Yokogawa Electric, 위협 대응 및 복구 시간을 크게 단축

글로벌 IT 보안 모니터링 시스템
Yokogawa Electric은 석유, 가스, 화학 산업을 위한 측정 및 제어 장비를 중점적으로 개발하고 제조합니다. 1915년에 설립된 이후 이 기업은 공장 운영에 필수적인 장비를 일본과 전 세계에 제공하고 있습니다. 현재 매출의 약 90%를 제어 시스템이 차지하고 있으며, 해외 비즈니스 운영이 전체 매출 중 약 70%를 차지합니다.

Yokogawa Electric은 전 세계적으로 확장하고 있습니다. 하지만 전 세계에 위치한 사무실에서 각기 다른 IT 장비와 소프트웨어를 설치하고 자체 정책에 따라 보안을 모니터링합니다. 그에 따라 일관성 없는 IT 보안 관리는 비즈니스의 글로벌 운영에 도전과제가 되었습니다.

회사 중심에서 보안을 모니터링하고 글로벌 운영을 개선할 수 있도록 Yokogawa 보안 운영 센터(Y-SOC)가 설립되었습니다. 2020년 6월 기준으로 이 센터에서 전 세계 15개 지역을 관할하고 있습니다.

“약 35,000개의 IT 인프라 구성 항목에서 각 위치에 사용되는 PC, 서버 및 게이트웨이를 구성하여 이벤트 및 보안 로그를 컴파일하는 시스템을 구축했습니다. 의심스러운 통신과 이벤트를 자동으로 탐지 및 분석하고 경보를 발령합니다. Y-SOC 보안 분석가는 시스템을 사용하여 IT 보안을 중앙에서 모니터링합니다. 경보가 발령되면 현장 엔지니어가 조치를 취해야 합니다.”라고 Yokogawa Electric Corporation의 디지털 전략 본부 부국장 Tetsuo Shiozaki는 설명합니다.

모든 위치에 제공되는 IT 자산 상태 가시성
각 위치에서 사용하는 모든 IT 인프라 구성을 파악하여 자동화된 탐지 및 분석 시스템을 구축하는 것이 중요합니다.

2020년 1월 Yokogawa Electric은 IT 자산 관리 기능으로 ServiceNow IT Operations Management(ITOM)를 구현했습니다. 이렇게 하여 전반적으로 관리를 용이하게 하고 IT 인프라 자산에 대한 완전한 가시성을 회사에 제공했습니다. 여기에 Y-SOC 보안 모니터링 범위는 전 세계적으로 6개에서 15개 위치로 확장되어 전 세계 대부분 지역을 총괄합니다.

Shiozaki는 “괄목할 만한 점은 중국, 러시아와 같이 해외 액세스 제한이 엄격한 국가에서 IT 자산 상태를 볼 수 있다는 것입니다.”라고 말합니다.

35,000여 개의 모든 위치에 대한 IT 자산 설치 상태를 제대로 파악하면 보안 모니터링에 발생하는 공백을 제거할 수 있습니다. 거버넌스를 개선할 수 있고 벤더 선택 및 애플리케이션을 최적화하며 글로벌 IT 투자 계획도 단순화합니다.

인시던트 응답 워크플로우 구축
Yokogawa Electric은 인시던트 응답 워크플로우를 최적화하기 위해 ServiceNow Security Operations도 배포했습니다.

ServiceNow Security Operations는 보안 응답 조치를 간소화하는 애플리케이션을 폭넓게 제공합니다. 여기에는 효율적인 검색을 수행하고 여러 인텔리전스 소스에서 보고서를 수집하는 Threat Intelligence가 포함됩니다. 또한 ServiceNow Security Incident Response 애플리케이션은 인시던트 분석에서 방지, 제거, 복구 및 검토까지 모든 측면을 다루며 보안 인시던트의 수명주기를 관리합니다.

보안 모니터링을 위해서는 대상 IT 자산 정보의 인벤토리가 필수적입니다. Yokogawa Electric은 ITOM과 Security Operations를 연결하여 모든 위치의 자산 정보를 기반으로 인시던트 영향과 적절한 대응을 결정하는 중앙 시스템을 형성했습니다.

다양한 Y-SOC 도구에 연결하면 Configuration Management Database(CMDB)에서 보안 인시던트가 발생할 때 우선순위를 지정할 수 있습니다. 따라서 응답시간이 단축되고 대응 작업이 30% 간소화됩니다.

“과거에는 공격받는 대상이 될 수 있는 장치, 사용자 및 운영 체제와 같은 프로필 정보를 이해하기 어려운 경우가 많았습니다. 자체 API를 통해 ITOM 및 ServiceNow Security Operations를 Y-SOC와 연결하여 식별 프로세스가 간소화되었으며 모든 인시던트 영향을 더 명확히 이해할 수 있습니다.”라고 Shiozaki는 밝힙니다.

위협 방어 자동화
Security Operations를 기업에서 개발한 자동화 탐지 및 분석 시스템과 연결하면 더 심각한 보안 위반을 자동으로 예방할 수 있습니다. 특히, 자동화된 탐지 및 분석 시스템에서 실시간 경보 알림이 Security Operations로 전송될 때마다 사이버 위협 인텔리전스 데이터의 여러 소스가 참조용으로 집계됩니다. 위협 수준이 높은 IP 주소, URL 및 도메인 이름을 식별하고 이 메커니즘에 따라 자동으로 통신이 차단됩니다. 그 결과 정기적인 인시던트 검토와 같은 워크플로우를 수행할 수 있습니다. 위협 인시던트 발생 후 이를 차단하는 데 걸리는 기간은 예전에는 최대 3주 정도였지만 이 워크플로우 도입 후 약 1분으로 단축되었습니다.

또한 취약성 진단은 Security Operations Vulnerability Response 모듈에 통합됩니다. 우선순위는 대상 시스템의 취약성 유무와 ITOM의 IT 자산 관리 로그를 참조한 위험 평가에 따라 지정됩니다. 취약성 대응 워크플로우도 구축됩니다.

“ServiceNow 솔루션에 만족합니다.”라고 Shiozaki는 밝힙니다. “앞으로 축적된 경험과 노하우를 바탕으로 고객사에게 IT 및 OT 보안 솔루션을 제공하여 글로벌 확장을 지원하는 것이 목표입니다.”