스텔라 사이버 오픈 XDR - 로고
검색
이 검색 상자를 닫습니다.

사이버 보안의 새로운 물결에 대한 대화

사이버 보안의 새로운 물결에 대한 대화

다시 한 번 사이버 보안의 대화를 바꿀 때입니다.

둘 다 아니야 데이터 중심 ...도 아니다 AI 기반 사이버 보안, 이전에 들어 보셨을 것입니다 – 그것은 둘 다, 그 이상입니다.

상관 관계 기반 사이버 보안. NGFW와 같은 매우 기본적인 것부터 AI 기반 EDR과 같은 매우 고급에 이르기까지 단일 응집 플랫폼의 다양한 데이터 소스에서 많은 탐지의 상관 관계에 관한 것입니다.

사이버 보안, AI 기반 보안, 사이버 보안, xdr, 인공 지능, SIEM 도구, 네트워크 트래픽 분석, 네트워크 트래픽

잠재 고객, 고객 및 파트너로부터 많은 보안 문제에 대해 들었습니다. 그 이유는 무엇입니까? 그것은 인간이하는 일의 일부이기 때문에 고통을 공유합니다! 여러분이 알거나 모를 수도 있지만, 공격자는 우리 모두와 동일한 도구에 액세스 할 수 있습니다. 그들은보다 지능적인 공격을 위해 빅 데이터와 AI 기술에 모두 접근 할 수 있습니다.

그럼에도 불구하고 복잡한 위협이 증가함에 따라 우리 모두는 동의합니다. 이렇게 일관된 주제를 듣는 것은 놀라운 일이 아닙니다.

  • 효과적인 탐지를위한 데이터가 충분하지 않거나
  • 반대로 데이터가 너무 많아서
  • 데이터에 노이즈가 너무 많거나 오경보가 너무 많습니다.
  • 최근에 AI / ML을 사용하여 노이즈 또는 오탐을 줄이는 몇 가지 고급 도구를 사용해 보았지만 그 지능은 각 도구에만 해당됩니다.
  • 나는 서로 이야기하지 않고 답변을 고립시키고 높은 비용을 초래하는 많은 독립적 인 도구를 가지고 있습니다.

이러한 도전을 사용하는 복잡한 공격에 대해 무엇을 할 수 있습니까? 다음은 간단한 예입니다.

  • CEO가 URL이 포함 된 이메일을받습니다.
  • CEO가 URL로 이동하여 노트북에 파일을 다운로드합니다.
  • CEO가 평일 오전 2시에 파일 서버에 액세스합니다.
  • CEO의 노트북은 많은 DNS 트래픽을 보냅니다.

그 자체로 이러한 개별 이벤트는 정상으로 보일 수 있습니다. 적절한 보안 도구를 배포하고 일부는 EDR 및 UBA, 다음을 알 수 있습니다.

  • 귀하의 CEO는 피싱 포함 된 이메일 악의 있는 URL.
  • 귀하의 CEO는 악성 코드 URL로 이동하여 노트북에 파일을
  • CEO가 평일 오전 2시에 파일 서버에 액세스합니다. 비정상적인 행동 UBA 용어로
  • CEO의 노트북은 DNS를 통해 많은 DNS 트래픽을 보냅니다. 튜닝

이것은 네 가지 도구에 의한 많은 독립적 인 분석입니다. 이 침해를 추적하기 위해 이러한 이벤트를 얼마나 빠르고 쉽게 상관시킬 수 있으며, 여러 화면을보고이를 모두 함께 포장해야하는 사람은 몇 명입니까?

한 걸음 물러서서 우리가 여기에 어떻게 왔는지 자문 해 봅시다. 분명히 세 가지 물결이 있습니다. 사이버 보안데이터의 상승, AI의 상승, 상관 관계의 상승 등 서로를 기반으로 구축되었습니다.

1. 데이터 증가-포괄적 인 가시성을 확보하기 위해 데이터 양을 늘립니다.

