SlideShare a Scribd company logo

Security automation and orchestration

Ho Jin Park, profile picture
Ho Jin Park

I’d like to talk about the effectiveness of Security Automation and Orchestration (SAO) in terms of Incident Response.

Technology
Related topics:
Incident Response
1 of 14
Downloaded 38 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
Security Automation & Orchestration Aug. 2017 hojinpk@gmail.com
PREFACE ● Target ○ It’s sufficient that you have grasped the concept of SOC, MSS, SIEM. ● Object ○ Introducing Security Automation & Orchestration ○ 실무에 적용해 보고 싶다는 생각을 가지게 된다면 錦上添花 ● Challenge ○ I’d like to talk about the effectiveness of Security Automation and Orchestration (SAO) in terms of Incident Response.
CONTENTS 1. Definition 2. Components 3. SINE OUA NON 4. Case Study 5. Expected Effectiveness 6. Market and Pure Player 7. Sample: FireEye, Demisto, Open source 8. SIEM as a Service 9. Threat Intelligence
SAO DEFINITION 다양한 보안 장비/솔루션/서비스들과 연계하여, 분석업무를 지원하는 플랫폼 Security Orchestration represents the union of people, process and technology (by Bruce Schneier, ‘17.3) https://securityintelligence.com/security-orchestration-for-an-uncertain-world/
SAO COMPONENTS ● Dashboard ● Playbook ○ Use Case, Flow Chart, Automation, Jobs ● Settings ○ Integration ● Incident Response ○ Ticketing System (ex, Jira) ○ Warroom ○ Chatbot ● Reporting Firewall IDS/IPS Web Server CTI (VT, iSight,...) In-house Solution 3rd-Party Solution Security Analyst ESM / SIEM ESM / SIEM ESM / SIEM SAO /w SAO Security Events Computer Incident Prevention Automatically
● People ○ R&R - RACI Matrix (Responsible, Accountable, Consulted, Informed) ● Process and Procedure ○ Principle, Charter and so on ● Technology ○ Interconnection ■ Perimeter Defender (ex, Firewall, IPS, etc.) ■ Cyber Threat Intelligence (ex, FireEye iSight, Virustotal, etc.) ■ SIEM (IBM QRadar, Arcsight, Splunk, etc.)
SAO CASE STUDY 외부 TI에 근거, C&C에 접속하는 것에 대해 관련된 정보를 수집하고 분석, 대응 및 보고하는 일련의 프로세스를 SAO를 통해 보다 정확하고 신속하게 대응한다. 내부망에서 C&C로 알려진 IP에 접속 시도하는 트래픽을 인지하고 SIEM의 Rule에 탐지됨 전통적인 보안관제 대응 SAO 적용한 보안관제 대응 A B C 보안관제 시스템 Security Analyst 악성코드 유포지 / C&C Server 대응시간이 약3시간에서 하루가 넘어가기도 함 가장 많은 시간이 소요되는 정보 수집 및 보고서 작성 등을 자동화로 정확하고 빠르게 대응 이벤트 발생 정보 수집 분석 초동 대응 보고서 작성 발생 수 집 분 석 초동 대응 보 고
