캘리포니아 폴리테크닉 주립대학교 포모나 캠퍼스(Cal Poly Pomona)의 부총장 겸 최고 정보 책임자(CIO)인 John McGuthry는 "우리 캠퍼스는 규모가 큽니다."라고 말합니다. "학생 수뿐만 아니라 물리적 규모 면에서도 마찬가지입니다. 우리는 약 1,400에이커에 100개 이상의 건물을 보유하고 있습니다. 마구간이 있고, 농장도 있습니다. 우리가 관리하는 네트워크 인프라와 무선 네트워크가 적용되는 공간은 광범위합니다."

그리고 이러한 대규모 캠퍼스 환경을 관리하는 것이 학교의 IT 보안 리소스에 어려움을 주기 시작했습니다. "장치에서 너무 많은 알림들을 받아서 감당할 수 없을 정도가 되었습니다."라고 McGuthry는 회상합니다. "우리가 살펴봐야 하는 정보의 양이 계속 늘어났죠. 우리에겐 더 나은 방법이 필요했습니다."

그러나 Cal Poly Pomona는 엄청난 규모의 환경 외에도 충족해야 하는 다양한 데이터 보안 표준과 관련된 문제에 직면했습니다. McGuthry는 다음과 같이 설명합니다. “캠퍼스에 경찰이 있기 때문에 우리는 법 집행 데이터에 대한 규정 준수 표준이 확립되어 있습니다. 또한 우리는 의료 센터를 운영하고 있기 때문에 HIPAA가 적용됩니다. 호텔, 레스토랑, 소매점 등에는 PCI 요구 사항이 있습니다. 그리고 이 모든 것과 함께 우리는 안전하게 유지해야 하는 학생 정보도 가지고 있습니다.”

이러한 문제를 해결하기 위해 McGuthry는 복잡한 로깅 기능을 제공할 수 있는 중앙 집중식 보안 정보 및 이벤트 관리(SIEM) 플랫폼을 구축하기를 원했습니다. 그리고 내부에서 다양한 대화를 나눈 끝에 IBM^{Security QRadar} SIEM이 제공하는 기능을 살펴보는 데 관심을 갖게 되었고, 곧바로 IBM Security 팀과 초기 논의를 시작했습니다.

"QRadar에 대한 철저한 평가와 IBM과의 대화를 마친 후, 저는 CISO에게 전화를 걸어 '해보자'고 말했습니다."라고 McGurthry는 회상합니다. "이 솔루션이 Cal Poly Pomona에 가장 적합한 것 같았습니다."

초기 QRadar SIEM 배포의 일환으로, IBM Security 팀은 Cal Poly Pomona 직원과 함께 전체 아키텍처에 대한 포괄적인 인벤토리를 작성하여 네트워크 토폴로지에 대한 상세한 기록을 생성하는 동시에 데이터 액세스가 가능한 모든 사용자 역할을 식별했습니다. 현재 약 27,000명의 재학생과 3,000명의 교직원이 정기적으로 이 시스템을 사용하고 있습니다.

이 대학교의 IT 보안 및 규정 준수 담당 부사장이자 최고 정보 보안 책임자인 Carol Gonzales는 “우리는 또한 학기마다 지원자로 구성된 대규모의 임시 사용자 그룹도 있습니다.”라고 말합니다. "그 결과 사용자 기반이 총 약 100,000명으로 증가하며, 이는 빠르게 다시 감소합니다. 우리는 또한 지역 사회를 위한 많은 행사를 주최합니다. 그리고 학생들의 친구와 가족들이 모두 캠퍼스로 모이는 졸업식이 매년 열립니다. 엄청난 양의 무선 액세스가 생겨나는 거죠."

사용자 역할과 인벤토리를 파악한 QRadar SIEM은 Cal Poly Pomona가 84,000개 이상의 장치에서 들어오는 데이터를 중앙 집중화, 정규화, 분석하여 머신 러닝과 행동 분석을 사용하여 잠재적 위협을 식별할 수 있도록 지원합니다. 이렇게 하면 평균적으로 매일 약 44GB의 로그와 보고서가 생성되며, 이는 포렌식 관점에서 보면 규정 준수 및 감사 요건을 간소화하는 데 도움이 됩니다.

