AI 기반 위협 탐지: 미래의 위협 탐지에는 AI가 필요합니다.
위협 탐지 및 대응은 간단히 말해서 기업 사이버 보안입니다. 잠재적인 보안 위협을 식별하는 데 필요한 프로세스와 기술을 총칭하는 용어입니다. 포착해야 할 광범위한 공격 및 기술에는 맬웨어, 무단 액세스, 데이터 침해 또는 조직 정보 시스템의 무결성, 기밀성 또는 가용성을 손상시킬 수 있는 기타 활동이 포함됩니다.
뿐만 아니라 위의 모든 사항을 점검하는 보안 운영 센터의 책임, 목표는 피해를 최소화하기 위해 가능한 한 일찍 이러한 위협을 감지하는 것입니다. 이는 어려운 일입니다. 특히 순전히 인간 팀에 의존할 때 더욱 그렇습니다. 이 글에서는 위협 감지 및 대응을 구성 요소로 나누고 AI 기반 위협 감지가 가장 큰 변화를 가져올 곳을 살펴보겠습니다.
최고의 표준: NIST 사이버보안 프레임워크(CSF) 2.0
NIST CSF 2.0는 탐지와 대응을 XNUMX가지 핵심 역량으로 나눕니다. 종합적으로, 이는 팀이 응집력 있고 실행 가능한 방식으로 공격을 예방, 식별 및 대응할 가능성을 나타냅니다.
확인
5가지 핵심 역량 중 첫 번째인 식별은 NIST '원'의 맨 위에 있는 데는 그럴 만한 이유가 있습니다. 이 첫 번째 단계는 기업 전체에 분산된 모든 자산과 공급업체에 대한 심층적인 이해를 요구합니다. 많은 조직에서 이것 자체가 체계적이고 심층적인 감사를 요구합니다. 조직 전체의 자산을 모두 한 번에 보는 것이 이상적이겠지만, 수동 자산 평가의 현실은 훨씬 더 단편적입니다. 팀은 한 번에 특정 사업부나 프로젝트의 범위를 정하고 감사하면서 진행하면서 인벤토리를 만듭니다.
그런 다음 개별 자산과 직면한 위험을 결합해야 합니다. 취약점 검색 도구는 이 프로세스 속도를 높이는 데 도움이 되지만 초기 자산 식별 프로젝트에 들어가는 엄청난 노력을 염두에 둘 가치가 있습니다. 그리고 평가를 수행하는 개별 팀과 함께 취약성 스캐너는 기업 내에서 차단된 섹션의 '스냅샷'을 너무 자주 분석합니다.
보호
신원 기능은 보호의 기반을 마련합니다. 그런 다음 악의적인 행위자가 내부 또는 주변의 틈을 악용하지 못하도록 적극적으로 방지해야 합니다. 계정 인수를 방지하는 신원 관리 및 액세스 제어이든, 이상한 네트워크 활동을 차단하는 방화벽이든, 많은 고전적인 사이버 보안 도구가 이 역할에 적합합니다.
고전적인 보호 형태(즉, 취약성이 있는 코드가 있는 애플리케이션에 패치를 설치하는 것)는 점점 더 위험해지고 있습니다. 고위험 CVE 공개와 실제 악용 사이의 시간적 범위는 종종 너무 짧아서 고위험 CVE의 25%가 공개된 바로 그날 악용됩니다.
감지
공격자가 이미 방어선을 통과한 경우 일반적인 TTP는 다음 최선의 조치를 취할 수 있을 만큼 오랫동안 피해자의 환경 범위 내에서 배회하는 것입니다. 내부자 위협 감지의 경우 이는 공격의 그라운드 레벨입니다.
가장 널리 사용되는 탐지 도구는 여전히 시그니처 기반입니다. 이 도구는 들어오는 데이터 패킷을 분석하여 의심스러운 코드의 징후를 찾아내는 방식으로 작동합니다. 그런 다음 분석된 섹션을 최신 이전 공격 패턴 데이터베이스와 비교합니다.
