) 보다 훨씬 더 많은 정보들을 제공할 수 있습니다. 즉, 디바이스의 실제 이미지, EOL(End of Life, 수명 종료)/EOS(End of Sales, 판매 종료), CVE(Common Vulnerabilities and Exposures, 정보 보안 취약점 표준 코드), 비즈니스 위험 등과 같은 정보를 제공할 수 있습니다. 이 정도 수준으로 디바이스에 대한 정보가 세분화되고 상황 및 문맥 파악이 가능해야만, Resilient에 의해 위협이 식별된 노드에 NAC 정책을 적용할 때 더 정확한 판단을 내릴 수 있을 것입니다.

Layer 2 기반 실시간 격리

위협을 식별하고, 어플리케이션을 통해 외부 시스템에 대한 조치를 자동화하는 것은 IBM Resilient의 주요 기능입니다. 이렇게 외부 시스템에 대한 조치를 취할 때에 실질적으로 감시 기능이 필요합니다. 해당 시스템의 구조가 감시의 효과성과 구현의 난이도를 결정하게 됩니다. Resilient가 위협을 감지하게 되면, Genian NAC으로 태그를 네트워크 노드에 지정하는 API 호출을 하게 됩니다. 해당 태그는 노드로의 접근을 제한하거나 노드를 감시하게 됩니다. 이러한 사항은 Genian NAC ARP Enforcement를 이용하여 실시간으로 수행됩니다. Genian NAC은 기존의 NAC 수행 모델들과는 다르게, 네트워크 구조에 의존성이 없으며, 벤더에 대한 지식이 없이도 쉽게 구현될 수 있습니다. 더 구체적으로 Genian NAC / IBM Resilient 연동에 대해 알아보기 위해서는 Genian NAC에 대한 IBM App 교환 목록을 참조하세요.

향상된 알림 옵션

보편적인 기업의 보안팀이 관리하고 있는 시스템의 수를 고려할 때, 효과적이고 세분화된 알림이 필수적입니다. Genian Next-Gen NAC과 IBM Resilient의 연동이 자동화 되어 있으며, 위협이 발생되는 노드들은 이미 실시간으로 감시되고 있기 때문에 알림은 실행가능성보다는 정보성이 큽니다. 오늘날의 원격 업무 상황이나 협동적인 업무 모델에서 전형적인 이메일 알림은 위협을 효과적으로 추적하기에 적합하지 않습니다. 알림은 Slack, Teams, ServiceNow 등과 같은 협업 시스템과 연동함으로써 더 나은 커뮤니케이션 수단이 될 수 있습니다. 예를 들어 Genian NAC / Slack 연동을 통해, 보안팀은 Webhook을 통해 직접 특정 Slack 채널로 경고 알림을 보낼 수 있습니다. 보안팀은 Resilient-Genian NAC-특정 채널을 통해 이러한 알림들을 추적할 수 있도록 디자인 할 수 있으며, 이메일, SMS, Syslog와 같은 추가적인 알림 옵션들도 설정할 수 있습니다.

여러분들 기업이 SOAR 에 투자하면서 IBM Resilient 어플리케이션들을 비교 검토 하고 계시다면, Genian Next-Gen NAC은 손쉽게 설치될 뿐만 아니라 클라우드 관리 기능과 자유로운 연동 가능성으로 인해, 여러 제품들 중 가장 적당한 선택일 것입니다. 또한 Virtual Network Sensors는 Genian NAC이 어떠한 네트워크 환경도 쉽게 모니터링 할 수 있게 만드는 중요한 구성요소이며, IBM Resilient 연동시, 별도의 검토사항을 줄여주는 역할을 할 것입니다.

 

참조 URL

산업용 네트워크와 보안 백서

Genian NAC 소개자료

Genian NAC 브로셔

NAC의 미래와 시장전망

 

 

지니언스의 제품

GENIAN NAC