사이버 보안 시스템이 중단될 가능성이 무르익었습니다. 수년에 걸쳐 각각 고유한 데이터 형식을 가진 개별 도구가 확산되어 이질적인 데이터의 홍수가 발생했습니다. 또한 해당 데이터를 평가할 수 있는 숙련된 사이버 보안 분석가가 전 세계적으로 부족합니다(찾을 수 있다면 매우 비쌉니다). 마지막으로 해커는 점점 더 똑똑해지고 창의적입니다. AI는 이러한 문제를 해결해야 하지만, 신중하게 계획된 대규모 인프라가 필요하기 때문에 대규모로 문제를 해결하는 데는 사용이 제한적이었습니다. 이 기사에서는 사이버 보안 분야의 AI 시스템과 그것이 진정으로 혁신적인 기술이 될 수 있는 방법.
뱀 기름으로서의 AI
AI는 사이버 보안 솔루션을 설명하는 마케팅 문헌에서 많이 언급되지만 지금까지 생각만큼 혁신적이지는 않았습니다. 에서 성장하는 시장 규모에도 불구하고 20.5% 복합 연간 성장률, AI는 여전히 운영상 보안 문제에 배포하기 어렵습니다. 현대로 들어간다면 보안 운영 센터(SOC), 읽기 어려운 대시보드와 CNN이 있는 대형 TV와 업무에 어려움을 겪을 가능성이 있는 보안 분석가를 찾을 수 있을 것입니다. 점점 더 복잡해지는 공격에 직면해 있습니다. 인간이 그렇게 하면 의문이 생긴다. "AI는 어디에 있습니까?"
사이버 보안 지저분한 운영상의 문제이며 AI가 이를 변환하는 데 느린 이유가 바로 여기에 있습니다. 위협이 종종 정상적인 활동과 동일하게 보일 때 수백 개의 원격 분석 소스에서 기업의 위협을 찾는 것은 매우 어려운 문제입니다. 또한 각 보안 도구의 데이터는 다른 형태를 가질 수 있으며 AI 시스템을 훈련하는 데 사용하려면 먼저 정규화해야 합니다.
산업 및 사용 사례에 관계없이 AI는 데이터로부터 학습합니다. AI 엔진 무엇이 비정상인지 아닌지 학습을 시작할 수 있도록 데이터로 훈련되어야 합니다. 이것이 보안 문제에 대해 매우 혼란스러운 것입니다. 모든 기업의 보안 데이터는 최소한 다른 도구와 행동 패턴으로 약간 다르게 보이고, 최대로 보면 데이터가 매우 다르게 보입니다. 이미지 또는 음성 인식 시스템과 같이 라이선스가 부여될 수 있는 보안 분야의 골든 트레이닝 데이터 세트는 없습니다. AI를 사용하여 보안 문제를 해결하려면 자체 데이터를 생성하고 획득해야 합니다.
AI 엔진에 유용하도록 데이터를 정규화하는 것은 큰 도전입니다. 자율주행 자동차 애플리케이션에 중점을 둔 AI 개발을 위한 데이터 API를 생성하는 스타트업인 스케일 AI(Scale AI)가 설립 7년 만에 XNUMX억 달러 가치 평가. Scale AI는 이미 세계에서 가장 혁신적인 많은 조직을 고객으로 간주하고 있습니다.
혁신적인 AI가 취할 것
보안 분야의 AI는 결국 공격과 방어 모두에서 혁신적일 것입니다. 그러나 그것은 다른 날의 이야기입니다. 여기에서 "변혁적"은 보안의 모든 부분에 걸쳐 광범위하게 변혁적임을 의미하므로 기업이 보안에 대해 수행하는 방식을 근본적으로 바꿉니다. 현재로서는 AI가 보안을 향상시킬 수 있는 일부 제한된 애플리케이션으로 만족해야 합니다.
그러나 보안에서 AI의 밝은 부분이 있습니다. 데이터 문제를 통해 생각하면 쉽게 찾을 수 있습니다. 보안 스택의 어떤 부분이 깨끗하고 훈련 가능한 데이터를 생성합니까? 이메일 사기 및 맬웨어 탐지가 두 가지 좋은 예입니다. AI 엔진 사용 가능한 피싱 예제 또는 맬웨어 서명에서 학습하고 유사한 익스플로잇을 찾아낼 수 있습니다. 고객 이메일과 맬웨어 샌드박스의 데이터를 사용하여 엔터프라이즈 제품을 구동하는 AI 모델을 훈련할 수 있습니다. 네트워크를 통해 측면으로 이동하는 공격(예: 방화벽에서 Active Directory 서버, 데이터 서버로)을 감지하는 것과 같은 문제에 대해 동일한 교육을 구현하는 것이 훨씬 더 어렵습니다. 이러한 측면 이동은 기업마다 약간씩 다르게 보일 것이기 때문입니다.