데이터 기반 보안은 데이터가 새로운 "금"인 빅 데이터 시대의 주요 주제였습니다. 로그와 원시 네트워크 패킷으로 시작했습니다. 주요 목적 시멘스 규정 준수, 사고 조사 및 로그 관리를 위해 다양한 도구 및 애플리케이션에서 로그를 수집하고 집계하는 것이 었습니다. 유산 중 하나 인 ArcSight SIEM 도구2000 년에 출시 된은 SIEM 및 로그 관리 시스템. 원시 패킷은 많은 저장 공간이 필요하다는 사실에도 불구하고 포렌식을 위해있는 그대로 수집 및 저장되었으며 이러한 엄청난 수의 패킷을 검색하여 위반 징후를 찾기가 매우 어렵습니다. 2006 년에 NetWitness는 원시 패킷을 분석하는 솔루션을 찾았습니다.

신속하게, 원시 로그 나 원시 패킷이 개별적으로 침해를 감지하는 데 충분하지 않으며 원시 패킷이 너무 무겁고 포렌식 외에 사용이 제한된다는 것을 깨달았습니다. 전통적으로 네트워크 가시성 및 성능 모니터링에 사용되던 Netflow / IPFix와 같은 트래픽에서 추출 된 정보가 보안에 사용되기 시작했습니다. 시멘스 Netflow / IPFix도 수집 및 저장하기 시작했습니다. 그러나 기술적 확장 성 문제와 비용 문제로 인해 시멘스 트래픽 분석을위한 주류 도구가 된 적이 없습니다.

시간이 지남에 따라 파일, 사용자 정보, 위협 인텔리전스 등 더 많은 데이터가 수집됩니다. 더 많은 데이터를 수집하는 목표는 타당했습니다 – 광범위한 가시성 확보 – 그러나 중요한 공격에 대응하는 순수한 과제는 건초 더미에서 바늘을 찾는 것과 같습니다. , 특히 수동 검색 또는 사람이 수동으로 정의한 규칙을 통해. 노동 집약적이고 시간이 비효율적입니다.

데이터 기반 보안이 직면 한 두 가지 기술적 과제가 있습니다. 대규모 데이터를 대규모로 저장하여 효율적인 검색 및 분석이 가능하도록하는 방법과 데이터 형식에 관계없이 다양한 데이터 (특히 비정형 데이터)를 처리하는 방법입니다. SQL 기반의 기존 관계형 데이터베이스는이 두 가지 문제를 모두 겪었습니다. 이전 공급 업체들은 많은 국내 솔루션으로 이러한 문제를 해결하기 위해 분주했습니다. 불행히도 대부분은 빅 데이터 레이크 용 NoSQL 데이터베이스를 기반으로 오늘날 우리가 사용하는 것만 큼 효율적이지 않았습니다.

데이터 기반 보안이 직면 한 또 하나의 과제는 기업 고객을위한 확장 가능한 시스템을 비용 효율적으로 구축하기위한 소프트웨어 아키텍처입니다. 프런트 엔드 비즈니스 로직과 데이터베이스 계층이있는 일반적인 3 계층 아키텍처는 큰 장애물이되었습니다. 컨테이너가있는 마이크로 서비스 아키텍처를 기반으로하는 오늘날의 클라우드 네이티브 아키텍처는 훨씬 더 확장 가능하고 비용 효율적인 솔루션을 제공합니다.

2. AI의 부상 — 빅 데이터 분석과 함께 머신 러닝을 사용하여 탐지를 찾고 자동화합니다.

데이터가 많으면 데이터로 무엇을합니까? 앞서 언급했듯이 대량의 데이터로 인해 의미있는 패턴을 찾는 것은 지루하고 시간이 많이 걸립니다. 안타깝게도 IT 인프라가 해킹 당하면 알아내는 데 며칠이 걸릴 수 있습니다. 이미 피해가 발생했거나 민감한 데이터가 이미 도난 당했기 때문에 너무 늦었습니다. 이 경우 너무 많은 데이터가 문제가됩니다. 다행히도 우리는 기계 학습 알고리즘의 발전과 컴퓨팅 성능 덕분에 기계 학습의 부상을 목격했습니다.