좀 더 자세히 설명하자면, IBM 솔루션의 실행 가능한 알림 기능은 침입 위치를 빠르고 효율적으로 식별하여 조사가 필요한 항목에 플래그를 지정할 수 있습니다. 또한 QRadar SIEM은 사용자 행동 분석을 제공하여 보안 담당자가 표적 공격, 내부자 위협 또는 기타 악의적인 활동을 나타낼 수 있는 이전에는 감지할 수 없었던 이상 징후를 식별하는 데 도움을 줍니다.

QRadar SIEM은 보안뿐만 아니라 대학의 교육 활동에도 도움이 됩니다. 특히 경영대학 학생들은 학교의 미첼 힐 데이터 센터(Mitchell Hill Data Center)에서 IBM 기술을 사용하여 사이버 보안을 공부하면서 '실제' 경험을 쌓고 있습니다.

"이것은 우리의 생산 환경을 모방한 격리된 벽으로 둘러싸인 아키텍처입니다."라고 이 대학의 컴퓨터 정보 시스템 부교수인 Ronald E. Pike 박사는 설명합니다. “Cal Poly Pomona 학생들은 QRadar를 사용하여 자체 학생 관리 보안 운영 센터(SOC)를 운영하고 환경 안팎으로 이동하는 트래픽을 관찰할 수 있습니다. 또한 학기 내내 해결해야 하는 보안 문제에 대한 일관된 기준을 제공하는 추가 사용자 활동을 인위적으로 생성할 수 있습니다."

또한 IBM 기술은 IT 감사와 전체적인 보안 관리, 특히 사이버 보안의 다양한 영역이 서로 어떻게 상호 연관되는지에 초점을 맞춘 전문 수업을 지원합니다.

"학생 데이터 센터에서 여러 대회도 개최하고 있습니다."라고 Pike는 덧붙입니다. "그리고 QRadar는 이러한 활동을 모니터링하고 경쟁사의 성과에 대한 명확한 평가 데이터를 제공하는 데 있어 매우 중요합니다."

QRadar SIEM은 전체 캠퍼스 네트워크에 대한 포괄적인 가시성을 제공합니다. 그리고 IBM 기술을 사용하면 지능적이고 지속적인 위협과 함께 이전에 식별되지 않은 취약점을 표적으로 삼는 공격을 더 쉽게 감지할 수 있습니다. 이 모든 기능을 통해 Cal Poly Pomona는 보안 약점과 침입을 훨씬 더 빠르게 식별할 수 있습니다. 또한 이 솔루션은 매일 잠재적인 알림을 20~40개의 조사가 필요한 실행 가능한 항목으로 개수를 줄입니다.

Gonzales는 “우리가 모든 것을 확인할 수는 없기 때문에 QRadar는 실제로 살펴봐야 할 세부 정보를 집계하고 요약합니다.”라고 설명합니다. “예를 들어 몇 달 전에 같은 부서의 여러 데스크톱에서 무단 변경이 감지된 사건이 있었습니다. QRadar를 통해 우리는 단 며칠 만에 이러한 시스템을 신속하게 식별하고 재구성할 수 있었습니다. 또한 문제가 다시 발생할 경우를 대비하여 해당 부서를 계속 감시할 수 있는 위젯을 대시보드에 쉽게 추가했습니다.”

Gonzales는 기술이 제공하는 가치 외에도 IBM Security 팀이 제공하는 지원에 만족했습니다. 그녀는 다음과 같이 말합니다. “IBM은 더 스마트하게 일하는 방법을 찾을 수 있도록 도와줍니다. IBM과 함께하는 가치 평가가 정말 만족스럽습니다. 이러한 평가를 통해 우리는 어떤 범죄에 우선순위를 두어야 하는지 파악할 수 있습니다. IBM은 도구를 관리하느라 애쓰는 대신 QRadar가 대신 작업을 수행하도록 하는 방법을 가르쳐줍니다.”

McGuthry는 계속해서 다음과 같이 덧붙입니다. “제품의 성능도 좋아야 하지만 서비스 또한 매우 중요합니다. IBM이 우리에게 제공한 전문가들은 우리 대학에 정말 큰 도움이 되었습니다.”

1938년에 설립된 Cal Poly Pomona(ibm.com 외부 링크)는 체험 학습과 실습에 중점을 둔 선도적인 폴리테크닉 대학입니다. 캘리포니아주 포모나에 위치한 이 학교는 94개 전공의 학사 학위와 39개 석사 학위 프로그램을 제공하는 9개 단과대학으로 구성되어 있습니다.