Elasticsearch Security 관점 활용 방안 정리

Elasticsearch 버전은 현재 계속 업그레이드되면서 정보보안 분야에서 활용할 수 있는 기능들이 매우 강력해졌습니다. 가장 대표적인 기능으로는 SIEM 기능이 매우 강력해졌습니다. 과거 Legacy 방식의 SIEM 설루션들은 필자의 경험상 운영이나 성능 측면에서 매우 비효율적인 부분이 많았는데요 엘라스틱을 SIEM으로 활용할 때 장점은 어떤 것들이 있는지 자세하게 알아보도록 하겠습니다.

불과 몇 년 전만 해도 엘라스틱 서치(Elasticsearch)가 세상에 나오기 전에는 IT시장에 대표적인 몇몇 SIEM 제품을 어쩔 수 없이 울며 겨자 먹기 식으로 딱히 다른 대안이 없어 여러가지 단점이 있음에도 불구하고 사용할 수밖에 없었습니다.

필자의 경우 Elastic 2.x대 버전부터 Elasticsearch을 실무에 도입하여 사용해 왔습니다. 현재는 8.x대 버전으로 정말 많이 진화 하였습니다. 버전이 업데이트되면서 개인적인 생각은 기능이나 성능은 많이 개선되고 좋아졌지만 UI 같은 측면은 너무 복잡하여 사용하기 어렵습니다.

특히, Kibana 검색창의 경우 개인적으로는 옛날 버전의 심플한 UI가 더 사용하기 좋습니다. 제가 너무 옛날 버전에 너무 익숙해져 있어서 신규 키바나 UI는 다소 불편함이 있습니다. 빨리 적응해야겠죠.

Elastic을 보안 운영이나 보안 관점에서 활용 할수 있는 기능에는 어떤 것들이 있을까요? 엘라스틱은 버전이 업그레이드되면서 Security 관점의 기능을 대거 포함하고 부각하고 있습니다.

아래 내용은 elastic 홈페이지 내용을 정리한 것입니다. 참고하시어 자사 서비스에 도입이나 활용 여부를 검토해 보시기 바랍니다.

SIEM 강력한 기능

보안 이벤트를 기반으로 보안 위협을 탐지하고 대응할 수 있습니다. SIEM의 우수성은 SIEM이 수집하고 분석하는 데이터에 달려 있습니다. 현대 보안 팀에서는 경보, 조사, 헌팅 및 그 이상에 이르기까지 보안 분석 수행을 위해 다양한 콘텍스트를 제공하는 광범위한 데이터 소스에 즉시 액세스 할 수 있어야 합니다. 긴급한 문제에 신속하게 답하여 위협에 미리 대처하세요. 빠르고 유연한 검색을 통해 팀 생산성을 극대화할 수 있습니다. 단일 통합 에이전트를 통해 호스트 가시성을 높이고, 랜섬웨어 및 Malware를 차단하고, 검사를 간소화하고, 원격 대응 작업이 가능합니다.

SOAR 기능

오케스트레이션 및 자동화를 통해 SOC 워크플로우를 간소화할 수 있습니다. 인력, 프로세스 및 기술을 SOAR에 맞춤으로써 보안 팀이 신속하게 공격자를 처리할 수 있도록 지원할 수 있습니다. 붐비는 사용자 커뮤니티에서 모든 분석가 및 소스 혁신의 영향력을 높일 수 있습니다. 조사 및 대응을 가속화하여 손상이 커지기 전에 공격을 사전 예방할 수 있습니다. 원격 작업을 자동화하고 리소스 재할당 등의 작업으로 사전 예방 관점에서 매우 효일 적입니다.

위협 인텔리전스

Elastic Security 인터페이스를 통해 위협 인텔리전스를 실행 가능한 상태로 만들고 보안 팀의 역량을 강화할 수 있습니다. 단일화된 중앙 집중식 모니터링 화면으로 모든 위협 지표를 쉽게 확인할 수 있습니다. 실시간 처리로 위협에 빠르게 대응할 수 있으며 즉각적인 조치가 가능합니다.

엔드포인트 보안 (Endpoint Security)

엔드포인트를 위한 Elastic Security는 랜섬웨어 및 Malware를 방지하고, 지능적 위협을 탐지하며, 대응자에게 중요한 조사 콘텍스트를 제공합니다. 개방형 플랫폼에서 모든 인프라와 호스트를 보호할 수 있습니다. 통합된 elastic Agent를 사용하여 수집, 탐지, 방어 및 즉각적으로 대응할 수 있습니다. 알려지지 않은 Malware, Ransomeware를 탐지 차단할 수 있으며 호스트 기반 분석을 통해 APT 공격도 방어할 수 있습니다.

XDR 기능

이제 모든 인프라 전반에 걸쳐 보호 기능을 제공하는 확장 탐지 및 대응(XDR)이 필요한 때입니다. Elastic Security for XDR은 개방형 보안 설루션으로, 조직이 기존 투자를 극대화하고 위험을 최소화할 수 있습니다. 중앙 집중식 관리로 모든 시스템의 심층 방어를 할 수 있습니다.

클라우드 보안

엘라스틱은 클라우드 보안 상태를 평가하고 클라우드 워크로드를 보호할 수 있습니다. 또한, 클라우드 상태에 대한 풍부한 가시성을 통해 클라우드 배포를 보호하세요. 하나의 통합된 설루션에서 예방, 탐지 및 대응 기능을 통해 클라우드 워크로드에 대한 런타임을 보호할 수 있습니다. 보안 스택을 통합함으로써 인프라에서 엔드포인트, 클라우드에 이르기까지 전체 환경에 대한 인사이트로 보안 작업을 통합하세요. 예방, 탐지, 대응을 통해 조직을 전체적으로 보호할수 있습니다.

본문 내용에서 다양한 기능들을 언급했듯이 엘라스틱 서치는 결론적으로, 보안 관점에서 활용할 수 있는 기능들이 매우 풍부하고 강력해졌습니다.

다양한 여러 가지 기능들을 엘라스틱서치 8.x 버전을 다운로드하여 실제 직접 테스트해 보았고 일부 실무에 적용하여 현재 유용하게 사용 중인 기능들도 다수 있습니다.

Elasticsearch를 잘만 활용하면, 보안 시스템 관리, 보안사고 대응, 보안 위협탐지, 침해사고 분석등의 보안 업무를 하나의 단일화된 스택으로 통합할 수 있는 장점이 있습니다. 특히, 실시간 사이버 보안 위협에 대한 대응 프로세스를 elasticsearch 단일 플랫폼으로 통합하여 운영하면 업무적이 효율을 대폭 높일 수 있고 수많은 장점을 경험할 수 있습니다. 실제 필자의 회사에서도 엘라스틱서치를 통해 다양한 부분에서 업무 효율 개선 경험을 하고 있습니다.