기계는 반복적이고 지루한 작업을 매우 빠르고 효율적이며 지칠 줄 모르는 연중 무휴로 매우 잘 수행합니다. 기계에 학습 기능과 같은 지능이 장착되어 있으면 인간의 확장을 돕습니다. 보안 분야의 많은 연구자와 공급 업체는 AI를 활용하여 문제를 해결하고, 바늘을 찾거나, 대규모 데이터 세트에 숨겨진 추세를 확인하기 시작했습니다. 따라서 AI 기반 보안. 이 공간에는 많은 혁신이 있습니다. 예를 들어 엔드 포인트 보안 문제를 해결하기 위해 AI를 사용하는 많은 EDR (Endpoint Detection and Response) 회사가 있습니다. 내부자 위협을 해결하기 위해 AI를 사용하는 많은 UEBA (User and Entity Behavior Analysis) 회사와 네트워크 트래픽 분석 (NTA) AI를 사용하여 비정상을 찾는 기업 네트워크 트래픽 패턴.

데이터가 새로운 금이라면 AI를 통해 탐지 된 침해는 금으로 만든 보석과 같습니다. 평범한 금으로 아름다운 보석을 손으로 만들기 위해서는 많은 시간과 인내와 노력이 필요합니다. 기계, 특히 첨단 기계의 도움으로 훌륭한 보석의 상업적 생산이 가능해집니다.

표면에 AI 기반 보안, ML은 일반적으로 모델을 훈련하고 패턴을 학습하기 위해 많은 데이터가 필요하므로 많은 데이터가 문제가되지 않습니다. 반대로 데이터가 적을수록 정확성이 떨어지고 ML 모델의 유용성이 떨어지기 때문에 데이터가 충분하지 않은 것은 분명 문제입니다. 그러나 시간이 지남에 따라 연구원들은 올바른 데이터가 훨씬 더 중요하다는 것을 점차 깨닫게되었습니다. 올바른 정보가없는 데이터가 너무 많으면 ML의 컴퓨팅 성능과 동시에 스토리지의 낭비 일뿐입니다. 로그를 기반으로하는 솔루션을 제공하는 많은 이전 UEBA 공급 업체 SIEM 도구 이 어려운 교훈을 배웠습니다. SIEM은 많은 로그를 수집했을 수 있지만 그중 일부에만 사용자 행동과 관련된 올바른 정보가 포함되어 있습니다. 따라서 데이터 기반 보안이 AI 기반 보안, 확장 가능하고 정확한 구축 AI 기반 보안, 올바른 데이터가 훨씬 더 중요합니다.

AI를 사용하면 빅 데이터의 고통을 완화하는 데 확실히 도움이되지만 그 자체로 어려움이 있습니다. 예를 들어 UEBA와 NTA 모두 행동 분석을 위해 비지도 머신 러닝을 활용합니다. 그러나 사용자 또는 네트워크 트래픽 반드시 보안 사고를 의미하지는 않습니다. 이러한 도구는 많은 소음을 발생시켜 경고 피로를 유발할 수 있습니다. 또한 스마트 해킹은 일반적으로 잡히기 전에 킬 체인의 여러 단계를 거칩니다. 침해의 흔적을 복구하고 근본 원인을 해결하려면 어떻게해야합니까?

또 다른 큰 도전이 있습니다 AI 기반 보안 총체적으로 : 비용 – 도구 자체의 자본 비용, 이러한 도구에서 사용하는 컴퓨팅 및 스토리지 인프라 비용, 다양한 화면을 가진 사일로에있는 다양한 도구의 운영 비용.

