Elasticsearch 정보보안 SIEM 활용 사례

Elasticsearch는 지속적인 업데이트를 통해 정보 보안 분야에서 적용 가능한 다양하고 강력한 기능들을 제공하고 있습니다. 주요 기능 중에는 SIEM 성능이 특히 향상되었습니다. 이전 Legacy 방식의 SIEM 솔루션들은 제가 겪어본 바로는 운영이나 성능 면에서 굉장히 비효율적인 점들이 많았습니다. 정보보안 관점에서 SIEM 용도로 엘라스틱을 사용할 때 얻을 수 있는 장점들에 대해 자세히 살펴보겠습니다.

불과 몇 년 전만 해도 엘라스틱 서치(Elasticsearch)가 세상에 나오기 전에는 IT시장에 대표적인 몇몇 SIEM 제품을 어쩔 수 없이 울며 겨자 먹기 식으로 딱히 다른 대안이 없어 여러가지 단점이 있음에도 불구하고 사용할 수밖에 없었습니다. 제가 현재 다니고 있는 회사도 똑같은 경험을 하였습니다. 저의 경우에는 Elasticsearch를 실무에 적용하기 시작한 것은 2.x 대 버전부터 입니다. 지금은 8.x 대 버전으로 매우 발전하였습니다. 새로운 버전으로 업그레이드 되면서 여러 기능들과 성능은 향상되었지만, 유저 인터페이스 쪽은 다소 복잡해져서 이용하는데 어려움이 있습니다.

특히, 키바나 검색 창은 이전 버전의 간결한 UI가 개인적으로는 더 사용하기 편리하다고 생각합니다. 저는 이전 버전에 익숙해져서 그런지 새로운 키바나 인터페이스는 조금 불편하게 느껴집니다. 현재는 최신버전으로 모두 업그레이드하여 변경된 키바나 UI에도 많이 적응한 상태입니다.

보안 운영 및 정보 보안 측면에서 Elastic을 활용할 수 있는 사례에 대해 알아보도록 하겠습니다. Elasticsearch은 보안 기능을 강화하면서 버전 업그레이드를 진행하고 있습니다. 다음은 elastic을 보안 관점에서 활용 할 수 있는 사례에 대한 내용이니 SIEM 구축이나 도입을 고려중이시라면 자세하게 읽어보시면 도움이 될것입니다. 참고하셔서 해당 서비스에 적용하거나 활용하실지 고민해 보시기 바랍니다.

 

Elasticsearch SIEM은 다양하고 강력한 기능을 제공

 

Elasticsearch-SIEM-활용사례-01

 

이벤트 로그를 바탕으로 보안 위협을 식별하고 대처할 수 있습니다. SIEM의 강점은 이를 통해 수집되고 분석되는 데이터에 기반합니다. 보안 분석을 수행하기 위해서 현대 보안 팀은 여러 상황에 맞는 정보를 수집해야 하며, 이를 위해 다양한 데이터 소스에 빠르게 접근할 수 있어야 합니다. 이는 경보 처리, 조사, 추적 등 전반적인 보안 업무에 필요합니다.

중요한 사안에 빠르게 대응하여 위험 상황을 사전에 방지하는데 활용 할수 있습니다. 신속하고 탄력적인 검색 기능을 활용하면 팀의 업무 효율을 최대치로 끌어올릴 수 있습니다. 통합 단일 에이전트를 활용하면 호스트 가시성을 향상 시킬 수 있으며, 랜섬웨어 및 멀웨어를 방지하고, 검사 과정을 단순화하며, 원격 지원 작업도 할 수 있습니다.

 

SOAR 기능 활용

 

자동화 및 오케스트라 방식을 활용하면 SOC 업무 흐름을 효율적으로 개선할 수 있습니다. 보안 팀이 빠르게 공격자를 대응할 수 있도록 인력, 과정 그리고 기술을 SOAR에 맞추는 것이 가능합니다. 많은 사용자가 활동하는 커뮤니티에서는 모든 분석가와 정보 제공자의 혁신적인 영향력이 커질 수 있습니다.

