조직이 클라우드, 하이브리드, 온프레미스 환경과 OT(운영 기술) 및 IoT(사물인터넷) 시스템에서 디지털 존재감을 확장함에 따라, 이러한 조직의 모든 자산에 대한 정확하고 최신의 인벤토리를 유지하는 것이 점점 더 어려운 작업이 되고 있습니다. 보안 운영 센터(SOC)는 증가하는 다양성과 새로운 취약점의 양을 처리하기 위해 여러 도구와 플랫폼에 의존하고 있습니다. 이러한 분산된 접근 방식은 자산 관리 확산으로 이어질 수 있으며, 이는 취약점을 효율적으로 관리하고 그 중요성과 심각성을 이해하는 것을 더 어렵게 만들 수 있습니다.
Splunk Asset and Risk Intelligence는 기존 데이터를 활용하는 원활한 통합을 통해 Splunk 데이터 강화 및 자산 탐지 기능의 힘을 분석가들이 활용할 수 있도록 합니다. 이를 통해 알려지거나 알려지지 않은 모든 자산을 통합 대시보드에서 관리할 수 있어 위협에 응답할 때 더 민첩하고 효과적이 될 수 있습니다.
✅ Splunk ARI(Asset and Risk Intelligence)란?
Splunk Asset and Risk Intelligence는 사전 예방적 위험 완화를 위한 지속적인 자산 탐지 및 컴플라이언스 모니터링 솔루션입니다. 이 솔루션은 자산을 지속적으로 탐지하고 보안 통제의 컴플라이언스 위반 및 격차를 식별합니다.
Splunk 플랫폼의 기존 데이터 소스를 활용하여 고급의 맞춤형 패턴 매칭 규칙으로 데이터를 상관관계화, 분석 및 강화하여 포괄적이고 정확한 자산 인벤토리를 제공합니다. 관련된 모든 IP 주소, MAC 주소, 사용자, 소프트웨어 및 취약점을 탐지하여 더 강력한 자산 조사를 가능하게 합니다. 또한 기본 제공 및 맞춤형 프레임워크를 모두 사용하여 보안 및 컴플라이언스 조사를 가속화하고 위험 노출을 줄이며, 엔드포인트 컴플라이언스 격차를 사전에 식별하고 해결하는 데 중요한 역할을 합니다.
✅ Splunk ARI 주요 특징
1. 포괄적이고 지속적인 자산 인텔리전스
조직 내 모든 자산에 대한 정확한 보기 없이는 보안 팀이 공격 표면의 가시성을 유지하고, 자산 관련 질문에 답하고, 필요할 때 조치를 취하는 데 어려움을 겪어 결국 비즈니스를 위험에 빠뜨립니다. Splunk Asset and Risk Intelligence는 네트워크, 엔드포인트, 클라우드 및 스캐닝 도구의 데이터를 상관 관계로 연결하여 자산과 ID의 지속적으로 업데이트된 보기를 제공합니다. 관련된 모든 IP 주소, MAC 주소, 사용자, 소프트웨어 및 취약점을 지속적으로 업데이트하여 중복되고 오래된 데이터를 제거하고 자산 인벤토리의 정확성과 완전성을 보장합니다.
2. 정확한 자산 및 ID 컨텍스트로 보안 조사 가속화
보안 팀은 조사 중에 경고 데이터를 특정 자산 및 ID와 상관 관계로 연결하는 데 어려움을 겪고 있습니다. Splunk Asset and Risk Intelligence는 정확한 자산 및 ID 컨텍스트를 제공하여 이 프로세스를 향상시켜 집중도를 높이고 조사를 단축합니다. 솔루션은 취약점 및 소프트웨어 스캐닝 도구의 데이터를 통합하여 팀에게 시스템에 존재하는 소프트웨어와 취약점에 대해 알려줍니다. IP 주소의 자산 및 ID에 대한 정확한 귀속으로 시간 경과에 따른 특정 자산 또는 ID와의 IP 주소 연결을 추적하는 수동 노력을 제거합니다.
3. 보안 통제의 컴플라이언스 격차 발견
정확한 자산 관리는 컴플라이언스와 감사에 중요하며, 필요한 모든 자산의 가시성을 확보하는 데 어려움을 겪는 조직은 컴플라이언스 위반과 잠재적 사이버 공격의 위험에 처합니다. Splunk Asset and Risk Intelligence는 미리 구축된(기본 제공) 및 맞춤형 프레임워크를 사용하여 컴플라이언스 위반 및 보안 통제의 격차를 식별합니다. 기본 제공 컴플라이언스 메트릭 프레임워크를 통해 비즈니스는 여러 보안 통제에 대해 실시간 컴플라이언스를 보고할 수 있으며, 팀은 노트북 암호화, 취약점 스캐닝 범위, 애플리케이션 적용, 맬웨어 보호 등에 대한 맞춤형 컴플라이언스 메트릭도 구축할 수 있습니다.
