AI 기반 하이퍼 자동화가 사이버 보안을 어떻게 변화시키고 있는가
사이버 보안의 3대 기둥 자동화
기업 네트워크에서 생성되는 방대한 양의 데이터는 단순한 수동 추적으로는 너무 많습니다. 데이터 수집, 분석 및 위협 해결을 통해 각 분야의 자동화 성숙도 수준을 정의하고 Stellar Cyber가 AI 기반 하이퍼 자동화 내에서 최고 성숙도를 향해 어떻게 노력하고 있는지 살펴보겠습니다.
데이터 수집 자동화
로그 수집
사이버보안 모니터링의 기본이 되는 로그는 애플리케이션, 네트워킹 장치, 서버에서 생성된 이벤트를 기록한 것입니다.
가장 기본적인 성숙도 수준에서 로그는 로그 복제를 통해 사이버보안 분석가 프로세스에 포함됩니다. 여기서 분석가는 모든 로그를 주기적으로 복제하여 중앙 저장소에 저장하는 서버나 장치에 로컬 스크립트를 수동으로 설정합니다. 주로 로그 배치에 사용되며, 각 로그는 종종 사람이 읽을 수 있도록 포맷되며 분석가가 수동으로 문제를 해결하거나 보안 사고가 어떻게 시작되었는지 탐색할 때만 읽힙니다.
중간 수준의 자동화 성숙도에서 이 프로세스는 일반적으로 API 또는 심층적인 애플리케이션 구성을 통해 로그를 중앙 관리 시스템으로 자동으로 끌어와 실시간 가시성을 통합하기 시작합니다. 로그의 개별 서식도 더욱 기계 중심적이 되어 로그 관리 도구에서 쉽게 수집할 수 있는 구조화된 레이아웃에 더 중점을 둡니다. 분석가는 여전히 이러한 도구가 포함할 장치를 선택하는 데 수동으로 지원해야 하며, 종종 샘플링으로 돌아가 시간이 지남에 따라 로그 관리 관행을 조정해야 합니다.
마지막으로, 가장 자동화된 로그 수집은 순수한 수집 시스템을 넘어 자동 장치 검색을 통합합니다. API, 로그 소스 또는 기본 센서를 통해 모든 엔터프라이즈 장치는 네트워크에서의 활동에 관계없이 검색 및 추적될 수 있습니다.
네트워크 보안 모니터링
네트워크 보안 모니터링은 애플리케이션 내의 개별적인 작업에서 한 걸음 물러나, 기업 네트워크 전반에서 흐르는 트래픽을 살펴보고 악의적인 작업을 평가합니다.
네트워크 보안 모니터링에 대한 비AI 접근 방식은 과거에는 효과적이었지만, 사이버 범죄자들은 접근 방식을 빠르게 그에 맞춰 조정했습니다. 이전 보안 도구는 네트워크 패킷 정보를 미리 만들어진 알려진 전략 목록과 비교하기만 하며, 오래된 방화벽은 오늘날의 엔드투엔드 암호화된 트래픽에 대처하는 데 어려움을 겪습니다.
자동화된 네트워크 보안 도구는 퍼블릭, 프라이빗 클라우드와 온프레미스 하드웨어 전반에서 훨씬 더 광범위한 네트워크로부터 정보를 수집할 수 있습니다. Stellar Cyber의 네트워크 센서 깊이 파고들어 모든 물리적 및 가상 스위치에서 메타데이터를 수집합니다. 센서는 Deep Packet Inspection을 통해 페이로드를 디코딩하고 Windows 98 서버 이상, Ubuntu, Debian, Red Hat에서 작동할 수 있습니다.
이 모든 데이터를 수집하는 것은 견고한 사이버 보안의 기초가 될 수 있지만 여전히 통찰력으로 전환되어야 하며, 가장 중요한 것은 조치가 필요합니다.
데이터 분석 자동화
항상 실제 인간의 전문성과 지식이 필요한 일정 수준의 데이터 분석이 있습니다. 그러나 자동화된 분석의 발전으로 이제 분석가는 그 어느 때보다 더 명확하게 시간에 민감한 결정을 내릴 수 있습니다.
자동화 초기 단계에서 이벤트 분석은 종종 분석가가 직접 점들을 연결해야 하는 데 의존합니다. 패치가 필요한 소프트웨어 버전이든 감독된 결함이든 말입니다. 최악의 경우, 공격자는 분석가가 알아차리기도 전에 결함을 알고 적극적으로 악용합니다. 여전히 수동이기는 하지만, 모든 다양한 데이터 형식을 중앙 대시보드로 정리하는 것이 지금은 어디에나 있는 보안 정보 및 이벤트 관리(SIEM) 도구의 기반입니다.
