Splunk SOC, Splunk 어텍 어넬라이저와 Splunk SOAR를 통해 피싱 공격에 대한 MTTD 7분으로 단축 성공

가장 까다로운 인시던트 해결

업무가 사고 대응과 관련 있다면, 모든 판단이 정확하게 이루져야 합니다. 이와 같은 기대는 기업의 사이버 보안 부서 모두에서 동일하게 적용됩니다. 특히, Splunk의 첨단 위협 대응팀처럼 기업이 직면하는 가장 복잡하고 심각한 인시던트를 처리하는 팀에서는 이러한 기대가 더욱 강조됩니다. 10명으로 구성된 이 팀은 SOC 및 기타 내부 이해관계자들과 협력하여 Splunk의 보안을 유지하기 위해 노력하고 있습니다. 이 팀의 임무는 문제 발생 시 기업의 운영, 재정 및 평판에 해당 문제가 미치는 영향을 최소화하고, Splunk 전 직원이 업무에 전념할 수 있도록 지원하는 것입니다.

최근 Splunk 어택 어넬라이저를 도입한 이후, 팀은 더 심층적인 분석을 통해 인시던트 대응 속도를 높이고 있습니다. 이후 어텍 어넬라이저는 의심스러운 파일이나 도메인을 분석하는 데 핵심 도구로 자리잡았습니다. Splunk 어텍 어넬라이저를 사용하면 인시던트를 더 빠르게 탐지하고, 기업에 미치는 위험을 줄일 수 있습니다. “이는 가장 복잡한 인시던트를 해결하는 데 큰 도움이 됩니다,”라고 Splunk 고급 대응팀 수석 관리자인 토니 이아코벨리는 말합니다.

Splunk 어텍 어넬라이저와 같은 강력하고 자동화된 위협 분석 툴을 도입하면 탐지 능력을 확장성 있게 수행할 수 있습니다. 이전에는 악의적인 활동이 발생하면, 고급 대응팀은 EDR 솔루션에만 의존해 추가 실행을 방지하기 위해 이를 자동으로 차단했습니다. 어텍 어넬라이저를 사용하면, 분석가는 패턴을 추적하고 공격 소스에 관한 상세 정보(보안 침해 지표 및 호스트 기반 아티팩트 등)를 추가로 확보하여 EDR에서는 놓쳤던 의심스러운 활동을 찾아낼 수 있습니다. 또한, 어텍 어넬라이저 내 대화형 실행(detonation) 모드를 통해 기기에 영향을 미칠 위험 없이 멀웨어 조사를 수행할 수 있습니다.

어텍 어넬라이저의 도입은 매우 적절한 시기에 이루어졌습니다. "Splunk는 가시성을 확보할 수 있는 유즈 케이스와 영역의 수를 확장하고 있었습니다,"라고 토니(Tony)는 말합니다. “하지만 안타깝게도 시스템에 대한 가시성이 높아짐에 따라 단순히 인력 자원을 확장하는 것만으로는 충분하지 않았습니다. 따라서 전체 효율성을 향상시켜 팀의 생산성을 높일 필요가 있습니다. 어텍 어넬라이저가 바로 그 역할을 했습니다.” 어텍 어넬라이저 덕분에 Splunk 사고 대응팀 전반의 효율성이 향상되었으며, 이를 통해 중요한 유즈 케이스에 대한 MTTD를 7분 이내로 단축하는 목표를 달성할 수 있었습니다.