응답
악성 파일이나 감염된 네트워크가 식별되면 대응할 때입니다. 이 프로세스는 잠재적인 사이버 보안 사고가 얼마나 잘 억제되는지 정의합니다. 이 단계에서는 많은 압박이 가해집니다. 잘못된 대응은 고객 평판을 더욱 손상시킬 수 있기 때문입니다. 예를 들어, 모든 네트워크 액세스를 차단하면 맬웨어 확산을 매우 빠르게 막을 수 있지만 조직을 무기력한 상태로 만들 수도 있습니다.
대신, 이에 대응하려면 명확한 의사소통과 손상된 장치 및 사용자 계정의 외과적 제거가 필요합니다.
복잡한 공격에서는 영향을 받는 장치를 지우고 운영 체제를 다시 설치해야 하는 경우가 많습니다.
복구
성숙한 사이버 보안 전략의 최종 능력은 이전 침해 또는 이벤트에 발생한 실패를 인식하고 더욱 강력하게 회복하는 것입니다. 응답 시간과 관련된 데이터는 정의된 보안 정책, 정기 감사 및 전담 CISO를 통해 조직을 심층적으로 지원합니다. 이 최전선에서 시작한 조직은 종종 7일 이내에 주가를 회복할 수 있습니다.
GenAI가 체인의 모든 링크를 강화하는 방법
각 조직은 위협 탐지 프로세스를 최적화할 때 고유한 과제에 직면합니다. 그러나 지금까지 AI 위협 탐지는 특히 린 팀 내에서 가장 큰 문제 중 일부를 해결하는 데 지속적으로 그 가치를 입증했습니다.
자동 자산 검색
실시간 분석
AI의 방어적 사용은 이미 그것이 저지하고자 하는 위협만큼 다양합니다. 가장 흥미로운 개발 중 일부는 다음과 같습니다. 피싱 징후를 파악하기 위해 ChatGPT를 사용하여 웹사이트 분석 의심스러운 단어 클러스터 덕분에 LLM이 악성 API 호출 시퀀스를 식별하는 기능도 있습니다. AI 기반 위협 탐지는 소스 코드와 실행 가능한 데이터에 깊이 접근할 수 있어 수동 검토보다 훨씬 더 세부적인 통찰력을 제공합니다.
행동 분석
AI의 진정한 힘은 엄청나게 광범위한 활동에서 발생하는 데이터를 수집하는 능력에 있습니다. 실제 조직의 매우 다양한 데이터 세트에 대해 교육을 받으면 이는 정상적인 네트워크 및 장치 동작의 기반을 구축하는 데 중요한 도구가 됩니다. 이러한 활동 패턴은 상시 변칙 탐지에 반영될 수 있습니다. 이를 통해 비정상적인 모든 행동을 우려의 원인으로 표시할 수 있습니다. 허위 경보의 수를 줄이기 위해 동일한 분석 엔진은 이벤트와 관련된 더 많은 상황별 데이터를 수집하여 적법성을 확립할 수도 있습니다.
마지막으로, 이 모든 것을 인간에게 보내 진짜 검증을 받을 수 있습니다. 이 피드백은 AI의 피드백 루프를 닫고 지속적인 개선을 보장하는 데 중요합니다.
Stellar Cyber를 통해 무기고에 AI를 도입하세요
스텔라 사이버의 확장된 탐지 및 대응(XDR)는 5단계 위협 탐지 파이프라인을 연속적이고 접근하기 쉬운 전체로 단순화합니다. 서로 다른 도구들을 정신없이 스냅샷처럼 사용하는 대신, 우리의 솔루션은 XDR 엔드포인트, 앱, 이메일 등에서 잠재적 위험을 찾아내는 교차 네트워크 분석을 제공합니다. 오늘 심층 데모를 통해 직접 확인해 보세요..
