사이버 공격이 가장 강력한 IT 보안 시스템을 침해하는 경우, 신속한 감지가 침해를 관리하고 복구하는 데 정말 중요합니다. Mohawk는 침해를 신속하게 감지하고 인시던트 대응의 우선순위를 지정하기 위해 IBM 비즈니스 파트너인 GlassHouse Systems와 협력하여 IBM Security QRadar® SIEM(보안 정보 및 이벤트 관리) 솔루션을 구현하였습니다.
Mohawk College는 복잡한 IT 환경을 보호하는 이미 강력한 시스템을 침해할 수 있는 위협이 증가하는 가운데 방어 체계를 관리하기 위해 업계 최고의 SIEM 솔루션을 구현하고자 했습니다.
이 대학은 사이버 보안 침해를 감지, 조사하고 이에 대응할 수 있는 환경에 대한 가시성을 확보하기 위해 GlassHouse와 협력하여 QRadar SIEM 플랫폼을 구현했습니다.
고등 교육 기관은 사이버 범죄자들에게 가장 풍부한 정보를 제공하고 가장 잘 알려진 표적 중 하나입니다. 이들은 지적 재산과 연구 내용, 학생과 교수진 모두의 개인 정보가 담긴 열매를 제공합니다. 또한 일반적으로 사이버 보안 조치와 기술은 여러 대학이나 대학 학부에서 체계적인 예방과 대응 없이 단편적으로 구현되는 경우가 많기 때문에 악의적인 공격자는 낮게 매달린 이러한 과실들을 쉽게 수확할 수 있습니다.
"서로 다른 일을 수행하는 부서가 너무나 많기 때문에 보호해야 할 환경이 복잡해집니다."라고 온타리오주 해밀턴에 위치한 Mohawk College의 IT 보안 서비스 관리자인 Andrew Frank는 말합니다. "일반적으로 잘 짜여진 보안 프로그램이 없는 경우 기술 인력은 환경을 보호하는 일과 관련된 모든 업무를 처리할 것입니다. 이들은 빠르게 멀웨어 방지 프로그램을 소진하고 구매하거나 최신 차세대 방화벽을 설치할 수도 있습니다.이러한 수정 조치는 매우 중요하지만 이것은 Mohawk와 같은 대학에서 사이버 공격에 맞서 싸우는 조치의 일부일 뿐입니다."
Mohawk가 사이버 보안에 대해 포괄적인 접근 방식을 취하는 것은 놀랄만한 일이 아닙니다. 이 대학은 학생들이 해밀턴과 토론토 인근 지역에서 비즈니스에 대한 실제 경험을 쌓을 수 있는 여러 학문과 함께 응용 연구에 주력하고 있습니다. 학교는 LEED 인증을 받은 친환경 건물과 냉난방 시스템을 갖춘 자체적인 혁신 운영으로 잘 알려져 있습니다.
또한 Mohawk는 사이버 보안을 교육하고, 기관의 사이버 보안을 감독하는 광범위한 중앙 IT 부서를 보유하고 있습니다. 몇 년 전에 대학은 악의적인 공격자로부터 학교를 보호하고 방어하기 위해서는 최첨단 사이버 보안 툴을 사용해야 한다는 사실을 깨달았습니다.
Frank는 대학의 사이버 보안 환경이 어떻게 발전했는지를 회상합니다. 그는 "학교의 이사회는 중요 자산을 보호하는 프로그램을 어떻게 구축할 수 있을지에 대해 질문하기 시작했습니다."라고 말합니다. 중앙 IT 부서는 정보 보안을 관리하기 위한 ISO 27001 및 ISO 27002 표준을 포함하여 다양한 보안용 산업 프레임워크를 살펴보는 일부터 시작했습니다. 그런 다음 NIST CSF(National Institute of Standards and Technology Cybersecurity Framework)를 사용하여 갭 분석을 수행하고 식별, 보호, 탐지, 대응 및 복구의 5가지 핵심 요소에 대해 점수를 매겼습니다.
대학은 보호해야 할 자산을 식별하고 그러한 자산을 전반적으로 보호하도록 적절한 조치를 취해왔다고 알고 있었습니다. 그러나 탐지 부분에서 점수가 낮았기 때문에 제어에 실패하면 침해를 신속하게 식별하고 침해 피해에 대응하고 피해를 복구하는 단계로 나아가지 못했습니다. "보호 메커니즘에 모든 투자를 할 수 있지만 만병통치약은 없습니다."라고 Frank는 주장합니다. "결국 높은 손상 위험과 복잡한 환경만 남게 되죠."