4. Splunk Enterprise Security와의 원활한 통합 및 거의 제로 터치 설치
Splunk Asset and Risk Intelligence는 온프레미스 Splunk Enterprise 또는 Splunk Cloud 환경에 배포할 수 있으며, 추가 프로젝트 계획이나 인력 없이 기존 환경과 통합됩니다. 추가 데이터 소스를 온보딩할 필요 없이 기존 데이터를 활용하여 거의 제로 터치 설치로 즉시 향상된 보안을 제공합니다. 상세한 자산 정보로 Splunk Enterprise Security를 강화하여 보안 팀이 조사 시간을 단축할 수 있습니다. 솔루션은 최신 자산 정보로 Splunk Enterprise Security Assets & Identities 프레임워크를 지속적으로 업데이트하고 채우며, 조사 중 자산의 정확한 귀속을 설정하기 위해 Enterprise Security 주목할 만한 이벤트 강화를 위한 포괄적인 자산 컨텍스트를 제공합니다.
✅ Splunk ARI 자산 및 위험 라이프사이클
Splunk Asset and Risk Intelligence는 다음과 같은 4단계 라이프사이클을 통해 포괄적인 자산 관리를 제공합니다.
✅ Splunk ARI 도입 효과
Splunk Asset and Risk Intelligence를 도입하면 기존의 분산된 자산 관리 방식에서 발생하는 다양한 문제점들을 해결할 수 있습니다.
다음은 Splunk Asset and Risk Intelligence 사용 전후의 주요 차이점을 비교한 내용입니다.
| Splunk ARI 미사용 | Splunk ARI 사용 |
| 여러 도구와 플랫폼을 사용한 복잡한 위협 및 자산 관리 | 단일 인터페이스로 위협 및 자산 관리 |
| 새로운 플랫폼 도입 시 별도의 학습 곡선 | 새로운 UI 학습 필요 없음 |
| API 연결 주기 및 서드파티 시스템 폴링으로 인한 정보 지연 | Splunk 내 이미 수집 및 정규화된 데이터로 최신 정보 즉시 제공 |
| 추가적인 설정 및 네트워크 구성 필요 | 기존 통신 경로를 활용해 정보 수집 가능 |
| 제한적인 보안 위협 탐지 기능 | Splunk Enterprise Security와 통합된 강력한 위협 탐지 제공 |
✅ Splunk ARI 도입 가이드
✅ 결론
Splunk Asset and Risk Intelligence는 복잡해지는 디지털 환경에서 자산 관리와 컴플라이언스 문제를 해결하는 혁신적인 솔루션입니다. 기존 Splunk 데이터를 활용한 거의 제로 터치 설치로 즉시 향상된 보안을 제공하며, 단일 인터페이스를 통해 알려지거나 알려지지 않은 모든 자산에 대한 포괄적인 가시성을 확보할 수 있습니다.
특히 추가 프로젝트 계획이나 인력, 전제 조건 없이 기존 환경과 통합되어 기존 Splunk 강화 데이터를 활용하여 신속하게 컴플라이언스를 달성할 수 있습니다. Splunk Asset and Risk Intelligence로 지속적인 자산 인텔리전스와 실시간 컴플라이언스 모니터링을 통해 조직의 보안 태세를 강화하고 위험 노출을 줄이시기 바랍니다.
▶ 스플렁크(Splunk) : 자세히보기
Splunk는 데이터 접근성을 개선하고, 데이터 기반 인사이트를 확보하고, 데이터 사일로를 제거할 수 있는 AI 기반 통합 보안 및 옵저버빌리티 플랫폼입니다. 업계 최고 수준의 데이터 플랫폼, 고급 분석, 자동화된 조사 및 대응을 통해 비지니스를 보호하고 보안 운영을 강화할 수 있으며, 기업 전체에 대한 옵저버빌리티로 모든 성능 문제가 비지니스에 미치는 영향을 파악하고 더욱 빠르게 해결할 수 있습니다.
클라우드네트웍스는 빅데이터 분야의 전문성을 기반으로 스플렁크 플랫폼의 구축과 기술 지원을 전문으로 하는 전담팀을 운영하고 있습니다. 스플렁크 도입 및 활용에 대한 문의사항은 공식 파트너사인 클라우드네트웍스 연락 부탁드립니다.