따라서 각 도구가 몇 기가 바이트 또는 테라 바이트의 데이터를 몇 가지 중요한 탐지의 짧은 목록으로 추출 할 수있는 기능이 있더라도 "이러한 도구를 단일 플랫폼으로 통합하지 않고 탐지를 상호 연결함으로써 무엇을 놓치고 있습니까?"라는 질문은 여전히 ​​남아 있습니다. 모든 도구와 피드에서? "

3. 상관 관계의 증가 — 단일 플랫폼에서 탐지를 상호 연관시키고 전체 공격 표면에 대한 대응을 자동화합니다.

이 새로운 물결과 함께 대화는 데이터와 AI에서 상관 관계로 전환됩니다. 분명히이 파동은 이전의 두 파동을 기반으로합니다. 그러나 이는 도구뿐만 아니라 데이터를 능가하는 것이며 모든 것을 단일 플랫폼으로 함께 래핑하는 것입니다. 우리의 초기 금과 보석에 대한 비유에 따라 이것은 올바른 보석 세트를 맞추고 전체적으로 멋지게 보이도록 한 사람에게 결합하는 것입니다.

보안 분석가 ESG, 가트너, 포레스터, IDC옴 디아 모두는 사일로 화 된 도구에서 통합 플랫폼으로의 이러한 사고 변화가 중요한 침해를 확인하고 대응하는 데 핵심이라는 데 동의합니다. 특히, 플랫폼은 전체적인 접근 방식을 취하고 네트워크, 클라우드, 엔드 포인트 및 애플리케이션 전체 (전체 공격 표면)에서 상관 탐지를 살펴 봐야합니다.

도구, 피드 및 환경에 대한 탐지 상관 관계의 주요 목표는 탐지 정확도를 높이고, 여러 도구의 약한 신호를 결합하여 복잡한 공격을 탐지하여 무시할 수있는 공격을 탐지하고, 운영 효율성과 생산성을 향상시키는 것입니다. 더 이상 포괄적 인 가시성은 올바른 데이터를 찾는 것이 아니라 복잡한 공격을 찾는 것을 의미합니다.

이렇게하려면 다음을 고려해야합니다. XDR 열기. XDR 는 단일 창을 통해 단일 플랫폼에 많은 보안 애플리케이션을 긴밀하게 통합하는 일관된 보안 운영 솔루션입니다. 여러 도구에서 데이터를 자동으로 수집 및 상호 연관시키고 탐지를 개선하며 자동 응답을 제공합니다. 도구와 애플리케이션을 결합한 플랫폼은 본질적으로 도구 비용과 인프라 비용 모두에서 비용을 낮추는 동시에 사용하기 쉬운 단일 창으로 운영 효율성을 향상시킵니다.

XDR에는 다음과 같은 XNUMX 가지 기본 요구 사항이 있습니다.

  1. 로그를 포함한 다양한 데이터 소스에서 정규화되고 강화 된 데이터의 중앙 집중화, 네트워크 트래픽, 애플리케이션, 클라우드, 위협 인텔리전스 등
  2. 다음과 같은 고급 분석을 통해 수집 된 데이터에서 보안 이벤트 자동 감지 NTA, UBAEBA.
  3. 개별 보안 이벤트와 상위 수준의 상관 관계.
  4. 개별 보안 제품과 상호 작용하는 중앙 집중식 대응 기능.
  5. 배포 유연성, 확장 성 및 고 가용성을위한 클라우드 네이티브 마이크로 서비스 아키텍처입니다.

결론적으로 Stellar Cyber는 모든 것을 수집하고 큐 레이트하는 유일한 목적으로 구축 된 Open XDR 플랫폼입니다. 사이버 보안 전체 킬 체인에서 탐지, 상관 및 대응할 데이터. 상관 관계의 물결이 시작되었으며 함께 여행을 즐기며 함께 탈 수 있습니다!

SIAM-빈 약속

SIEM – 빈 약속?

SIEM은 수십 년 동안 보안 운영의 기반이되어 왔으며이를 인정해야합니다. 그러나 SIEM은 많은 큰 약속을 해왔고 지금까지 많은 약속을 이행하지 못했습니다.

eBook 다운로드

위쪽으로 스크롤