Mohawk는 탐지에 집중하고 투자하기로 결정했습니다. "누군가 우리의 보호망을 뚫는 다면 네트워크에서 이러한 활동을 신속하게 탐지하고 근절할 수 있도록 보장하고 싶었습니다."라고 Frank는 이야기합니다. 고등 교육 기관에서는 공격자가 시스템에 침투했다는 사실을 깨닫기까지 몇 달이 걸리기도 합니다. "우리는 시스템이 침해를 입었을 때 그런 상황이 일어나기를 원치 않았습니다."라고 그는 말합니다.
Frank는 "신속한 탐지만큼 사후에 일어나는 일도 중요했습니다."라고 언급합니다. "사후에 시스템을 재구축하고, 침해를 당한 후에 네트워크를 다시 보호하려면 어떤 일이 일어났는지, 어떤 시스템에 접촉했는지 정확히 파악하기 위한 요소들을 재생할 수 있어야겠죠."
Mohawk는 업계 최고의 탐지 플랫폼을 검색하기 시작했습니다. 당시 학교는 이미 IBM과 협력하여 QRadar 솔루션과 같은 SIEM 툴을 포함하기 위한 사이버 보안 커리큘럼을 확장하고 있었습니다. 이러한 시너지 효과를 염두에 두고 Frank와 그의 동료들은 대학을 위한 SIEM 솔루션을 모색하기 시작했습니다.
Frank는 대학의 기준에 대해 다음과 같이 설명합니다. "우리는 사용하기 쉬우며, 데이터를 중심으로 검색하고 이벤트 로그를 보고 네트워크 트래픽 분석을 수행할 수 있으면서도 많은 교육이 필요하지 않은 툴을 원했습니다." 대학에는 검색을 위한 정보를 저장할 뿐만 아니라 사고 내용을 식별하고 우선순위를 정하며, AI를 적용하여 침해 상황을 더 빠르게 조사할 수 있는 옵션을 제공하는 툴이 필요했습니다.
QRadar는 Mohawk가 조사한 솔루션 중에서 가장 빠르게 선두에 올랐습니다. 이 툴은 Gartner의 Magic Quadrant SIEM 부문 보고서에서 SIEM 리더로 선정되었고, 퍼블릭 클라우드 제공업체 사이에서 평판이 우수하며, 다른 고등 교육 기관으로부터 강력한 추천을 받았기 때문에 고려 중인 다른 툴보다 돋보였습니다.
Mohawk는 다양하고 분산된 IT 네트워크에서 위협을 보다 신속하게 탐지하고 우선순위를 지정할 수 있도록 QRadar SIEM 플랫폼을 구현하기로 결정했습니다. "원하는 툴을 결정하고 나니 QRadar가 정말로 많은 부분을 충족시켜 주었습니다."라고 Frank는 말합니다."우리는 판매뿐만 아니라 설치와 관련된 전문적인 서비스를 제공할 수 있는 업체를 찾기만 하면 되었습니다."
Mohawk는 QRadar 솔루션을 구현하고 대학에 개인화된 지속적인 지원을 제공하기 위해 현지 IBM 비즈니스 파트너인 GlassHouse를 선택했습니다.
"우리는 처음부터 GlassHouse의 모든 직원들이 대단히 전문적이라는 사실을 알 수 있었습니다"라고 Frank는 말합니다. "그들은 단지 우리에게 영업을 하기 위해 방문했다가 가는 그런 사람들이 아니었습니다. 그들은 우리와 관계를 맺었습니다."
GlassHouse는 QRadar 솔루션을 구현하여 캠퍼스 3곳과 1차 데이터 센터에 인프라를 구축하고 대학이 여러 시스템과 부서에서 데이터를 수집하고 분석할 수 있도록 지원했습니다. 또한 IBM 비즈니스 파트너는 Mohawk 팀을 교육하고 필요한 모든 문서와 도표화 작업을 제공했습니다.
QRadar 플랫폼은 IT 보안 직원이 네트워크 보안을 시각화하는 데 도움이 되는 통합 대시보드를 Mohawk에 제공합니다. 침해나 공격이 발생하면 보안 분석가는 공격 대시보드를 사용하여 공격이 언제, 어떻게, 어디서 발생했는지에 대한 인사이트를 얻을 수 있습니다. 또한 QRadar 솔루션은 관련성, 신뢰성 및 심각도에 따라 공격의 우선 순위를 지정하므로 Mohawk는 우선 순위가 가장 높은 공격에 먼저 대응하는 데 집중할 수 있습니다.