SAO EXPECTED EFFECTIVENESS SAO 플랫폼을 활용하여 보안관제 서비스를 자동화/효율화 함으로써 실제 공격 중인 위협에, 적시에 대응하여 위험을 제거할 수 있다. MSS Over SAO 방어 체계 강화 보안관제 업무 능력 향상 침해사고 지능적 대응 - 분석 자동화로 공격 인지 후 자동차단 가능 - 자동으로 분석된 결과를 기반한 타 보안장비 탐지 스기느처 강화 - 분석 자동화를 통한 보안관제 프로세스 내제화 - 승인 받아 담당자에게 할당하는 조직적인 이벤트의 시급성을 사전에 정의된 Playbook에 의해 판단하고, 방역/예방 업무를 대응이 가능 - 분석 기술 내제화로 순한 근무/이직 등으로 인한 업무 공백 제거 및 분석 능력 상향 평준화 - 다양한 보안솔루션 및 보안위협정보(TI)와 연계를 통한 분석 정확도 향상 - 많은 보안 이벤트를 누락없이 전수 분석(MECE)
SAO MARKET AND PURE PLAYER 국내보다는 해외에서 시작되고 있으며, 보안 메이저 업체로는 FireEye, IBM, Cisco 와 같은 메이저 업체뿐만 아니라 개발력을 갖춘 벤처 기업의 시장 진입도 활발함 ● RSA 2017 Top10 Security Trends ○ Artificial Intelligence ○ Security Consolidation ○ Analytics ○ Talent Shortage ○ Security Automation & Orchestration ○ Third-Party Risk ○ IoT ○ Rise of MSPs ○ Endpoint Market Maturity ○ Mobile Security ● SAO 사업 전략적 인수 ○ FireEye Helix, INVOTAS Acquisition (‘16.2, $30M) ○ IBM, Resilient Acquisition (‘16.2, $100M) ○ Microsoft, Hexadit Acquisition (‘17.5, $100M) ○ RAPID7 Insight 플랫폼, KOMAND Acquisition (‘17.7) ● 그 밖에 ○ Phantom, Demisto, AlienVault, LogRhythm, ...
FireEye Security Orchestrator (Helix over FSO) Learn more at www.fireeye.com/orchestration
Security automation and orchestration
OPEN SOURCE ● Apache Metron Big Data Security (Evolving from OpenSOC) ○ https://cwiki.apache.org/confluence/display/METRON/Metron+Wiki ○ Architecture ■ Multi-vendor Sensor Support ■ Leverages the Apache Big Data Ecosystem ■ Interactive Visualization and alerting
Application Field ● SIEM as a Service ○ FireEye TAP, Threat Analytics Platform ○ AlienVault Unified Security Management & Threat Intelligence
Appendix#1. Providing by Threat Intelligence Service ● Paper, Bluttine ● Signature ○ File, HASH, IP, Domain (URL) ● OSINT ○ https://cymon.io/ ○ https://criticalstack.com/ ○ OTX, Open Threat Exchange ● Actionable TI ○ IoC (Indicator of Compromise) via API over STIX, TAXII ○ Cyber-Kill-Chain, TTP (Tactics, Techniques and Procedures) ○ Threat Hunting ● Recommend to update SIEM Rule, Infra Architecture, etc. 2020 2015 2010

