Cybersecurity Team Roles and Responsibilities

보안 운영 센터(SOC)는 조직을 향한 끝없는 잠재적 사이버 위협에 끊임없이 대응하는 팀입니다. 사이버 보안 팀 내의 구조와 프로세스를 이해하면 훨씬 더 효과적인 보안 관리가 가능하지만, 항상 엄격한 계층 구조를 따르는 것은 아닙니다.

IDC SOC 보고서 SOC Demo

Cybersecurity Team Roles and Responsibilities

NIST 사이버 보안 프레임워크 소개

NIST 사이버 보안 프레임워크는 사이버 위험에 적절히 대처하는 강력한 표준 및 프로세스를 수립합니다. 사이버 보안 팀의 구성에 대한 명확한 공식은 없지만 모든 위협 관리는 이 다섯 가지 핵심 요소를 포함해야 합니다:

  1. 식별: 조직의 중요 시스템과 해당 시스템이 직면한 보안 위험을 식별하는 데 중점을 둡니다. 여기에는 자산, 시스템, 데이터 및 전반적인 비즈니스 환경에 대한 이해가 포함됩니다.
  2. 보호: 잠재적인 보안 침해의 영향을 파악하고 이러한 위험을 완화하기 위한 전략을 개발하여 중요한 서비스와 데이터를 보호할 수 있는 보안 조치가 마련되어 있는지 확인합니다.
  3. 탐지: 사이버 보안 인시던트를 적시에 탐지하는 데 중점을 둡니다. 즉, 잠재적인 침해 또는 의심스러운 활동을 지속적으로 모니터링할 수 있는 시스템과 프로세스를 마련해야 합니다.
  4. 대응: 대응: 사이버 보안 사고에 신속하고 효과적으로 대응하여 침해의 확산과 영향을 제한할 수 있는 준비를 강조합니다.
  5. 복구: 사고 발생 후 조직이 가능한 한 빨리 정상 운영으로 복귀할 수 있도록 하는 데 중점을 둡니다.

사이버 보안 팀의 구성: 주요 역할과 책임

NIST 사이버 보안 프레임워크를 달성하기 위해 많은 SOC는 다음과 같이 각 직원의 경험과 전문 분야를 가장 잘 활용할 수 있는 팀으로 세분화되어 있습니다:

#1위: 보안 분석가

사이버 보안 분석가는 보안 팀의 현장 구성원으로서 네트워크 내 보안 위협의 냄새에 코를 박고 있는 경우가 많습니다.

그러나 네트워크 데이터의 양, 보안이 필요한 시스템의 범위, 경보 수준의 가변성을 고려할 때 보안 분석가 역할은 서너 가지 주요 유형으로 더 세분화되는 것이 일반적입니다.

계층 1: 알림 핸들러

이 역할은 일반적으로 경험이 가장 적지만 미션 크리티컬한 역할이기도 합니다.

티어 1 보안 분석가는 보안 도구의 경고 및 잘못된 구성에 대한 모니터링을 담당합니다. 새로운 알림이 들어오면 우선순위를 정하고 분류 방법을 결정하여 가장 먼저 처리합니다.

계층 2: 응답자

이 계층은 티어 1 분석가가 식별한 인시던트를 수신하고 그 출처와 광범위한 영향에 대한 심층 분석을 시작합니다. 모든 환경에 고유한 다양한 알림이 존재하기 때문에 일상적인 세부 사항은 크게 달라질 수 있습니다. 이러한 심층 조사자들은 복잡한 분석에 능숙하며, 수신되는 알림을 상호 참조하는 데 더 많은 시간을 할애할 수 있습니다.

이들은 기업의 사고 대응 능력의 대부분을 구성하며, 티어 1 위치에서 근무한 경험 덕분에 일반적으로 기업 네트워크의 일반적인 프로세스에 대해 매우 잘 알고 있습니다.

잠재적 인시던트의 복잡성을 신속하고 간결하게 이해할 수 있는 이러한 능력은 티어 2 분석가도 대응할 수 있는 좋은 위치에 있다는 것을 의미하며, 이들은 격리, 수정 및 복구를 위한 보안 전략을 구축하는 데 도움을 줍니다.

계층 3: 현장 전문가 또는 위협 헌터

티어 2 분석가의 광범위한 사고 조사를 지원하는 티어 3 분석가는 특정 분야에서 전문성을 쌓은 고도로 숙련된 분석가입니다.