솔루션은 또한 사용자의 특정 요구에 맞게 높은 수준으로 구성할 수 있습니다. 예를 들어, 대학의 교수진과 직원, 학생들은 많은 이메일 피싱 공격을 경험합니다. "우리는 자체적으로 대시보드를 만들 수 있었습니다."라고 Frank는 말합니다. "피싱 공격이 들어와 보호 장벽을 통과하면 메시지 제목, 발신자, 수신자, 또는 메시지 내용과 같은 데이터를 빠르게 피벗하여 해당 메시지를 빠르게 선별하고 메시지가 조직에 얼마나 깊이 침투했는지, 확산 정도와 얼마나 많은 사용자가 영향을 받았는지를 파악할 수 있습니다."
그런 다음 보안 팀은 사용자에게 후속 조치를 취하여 사용자가 피싱 메시지를 받았다는 사실을 알리고 피싱 메시지와 상호 작용을 했는지 팀에 알려달라고 요청할 수 있습니다. Mohawk 팀은 다른 사용자가 관여하기 전에 이메일 서버에서 메시지를 제거할 수도 있습니다.
Mohawk는 QRadar 솔루션을 선택했을 때 앞으로의 상황도 고려했습니다. 현재 클라우드에서 QRadar를 실행하고 있지는 않지만 Mohawk는 QRadar Cloud Visibility 앱을 활용할 수 있습니다. Frank는 "우리는 퍼블릭 클라우드에서 정보를 수집할 수 있는 미래 지향적인 솔루션을 선택하고 싶었습니다."라고 말합니다. "인스턴스를 온사이트에서 실행하는 것이 아닌 클라우드에 배치하기로 결정하는 경우, QRadar는 이러한 요구사항을 충족하고 다른 제품과 크게 차별화됩니다."
또한 Mohawk는 QRadar Data Store를 통해 로그 관리 및 SIEM 사용 사례 모두에서 QRadar 내에 보안 데이터 레이크를 쉽게 구축할 수 있습니다. QRadar Data Store를 통해 Mohawk는 대량의 보안 및 IT 운영 데이터를 합리적인 비용으로 수집하며 구문을 분석하고 저장할 수 있습니다. 모든 보안 데이터를 한 곳에 모아 놓은 Mohawk는 규정 준수 보고를 더 쉽게 달성하고, 보다 통찰력 있는 결과를 얻고, 팀에 쿼리를 위한 보다 강력한 데이터 세트를 제공할 수 있습니다. 이는 구현을 간소화하고 비용을 절감하는 동시에 Mohawk 대학이 QRadar 솔루션을 선택하게 만든 또 다른 차별화 요소였습니다.
GlassHouse는 보안 팀과 협력하여 즉각적인 수정이 필요하지 않은 경고를 걸러낼 수 있도록 시스템을 조정했습니다. GlassHouse의 클라우드 및 매니지드 서비스 영업 이사인 Jeff Wilson은 "우리는 실행 가능한 데이터, 다시 말해 우리가 집중하고자 하는 10%의 데이터에 접근하여 근본 원인을 파악하고 문제를 신속하게 해결하길 원합니다."
Frank는 GlassHouse의 실질적인 지원에 만족하고 있습니다. 그는 "우리는 그 지점에 도달하기 위해 전문 서비스가 필요했습니다."라고 말합니다. "우리는 GlassHouse와 협력하여 서비스를 우리의 환경에 맞게 적절하게 조정하기 위해 노력했습니다. 이제 우리는 향후 잠재적인 침해가 발생했을 때 많은 데이터를 꼼꼼하게 추려내지 않고도 상당히 깨끗한 인터페이스를 유지할 수 있습니다."
최고의 사이버 보안 보호 시스템을 갖추더라도 일부 위협은 이 시스템을 통과합니다. 그리고 보안 팀이 위협을 발견하지 못하면 이에 대응할 수 없습니다. Mohawk는 이제 QRadar를 구현한 후 사이버 보안 침해를 신속하게 발견하고 이에 대응할 수 있습니다.
"중요한 것은 가시성입니다"라고 Frank는 말합니다. "네트워크에서 무슨 일이 일어나고 있는지 볼 수 있고, 서로 다른 기계가 어떻게 연결되고 통신을 주고받는지 볼 수 있어야 하죠. 이것은 네트워크에 조사해야 할 잠재적 침해가 있는지 확인할 수 있도록 경고를 생성하는 것입니다. QRadar를 사용하면 이전에는 없던 가시성 계층을 확보할 수 있습니다."