More Related Content

PPTX
security architecture
DO HYUNG KIM
 
PDF
Xm cyber bas_crabix_v1.0_korean
TJ Seo
 
PDF
NETSCOUT Arbor Edge Defense
Jay Hong
 
PDF
Cybereason v2.10
Harry Sohn
 
PDF
Cybereason in Korea, SMEC
SMEC Co.,Ltd.
 
PPTX
Double-Edged Sword of Cloud Security
GS Neotek
 
PDF
We make standard 최종 발표(20131218)
Lee Chanwoo
 
PDF
사이버 보안의 이해 Intro to korean cyber security
Bill Hagestad II
 
security architecture
DO HYUNG KIM
 
Xm cyber bas_crabix_v1.0_korean
TJ Seo
 
NETSCOUT Arbor Edge Defense
Jay Hong
 
Cybereason v2.10
Harry Sohn
 
Cybereason in Korea, SMEC
SMEC Co.,Ltd.
 
Double-Edged Sword of Cloud Security
GS Neotek
 
We make standard 최종 발표(20131218)
Lee Chanwoo
 
사이버 보안의 이해 Intro to korean cyber security
Bill Hagestad II
 

What's hot (10)

PDF
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Lee Chanwoo
 
PPTX
IT전략계획-04.보안 아키텍처
InGuen Hwang
 
PDF
창립30주년 기념 isaca korea conference track4 이찬우(20160826)_발표용_final
Lee Chanwoo
 
PDF
IBM 보안솔루션 리질리언트_정보보호 침해사고 대응 플랫폼
은옥 조
 
PDF
Cyber resilience 201705
Lee Chanwoo
 
PPTX
02. it정보화전략-보안 아키텍처 도입
InGuen Hwang
 
PDF
Monitoring solution for all action in enterprises
lunchNtouch
 
PDF
[이찬우 강사] Study on isms-p integration issues and major defects(20181017)
Lee Chanwoo
 
PDF
[이찬우 강사] Gyeonggi Institute of Science & Technology Promotion_employee inform...
Lee Chanwoo
 
PDF
IBM 보안사업부 서비스 및 솔루션 소개
유 김
 
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Lee Chanwoo
 
IT전략계획-04.보안 아키텍처
InGuen Hwang
 
창립30주년 기념 isaca korea conference track4 이찬우(20160826)_발표용_final
Lee Chanwoo
 
IBM 보안솔루션 리질리언트_정보보호 침해사고 대응 플랫폼
은옥 조
 
Cyber resilience 201705
Lee Chanwoo
 
02. it정보화전략-보안 아키텍처 도입
InGuen Hwang
 
Monitoring solution for all action in enterprises
lunchNtouch
 
[이찬우 강사] Study on isms-p integration issues and major defects(20181017)
Lee Chanwoo
 
[이찬우 강사] Gyeonggi Institute of Science & Technology Promotion_employee inform...
Lee Chanwoo
 
IBM 보안사업부 서비스 및 솔루션 소개
유 김
 
Ad

Similar to Security automation and orchestration (20)

PPTX
[고려대학교-SANE Lab] 170317풀타임세미나 이상민
Sane Lab
 
PPTX
소프트캠프 회사소개서 - Softcamp Company Introduction
Softcamp Co., Ltd.
 
PDF
무료강의 보안전문가의 길(2015년) v0.9_공개버전
James (SeokHun) Hwang
 
PDF
AWS와 함께하는 SK infosec의 클라우드 보안 - AWS Summit Seoul 2017
Amazon Web Services Korea
 
PDF
(Samuel) sumo logic producuts 21th jan 2021(slideshare)
SAMUEL SJ Cheon
 
PDF
04.a sis to be_정보보호체계 제언1
시온시큐리티
 
PDF
AttackIQ - BAS(Breach and Attack Simulation) Service
Softwide Security
 
PDF
Cyber securitysejioh may25_2018
Seji OH
 
PDF
AttackIQ Enterprise - Customer Managed BAS(Breach and Attack Simulation) Pla...
Softwide Security
 
PPTX
모의해킹 전문가 되기
Jeremy Bae
 
PDF
빅데이터 환경에서 지능형 로그 관리 플랫폼으로 진화하는 보안 정보&이벤트 관리 동향
Donghan Kim
 
PDF
2014 ps 제안서
시온시큐리티
 
PDF
Sua 정보보호관리체계 최종_강의교안
Lee Chanwoo
 
PDF
AttackIQ Ready - BAS(Breach and Attack Simulation) as-a-Service
Softwide Security
 
PPT
201412 보안자료_이유신
시온시큐리티
 
PPTX
해커의 길(보안전문가의 길이란? ) -20110723 발표
Bitscan
 
PDF
AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스
Softwide Security
 
PPTX
[NetSec-KR 2018] 2017 정보보호 R&D 데이터 챌린지를 통해 살펴본 Data-Driven Security
Korea University
 
PDF
IoT 공통 보안가이드
봉조 김
 
PDF
최신 보안 위협 실전 코스, 사이버 레인지 서비스
CiscoKorea
 
[고려대학교-SANE Lab] 170317풀타임세미나 이상민
Sane Lab
 
소프트캠프 회사소개서 - Softcamp Company Introduction
Softcamp Co., Ltd.
 