대응을 신속히 진행하여 피해가 확대되기 전에 공격을 미리 막을 수 있습니다. 원격 업무를 자동화하고 자원 재배분 등의 기능으로 사전 대응 측면에서 큰 효과가 있습니다.

 

보안 위협 인텔리전스

 

Elasticsearch-SIEM-활용사례-02

 

Elastic Security 인터페이스를 활용하면 위협 인텔리전스를 실질적인 액션으로 전환하고 보안 팀의 능력을 향상시킬 수 있습니다. 중앙 집중식 모니터링 화면 하나로 모든 위협 지표를 간편하게 조회할 수 있습니다. 실시간 모니터링으로 위협에 신속하게 대응할 수 있고 빠른 대처가 가능합니다.

 

엔드 포인트 보안 강화(End User Security)

 

Elastic Security for Endpoint는 랜섬웨어와 악성코드를 차단하고, 지능적인 위협을 탐지하며, 대응 담당자에게 중요한 조사 맥락을 제공합니다. 오픈 소스 플랫폼을 활용하면 모든 시스템과 서비스를 안전하게 보호할 수 있습니다. 연결된 elastic agent를 활용하여 데이터를 모으고, 위협을 탐지하며, 방어하고 신속하게 대처할 수 있습니다. 잘 알려지지 않은 악성코드나 랜섬웨어도 탐지 및 차단 가능하며, 호스트 기반 분석 기능을 활용하여 지능형 지속 공격(APT) 또한 방어할 수 있습니다.

 

XDR 기능으로 보안 강화

 

이제 전반적인 인프라에 대한 보호 기능을 제공하는 탐지 및 대응(XDR)의 확장이 필요한 시기입니다. XDR용 Elastic Security는 오픈 소스 형태의 보안 솔루션으로, 이를 활용하면 조직은 이미 진행한 투자를 최대한 활용하면서도 위험 요소는 줄일 수 있습니다. 모든 시스템의 심층 방어를 중앙 집중식 관리로 할 수 있습니다.

 

클라우드 보안

 

엘라스틱은 클라우드 환경의 보안 상황을 점검하고 그 안에서 실행 중인 작업들을 안전하게 보호할 수 있습니다. 또한, 클라우드 환경의 상세한 모니터링 기능을 활용하여 클라우드 배포를 안전하게 보호 할 수 있습니다. 예방, 탐지 그리고 대응 기능을 하나의 통합된 솔루션으로 제공하여 클라우드 상에서의 워크로드 실행을 보호할 수 있습니다.

보안 스택을 결합하여 인프라부터 엔드포인트, 클라우드까지의 모든 환경에 대한 통찰력을 확보하고 이를 통해 보안 작업을 일원화하세요. 방지, 발견, 대처를 통해 단체를 총괄적으로 방어할 수 있습니다.

 

결론

 

앞서 설명드린 여러 기능들에서도 알 수 있듯이, 엘라스틱 서치는 최종적으로 보안 측면에서 이용 가능한 옵션들이 다채롭고 강력하다고 할 수 있습니다. Elasticsearch 8.x 버전을 내려받아 다양한 여러 기능들을 실제로 체험해보았고, 이를 실무에 활용하여 유용하게 사용 중인 기능들도 다양합니다.

Elasticsearch를 효율적으로 이용한다면, 보안 시스템 관리, 보안 사고 대응, 보안 위협 탐지, 침해 사고 분석 등 다양한 보안 업무들을 하나의 일관된 스택으로 결합할 수 있다는 장점이 있습니다. 특히, 실시간 사이버 보안 위협에 대해 elasticsearch 단일 플랫폼으로 대응 프로세스를 통합 및 운영하게 되면 큰 업무효율 상승효과와 함께 다양한 이점들을 체험할 수 있습니다.

제가 현재 근무중인 보안팀에서도 Elasticsearch를 SIEM으로 활용하여 여러 방면에서 업무 효율성을 향상 시켰고 현재도 elasticsearch 스택 구축의 도움으로 실시간 보안위협에 대한 보다 빠른 대처를 경험하고 있습니다. 현재 Elasticsearch 플랫폼이 없다면 적극적으로 고려해보시길 추천드립니다.