약 10년 전, 고도로 숙련된 보안 전문가가 자랑하는 능력 중 하나인, 이전에 목격한 공격을 인식하는 능력이 시그니처 기반 탐지 덕분에 새로운 팀에서 갑자기 발휘될 수 있었습니다. 따라서 조직은 중간 수준의 자동화된 분석의 혜택을 받기 시작했습니다. 파일 시그니처나 IP 주소가 이전에 태그가 지정된 공격과 일치하면 분석가는 즉시 알림을 받을 수 있습니다(일반적으로 SIEM 도구를 통해).
그러나 이 기본적인 형태의 이벤트 분석은 여전히 제로데이 또는 새로운 공격에 대한 답이 본질적으로 없었습니다. 게다가 분석가들은 훨씬 더 큰 도전에 직면했습니다. 보안 이벤트가 처리할 수 있는 것보다 훨씬 빠르게 생성되고 있었습니다.
당신은 (아마도) 이미 자동화 분석에 익숙할 것입니다
이상 기반 행동 분석은 공격을 예측하고 예방할 수 있지만, 거짓 긍정이 발생하고 사고 대응 워크플로가 복잡해질 수 있습니다. 이것이 오늘날 보안 자동화의 최종 계층이 가장 큰 변화를 가져오는 부분입니다.
사고 대응 자동화
마지막 두 단계(데이터 수집 및 분석)는 모두 하나의 목표, 즉 사고 대응으로 이어집니다.
기본적인 수준의 자동화에 의존하는 사고 대응은 분석가가 맬웨어에 감염된 기기를 격리할 때 네트워크 액세스를 수동으로 비활성화하고, 원격으로 새로운 소프트웨어 패치를 설치하고, 계정이 침해되었을 수 있는 사용자의 비밀번호와 사용자 이름을 재설정해야 합니다. 이것들이 주로 반응적인 성격을 띠고 있다는 것을 알 수 있을 것입니다. 이는 수동 개입의 달팽이 같은 속도 때문입니다.
중간 계층 수준의 인시던트 대응 자동화로 진행하면서, 이는 행동 분석의 기초를 취하고 그에 따라 행동합니다. 종종 의심스러운 사용자가 중요한 리소스에 액세스하는 것을 자동으로 거부하거나 전문 분야에 따라 올바른 분석가에게 경고하는 방식으로 행동합니다. 플레이북을 사용하면 보안 팀이 자동 대응에 대한 완전한 제어권을 유지할 수 있으므로 AI 기반 도구가 일상적인 사이버 보안의 반복 가능한 지루한 작업을 수행하는 데 탁월합니다.
하지만 이 수준의 인시던트 자동화는 한 가지 문제에 매우 취약합니다. 바로 거짓 양성입니다. 이는 사용자나 기기에 잘못된 제한을 가하여 생산성에 심각한 영향을 미칠 수 있습니다. 성숙한 인시던트 대응 파이프라인을 갖춘 회사는 이미 고정확도 인시던트 대응 프로세스를 구축하고 있습니다. 바로 하이퍼 자동화를 통한 것입니다.
Stellar Cyber의 하이퍼 자동화가 사고 대응을 어떻게 변화시키고 있는가
서론에서 하이퍼오토메이션이 최상의 비즈니스 성과를 창출하기 위해 자동화 계층을 쌓아 올리는 프로세스라고 설명했습니다. 성숙한 보안 스택에서 하이퍼오토메이션은 머신러닝 알고리즘의 심층적인 패턴 기반 분석과 사고 맥락화 프로세스를 결합합니다.
Stellar Cyber의 Graph ML은 개별 이상 경보 간의 상관관계를 매핑하고 이를 사례로 구성하여 수천 개의 경보를 수백 개의 실제 이벤트로 변환합니다. 각 경보는 해당 경보의 고유한 특성에 따라 자동으로 보강되고 우선순위가 지정됩니다. 마지막으로 분석가는 조직의 모든 행동, 결함 및 장치를 간소화된 사례로 통합하는 대시보드라는 단일 참조 지점을 확보하게 됩니다.
조직의 자동화 성숙도가 아직 최고 수준에 이르지 않았더라도 걱정하지 마세요. 도구가 몇 년마다 업그레이드되므로 자동화 성숙도가 산발적으로 진행되는 것은 정상적인 현상입니다. Stellar Cyber가 시장에서 가장 비용 효율적인 Open XDR 플랫폼을 제공하는 방식이 궁금하시다면, 오늘 데모를 신청하세요.