둘 중 하나가 될 수 있습니다:

  • 인프라 전문가
  • 사이버 보안 기술 전문가,

이들은 종종 위협 헌팅과 같은 사이버 보안의 보다 사전 예방적인 요소를 담당합니다. 모의 침투 테스트가 진행 중일 때 블루팀 역할을 하는 티어 1과 2, 그리고 일반적으로 가짜 공격자 역할을 하는 티어 3은 조직의 전체 보안 태세가 그들의 고급 경험을 활용할 수 있게 해줍니다.

계층에 관계없이 대부분의 애널리스트의 근무 시간은 동일하게 시작됩니다: 

첫 번째 작업은 특히 24시간 연중무휴 SOC에서 이전 교대 근무에서 수집한 정보를 평가하고 추가 모니터링이 필요한 진행 중인 사건이나 이벤트에 대한 브리핑으로 시작하는 것입니다.

계층 4 분석가: SOC 관리자

SOC 관리자는 분석가를 담당하며, 전통적인 분석가 커리어의 마지막 단계에 해당하는 역할이기 때문에 티어 4 분석가라고도 불립니다. 이들은 SOC 운영을 지휘하고 보안 정책을 통해 분석가와 더 광범위한 DevOps 및 전략을 동기화할 책임이 있습니다.

이것이 바로 사이버 보안 전략을 수립하고 실행하는 방법입니다.

SOC 관리자의 일상적인 업무는 팀을 지원하고 모든 것이 원활하게 운영되도록 하는 것입니다:

  • 교육 세션 제공
  • 신규 회원 채용
  • 팀에 필요한 외부 서비스 및 도구 계약하기

#2위: 보안 엔지니어

보안 엔지니어가 항상 SOC의 필수 구성원은 아니지만, 조직의 위험을 관리하는 역할로 인해 언급할 가치가 있습니다. 이들은 일반적으로 소프트웨어 또는 하드웨어에 대한 광범위한 배경 지식을 갖추고 있으며 일반적으로 보안 정보 시스템 설계를 담당합니다.

이는 종종 한 발은 SOC에, 다른 발은 DevOps 팀에 있으며 애플리케이션 보안 프로토콜의 문서화에 대한 책임도 갖게 된다는 의미이기도 합니다.

#3: 사고 대응 책임자

사고 대응 책임자는 전체 사고 대응 프로세스를 총괄하며 대응 노력의 모든 측면을 조정하고 지휘합니다.

IR 디렉터는 대응팀 내의 모든 역할에 대해 전적인 책임을 지며, 특정 정보 스트림을 처리하기 위해 여러 분석가를 배정하는 등 사고의 요구를 해결하는 데 필요한 추가 역할을 만들고 할당할 수 있는 권한이 있습니다.

이러한 역동적인 접근 방식을 통해 팀 구조를 실시간으로 조정할 수 있습니다.

#4: CISO

SOC 관리자보다 한 단계 위에는 최고 정보 보안 책임자(CISO)가 있습니다. 개별 분석가를 관리하는 데 방해가 되는 요소 없이 조직이 업계 전반의 위협으로부터 벗어날 수 있는 전략적 결정에만 집중할 수 있습니다.

CEO에게 보고하는 이들은 보안 요구와 더 넓은 비즈니스 목표 및 예산 간의 균형을 맞추고 있습니다.

완전한 인하우스 팀이 없으신가요? 체크 포인트가 도와드릴 수 있습니다.

소규모 팀, 심지어 완전히 아웃소싱된 팀에 의존하는 경우 보안 태세를 완전히 일치시키기가 어려울 수 있습니다. 체크포인트는 클라우드 네이티브 보안 모델을 통해 애플리케이션 인프라의 모든 구성 요소에 대한 완전한 중앙 집중식 보기를 제공합니다.

모든 트래픽, 구성, 구성 요소에 걸쳐 매크로 및 마이크로 세분화, 차세대 방화벽, API 보호, SSL\TLS 검사 등의 고급 기능으로 자산을 식별하고 보호하세요. 이 차세대 가시성은 체크포인트 인피니티 서비스의 기반이 되며, 더 높은 수준의 실질적인 보호가 필요하다면 이를 잘 활용할 수 있는 종합적인 관리형 서비스를 살펴보세요. 여기에는 다음이 포함됩니다:

  • 전체 스택 모니터링
  • 긴밀한 정책 조정
  • 인시던트 관리

이 모든 기능은 기존 IT 및 정보 보안 운영과 원활하게 통합됩니다. 자세한 내용은 여기에서 체크 포인트 인피니티의 모든 서비스를 살펴보세요.

×
  피드백
본 웹 사이트에서는 기능과 분석 및 마케팅 목적으로 쿠키를 사용합니다. 웹 사이트를 계속 이용하면 쿠키 사용에 동의하시게 됩니다. 자세한 내용은 쿠키 공지를 읽어 주십시오.
확인