무료강의 보안전문가의 길(2015년) v0.9_공개버전
James (SeokHun) Hwang
 
AWS와 함께하는 SK infosec의 클라우드 보안 - AWS Summit Seoul 2017
Amazon Web Services Korea
 
(Samuel) sumo logic producuts 21th jan 2021(slideshare)
SAMUEL SJ Cheon
 
04.a sis to be_정보보호체계 제언1
시온시큐리티
 
AttackIQ - BAS(Breach and Attack Simulation) Service
Softwide Security
 
Cyber securitysejioh may25_2018
Seji OH
 
AttackIQ Enterprise - Customer Managed BAS(Breach and Attack Simulation) Pla...
Softwide Security
 
모의해킹 전문가 되기
Jeremy Bae
 
빅데이터 환경에서 지능형 로그 관리 플랫폼으로 진화하는 보안 정보&이벤트 관리 동향
Donghan Kim
 
2014 ps 제안서
시온시큐리티
 
Sua 정보보호관리체계 최종_강의교안
Lee Chanwoo
 
AttackIQ Ready - BAS(Breach and Attack Simulation) as-a-Service
Softwide Security
 
201412 보안자료_이유신
시온시큐리티
 
해커의 길(보안전문가의 길이란? ) -20110723 발표
Bitscan
 
AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스
Softwide Security
 
[NetSec-KR 2018] 2017 정보보호 R&D 데이터 챌린지를 통해 살펴본 Data-Driven Security
Korea University
 