모든 디지털 운영에서 기업을 광범위하게 보호할 AI를 만드는 것은 오늘날 무인 자동차 회사가 취하는 노력과 어떤 면에서 비슷할 것입니다. 예를 들어, 2009년부터 Waymo의 무인 자동차 소프트웨어는 15억 마일의 모의 운전 및 20천만 마일 이상의 공공 운전 경험. Waymo는 다양한 수준의 충실도(시뮬레이션, 비공개 코스, 실제 세계)에서 테스트하고 수천 가지 변형이 있는 시나리오를 실행하는 동시에 개선 목적으로 데이터를 수집하는 엄격한 접근 방식을 사용합니다.
이것은 보안 분야의 AI에 대한 완벽한 비유는 아니지만 시뮬레이션된 데이터로 테스트하고, 시뮬레이션된 또는 실제 공격이 있는 랩 환경에서 테스트하고, 다양한 기업 집합에서 실제 작업에서 테스트하는 것은 꽤 좋습니다. 보다 깨끗한 데이터에 대한 자연스러운 액세스와 관련된 보안 문제는 전체 엔터프라이즈 보안 스택에서 어려운 데이터 문제보다 더 빨리 진정한 AI 기반 제품에서 나타날 것입니다. 거기에 도달하려면 시간과 자본이 필요할 것이며 데이터 문제에 무자비하게 초점을 맞춘 혁신이 가장 먼저 광범위한 변환을 달성할 것입니다. 오늘날 많은 보안 도구는 전체 인프라의 특정 문제점에 격리되는 경향이 있기 때문에 데이터 정규화에 중점을 두지 않습니다.
보안 분야의 혁신적인 AI는 어떤 모습일까요?
모든 IT 이니셔티브, 구성, 보안 로그 및 경고가 비즈니스 운영에 지장을 주지 않고 주어진 영역에서 실시간으로 세계 최고의 인간 보안 전문가에 의해 검토될 수 있다고 상상해 보십시오. 기업 분석가가 해당 전문가와 상의하고 지시를 받을 수 있다고 상상해 보십시오. 보안 분야의 AI는 결국 그렇게 느낄 것입니다.
어떻게? 데이터 복잡성을 줄이는 사려 깊은 데이터 자산을 기반으로 하는 제품은 궁극적으로 카테고리 왕이 될 것입니다. 그렇지 않으면 제품이 고객 간에 작동하지 않고 서비스와 같은 마진을 갖고 확장되지 않는 제품이 될 것입니다. (Andreesen Horowitz는 흥미롭게도 대부분의 엔터프라이즈 AI 회사가 AI를 구축하고 확장하는 고유한 비용 때문에 유사한 SaaS 비즈니스보다 훨씬 낮은 마진을 갖습니다..)
이러한 미래의 카테고리 왕은 데이터가 진정으로 자산으로 간주되고 제품의 자체 개선 특성을 지원하기 전에 아마도 몇 년 동안 데이터 인프라 및 수집에 투자해야 할 것입니다. 그러나 이러한 회사 왕이 AI를 위한 실제 데이터 자산을 얻으면 혁신 속도는 경쟁업체와 견줄 수 없을 정도는 아니더라도 어려울 것이며 직관적인 제품을 유지 관리하는 한 카테고리 왕으로 선정될 것입니다. 따라서 검색 엔진 범주가 Google에 빠르게 통합된 것처럼 데이터 집약적인 사이버 보안 솔루션에서도 마찬가지입니다. 특히 보안 정보 및 이벤트 관리 (SIEM), 확장된 탐지 및 대응(XDR), 엔드 포인트 탐지 및 응답 (EDR)및 네트워크 감지 및 응답 (NDR) 시장.
따라서 앞서 이메일 사기 및 맬웨어 사례에서 언급했듯이 AI는 데이터 복잡성이 덜한 작은 문제에서 보안 우선으로 부상하고 있습니다. 그러면 AI는 더 복잡한 데이터 문제에 천천히 배포되지만 데이터 복잡성 관리에 무자비하게 초점을 맞춘 제품만이 의미 있는 AI 엔진. 효과적이려면 AI 기반 보안 프로그램이 사용 가능한 모든 보안 도구 및 위협 피드에서 데이터를 수집한 다음 해당 데이터를 정규화하여 AI 엔진 교육에 유용하게 사용할 수 있어야 합니다. 그것이 사이버 보안에서 AI의 미래가 보일 것입니다.
저자에 관하여
Sam Jones는 Stellar Cyber, Inc.의 제품 관리 부사장입니다. 그는 고객이 사랑하는 AI 및 보안 제품을 구축한 실적이 있는 경험 많은 제품 개발 리더입니다. 그는 AI/ML, 데이터 인프라, 보안, SaaS, 제품 설계 및 방어에 대한 강력한 배경 지식을 보유하고 있습니다. Sam은 Palantir Technologies 및 Shield AI를 비롯한 회사에서 제품 및 엔지니어링 직책을 역임했으며 미 공군에서 사이버 방어 전략에 대해 근무했습니다. 그는 Cornell University에서 전기 및 컴퓨터 공학 학사 학위를 취득했습니다.