Frank는 Mohawk 보안 시스템을 감독하던 이전의 복잡함과 QRadar 대시보드를 사용하는 현재의 단순함을 대조합니다.그는 "대규모 조직에서는 다양한 보안 툴과 어플라이언스를 보유할 수 있다고 상상할 수 있습니다."라고 말합니다. "엔드포인트의 멀웨어 방지 프로그램부터 데이터 센터, 방화벽까지 조직 안팎의 다양한 위치에 침입 방지 센서와 같은 요소들이 있다고 말이죠." 이전에는 이러한 요소들이 모두 고유한 인터페이스를 가지고 있었기 때문에 보안 팀이 잠재적인 위협을 확인하려면 개별적으로 로그인해야 했습니다. 또한 조직 전체에 걸쳐 서로 다른 학부, 캠퍼스 및 위치로 확장된 각각의 요소가 많이 있었습니다.
"이제 QRadar는 우리가 볼 수 있도록 모든 데이터를 하나의 창으로 수집합니다."라고 Frank는 말합니다. "그런 다음 이러한 솔루션에서 발생하는 모든 알림, 경고 및 잠재적 위협은 우리가 조사할 수 있는 위험 기반 접근 방식에서 실제로 우선 순위가 지정됩니다. 따라서 우리가 정보를 신속하게 선별하고 주요한 위험이나 위협에 집중할 수 있도록 도와줍니다."
Mohawk는 또한 QRadar Data Store를 사용하여 중앙 집중식 로그 관리를 제공함으로써 대학의 지불 카드 산업 데이터 보안 표준(PCI DSS) 규정 준수를 강화했습니다. 중앙 집중식 로깅은 운영 팀에도 도움이 된다고 Frank는 말합니다. 그는 "보안과 관련이 없는 데이터 센터의 문제를 해결할 때 이제 운영팀은 세부 사항을 조사하기 위한 액세스 권한을 가집니다."라고 말합니다."이들은 각각의 모든 머신에 수동으로 들어가 로그를 수동으로 검토할 필요 없이 필요한 정보를 빠르게 찾기 위해 검색을 수행할 수 있습니다. 이를 통해 인프라 팀은 앞으로 직면하게 될 여러 가지 문제를 빠르게 검색할 수 있다고 생각합니다."
Frank는 대학이 GlassHouse와 같은 IBM 비즈니스 파트너와 협력하기로 선택한 것을 기쁘게 생각하며 다음과 같이 GlassHouse 팀을 칭찬합니다. "이들은 기술력과 지식이 뛰어난 높은 수준의 직원들을 보유하고 있을 뿐만 아니라 사이버 보안에 대해 전반적으로 잘 알고 있었습니다. 저희는 정말로 감동을 받았습니다."
GlassHouse의 Jeff Wilson은 Mohawk와의 깊은 관계가 어떻게 성공으로 이어졌는지를 설명합니다. 그는 "Mohawk의 환경에는 QRadar를 통합하는 데 어려운 점이 없었습니다."라고 말합니다. "보안 분야에서는 고객의 프로세스를 이해하고, 인프라와 소프트웨어 환경을 이해하고, 가장 중요한 데이터가 어디에 있는지 등 고객과 긴밀하고 효과적으로 소통하는 것이 보안을 제공하고 존재하는 허점을 보완할 방법을 찾는 데 매우 중요합니다. 이러한 요소들이 GlassHouse와 같은 중견 기업과 Mohawk와 같은 중간 규모의 고객이 성공적으로 계약을 맺는 데 중요한 역할을 했다고 생각합니다."
또한 이 계약은 대학 이사회의 지원과 QRadar 솔루션의 이점을 이미 누리고 있는 운영 및 인프라 팀과 같은 다른 부서의 구매 덕분에 성공적으로 체결되었습니다. "이들은 툴이 무엇이며, 어떻게 작동하며, 고유한 부서에서 툴 자체의 이점을 어떻게 활용할 수 있는지 이해하고 있습니다."라고 Frank는 말합니다. "그러한 부분이 대학에서 내부적으로 올바른 솔루션을 찾기 위해 모두가 한 배에 올라타 함께 항해를 한 것과 더불어 중요한 성공 요인으로 작용했다고 생각합니다."
이 대학은 SIEM을 포함한 사이버 보안 과정을 제공함으로써 보이지 않는 곳에서 일하는 보안 부서와 학업 프로그램 간에 시너지 효과를 구축하고 있습니다. 궁극적으로, 사이버 보안과 같이 수요가 많은 분야에서 실력을 쌓고자 하는 학생들은 대학이 최첨단 SIEM 솔루션을 구현하여 가르치는 것을 실행에 옮기고 있다는 사실을 알게 될 것이므로 QRadar 플랫폼 사용은 채용 도구가 될 수 있습니다.