IoT 공통 보안가이드
봉조 김
 
최신 보안 위협 실전 코스, 사이버 레인지 서비스
CiscoKorea
 
Ad

Security automation and orchestration

  • 2. PREFACE ● Target ○ It’s sufficient that you have grasped the concept of SOC, MSS, SIEM. ● Object ○ Introducing Security Automation & Orchestration ○ 실무에 적용해 보고 싶다는 생각을 가지게 된다면 錦上添花 ● Challenge ○ I’d like to talk about the effectiveness of Security Automation and Orchestration (SAO) in terms of Incident Response.
  • 3. CONTENTS 1. Definition 2. Components 3. SINE OUA NON 4. Case Study 5. Expected Effectiveness 6. Market and Pure Player 7. Sample: FireEye, Demisto, Open source 8. SIEM as a Service 9. Threat Intelligence
  • 4. SAO DEFINITION 다양한 보안 장비/솔루션/서비스들과 연계하여, 분석업무를 지원하는 플랫폼 Security Orchestration represents the union of people, process and technology (by Bruce Schneier, ‘17.3) https://securityintelligence.com/security-orchestration-for-an-uncertain-world/
  • 5. SAO COMPONENTS ● Dashboard ● Playbook ○ Use Case, Flow Chart, Automation, Jobs ● Settings ○ Integration ● Incident Response ○ Ticketing System (ex, Jira) ○ Warroom ○ Chatbot ● Reporting Firewall IDS/IPS Web Server CTI (VT, iSight,...) In-house Solution 3rd-Party Solution Security Analyst ESM / SIEM ESM / SIEM ESM / SIEM SAO /w SAO Security Events Computer Incident Prevention Automatically
  • 6. ● People ○ R&R - RACI Matrix (Responsible, Accountable, Consulted, Informed) ● Process and Procedure ○ Principle, Charter and so on ● Technology ○ Interconnection ■ Perimeter Defender (ex, Firewall, IPS, etc.) ■ Cyber Threat Intelligence (ex, FireEye iSight, Virustotal, etc.) ■ SIEM (IBM QRadar, Arcsight, Splunk, etc.)
  • 7. SAO CASE STUDY 외부 TI에 근거, C&C에 접속하는 것에 대해 관련된 정보를 수집하고 분석, 대응 및 보고하는 일련의 프로세스를 SAO를 통해 보다 정확하고 신속하게 대응한다. 내부망에서 C&C로 알려진 IP에 접속 시도하는 트래픽을 인지하고 SIEM의 Rule에 탐지됨 전통적인 보안관제 대응 SAO 적용한 보안관제 대응 A B C 보안관제 시스템 Security Analyst 악성코드 유포지 / C&C Server 대응시간이 약3시간에서 하루가 넘어가기도 함 가장 많은 시간이 소요되는 정보 수집 및 보고서 작성 등을 자동화로 정확하고 빠르게 대응 이벤트 발생 정보 수집 분석 초동 대응 보고서 작성 발생 수 집 분 석 초동 대응 보 고
  • 8. SAO EXPECTED EFFECTIVENESS SAO 플랫폼을 활용하여 보안관제 서비스를 자동화/효율화 함으로써 실제 공격 중인 위협에, 적시에 대응하여 위험을 제거할 수 있다. MSS Over SAO 방어 체계 강화 보안관제 업무 능력 향상 침해사고 지능적 대응 - 분석 자동화로 공격 인지 후 자동차단 가능 - 자동으로 분석된 결과를 기반한 타 보안장비 탐지 스기느처 강화 - 분석 자동화를 통한 보안관제 프로세스 내제화 - 승인 받아 담당자에게 할당하는 조직적인 이벤트의 시급성을 사전에 정의된 Playbook에 의해 판단하고, 방역/예방 업무를 대응이 가능 - 분석 기술 내제화로 순한 근무/이직 등으로 인한 업무 공백 제거 및 분석 능력 상향 평준화 - 다양한 보안솔루션 및 보안위협정보(TI)와 연계를 통한 분석 정확도 향상 - 많은 보안 이벤트를 누락없이 전수 분석(MECE)
  • 9. SAO MARKET AND PURE PLAYER 국내보다는 해외에서 시작되고 있으며, 보안 메이저 업체로는 FireEye, IBM, Cisco 와 같은 메이저 업체뿐만 아니라 개발력을 갖춘 벤처 기업의 시장 진입도 활발함 ● RSA 2017 Top10 Security Trends ○ Artificial Intelligence ○ Security Consolidation ○ Analytics ○ Talent Shortage ○ Security Automation & Orchestration ○ Third-Party Risk ○ IoT ○ Rise of MSPs ○ Endpoint Market Maturity ○ Mobile Security ● SAO 사업 전략적 인수 ○ FireEye Helix, INVOTAS Acquisition (‘16.2, $30M) ○ IBM, Resilient Acquisition (‘16.2, $100M) ○ Microsoft, Hexadit Acquisition (‘17.5, $100M) ○ RAPID7 Insight 플랫폼, KOMAND Acquisition (‘17.7) ● 그 밖에 ○ Phantom, Demisto, AlienVault, LogRhythm, ...
  • 10. FireEye Security Orchestrator (Helix over FSO) Learn more at www.fireeye.com/orchestration
  • 12. OPEN SOURCE ● Apache Metron Big Data Security (Evolving from OpenSOC) ○ https://cwiki.apache.org/confluence/display/METRON/Metron+Wiki ○ Architecture ■ Multi-vendor Sensor Support ■ Leverages the Apache Big Data Ecosystem ■ Interactive Visualization and alerting
  • 13. Application Field ● SIEM as a Service ○ FireEye TAP, Threat Analytics Platform ○ AlienVault Unified Security Management & Threat Intelligence
  • 14. Appendix#1. Providing by Threat Intelligence Service ● Paper, Bluttine ● Signature ○ File, HASH, IP, Domain (URL) ● OSINT ○ https://cymon.io/ ○ https://criticalstack.com/ ○ OTX, Open Threat Exchange ● Actionable TI ○ IoC (Indicator of Compromise) via API over STIX, TAXII ○ Cyber-Kill-Chain, TTP (Tactics, Techniques and Procedures) ○ Threat Hunting ● Recommend to update SIEM Rule, Infra Architecture, etc. 2020 2015 2010