1966년에 설립된 캐나다 온타리오주 해밀턴에 위치한 Mohawk(ibm.com 외부 링크)는 혁신 문화로 잘 달려진 고등 교육 기관으로 자리매김하고 있습니다. 고도로 숙련된 졸업생들이 성공하고 지역사회에 기여할 수 있도록 교육하고 준비시키는 것을 목표로 삼는 Mohawk 대학은, 약 1,000명의 교수진과 함께 32,500명 이상의 주간, 야간, 견습생과 유학생을 가르치고 있습니다. 학교는 Fennell, Stoney Creek, McMaster 대학교 내 Mohawk-McMaster Institute for Applied Health Sciences까지 총 3개의 메인 캠퍼스를 보유하고 있습니다.
1993년에 캐나다 토론토에서 설립된 IBM 비즈니스 파트너인 GlassHouse(ibm.com 외부 링크)는 민간 및 공공 부문의 고객이 IT 환경의 복잡성과 운영 비용을 절감할 수 있도록 지원해 왔습니다. 회사는 클라우드, 매니지드 서비스, 엔터프라이즈 보안, 인프라 등에 대한 전문 지식을 보유하고 솔루션을 제공합니다. 토론토에 있는 캐나다 법인 본사와 일리노이주 리슬에 있는 미국 본사에서 운영하며 약 80명의 직원을 고용하고 있습니다.
법률
© Copyright IBM Corporation 2021. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
2021년 4월 미국에서 제작
IBM, IBM 로고, ibm.com, IBM Security 및 Trusteer는 전 세계 여러 관할권에 등록된 International Business Machines Corp.의 상표입니다. 기타 제품 및 서비스 이름은 IBM 또는 기타 회사의 상표일 수 있습니다. IBM 상표의 최신 목록은 www.ibm.com/kr-ko/legal/copytrade.shtml의 "저작권 및 상표 정보"에서 확인할 수 있습니다.
이 문서는 최초 발행일 기준 최신 문서로, IBM은 언제든지 해당 내용을 변경할 수 있습니다. IBM 비즈니스 파트너는 자체적으로 가격을 책정하므로 서로 가격이 다를 수 있습니다. IBM이 현재 영업 중인 모든 국가에서 모든 제품이 제공되는 것은 아닙니다.
명시된 성능 데이터 및 고객 사례는 오직 정보 목적으로 제공됩니다. 실제 성능 결과는 특정 구성 및 작동 조건에 따라 다를 수 있습니다. IBM 제품 및 프로그램으로 다른 제품 또는 프로그램의 작동을 평가하고 확인하는 것은 사용자의 책임입니다.본 문서의 정보는 상품성, 특정 목적에의 적합성, 비침해성 보증 또는 조건을 포함하여 명시적 또는 묵시적 보증 없이 '있는 그대로' 제공됩니다. 제품 제공 시의 계약 조건에 따라 해당 IBM 제품을 보증합니다.
고객은 관련 법률 및 규정을 준수할 책임이 있습니다. IBM은 법률 자문을 제공하지 않으며, 자사의 서비스 또는 제품이 고객의 법률 또는 규정 준수 여부를 보장함을 나타내거나 보증하지 않습니다.
우수 보안 실천 선언문: IT 시스템 보안에는 기업 내외부의 부적절한 액세스를 예방, 탐지 및 대응하여 시스템과 정보를 보호하는 것이 포함됩니다. 부적절한 액세스로 인해 정보가 변경, 삭제, 도용, 오용될 수 있으며 다른 대상을 공격하는 데 이용되는 것을 포함하여 시스템이 손상되거나 악용될 수 있습니다. 어떠한 IT 시스템이나 제품도 완전하게 안전하다고 간주해서는 안 되며, 어떠한 단일 제품, 서비스 또는 보안 조치도 부적절한 사용 또는 액세스를 완전히 효과적으로 방지할 수 없습니다. IBM 시스템, 제품 및 서비스는 합법적이고 포괄적인 보안 접근 방식의 일부로 설계되었으며, 이에 따라 반드시 추가적인 운영 절차가 필요합니다. 또한 가장 효과적인 운영을 위해 다른 시스템, 제품 또는 서비스가 필요할 수 있습니다. IBM은 시스템, 제품 또는 서비스가 임의 사용자의 악의적이거나 불법적인 행위로부터 영향을 받지 않는다는 것을 보증하지 않으며, 귀사가 이러한 행위로부터 영향을 받지 않음을 보증하지 않습니다.