AI SecOps: 구현 및 모범 사례
보안 운영 또는 SecOps는 민감한 기업 자산에 대한 취약성과 위험 침입을 방지하는 개별 프로세스의 정점입니다. 이는 보안 사고를 모니터링하고 방지하는 사람들의 조직 단위인 보안 운영 센터(SOC)와 약간 다릅니다.
이러한 구분은 SecOps가 운영 파이프라인 내에서 보안 프로세스를 통합하는 것을 목표로 하는 반면, 기존 SOC는 보안을 IT에서 분리하여 본질적으로 보안 프로세스를 고립시키기 때문에 중요합니다. 이것이 현대 SOC가 종종 SecOps를 구현하는 이유인데, 이는 위협 예방과 전담 사고 대응 기능의 균형을 맞추는 방법입니다.
SecOps는 일상적인 IT 및 OT 워크플로와 함께 있어야 하며 방해가 되어서는 안 되기 때문에 SecOps 자동화는 전략의 필수적인 부분입니다. 이 기사에서는 AI SecOps가 어떻게 진화하고 있는지, SecOps에서 AI를 사용하는 사례, SecOps에서 AI를 구현하기 위한 모범 사례를 살펴봅니다.
차세대 SIEM
Stellar Cyber 차세대 SIEM은 Stellar Cyber Open XDR 플랫폼의 핵심 구성 요소입니다.
AI 기반 보안을 실제로 경험해 보세요!
즉각적인 위협 탐지 및 대응을 위한 Stellar Cyber의 최첨단 AI를 만나보세요. 오늘 데모를 예약하세요!
AI SecOps 소개
SecOps는 보안을 중시하는 조직에서 상당한 지지를 얻은 접근 방식입니다. 모든 조직의 SecOps는 디지털 자산, 인프라 및 민감한 데이터의 고유한 레이아웃에 적응해야 합니다. 이는 기업이 성장하고 시간이 지남에 따라 시장 변화에 적응하는 것과 마찬가지입니다. SecOps는 IT 운영 라이프사이클 전반에 걸쳐 보안 조치를 통합하기 때문에 개발 및 운영의 모든 단계에 보안을 내장해야 합니다.
이를 달성하기 위해 SOC는 본질적으로 모든 사용자의 장치, 네트워크 및 엔드포인트에 대한 지속적이고 심층적인 가시성이 필요합니다. 이는 엄청난 양의 데이터입니다. SOC 팀이 전통적으로 개발자 및 IT 담당자와 분리되어 있었던 이유 중 하나는 이 모든 데이터를 관리하기 위해서였습니다. 분석가 계층을 중심으로 SOC 팀은 또한 이를 추출하고 그룹화하기 위한 많은 수의 도구가 필요했습니다. 보안 정보 및 이벤트 관리(SIEM) 도구, 방화벽 및 엔드포인트 탐지 및 대응(EDR)은 모두 이 데이터를 처리하고 의미 있는 정보로 전환하는 데 도움이 되었습니다.
보안 운영의 AI는 이제 보안 데이터를 생성된 속도와 동일한 속도로 수집할 수 있습니다. 그 결과, 머신 러닝과 새로운 생성 AI가 SecOps를 지속적인 프로세스로 전환하여 보안 운영이 IT 및 개발 변화에 발맞출 수 있도록 합니다. 또한 AI 기반 플랫폼이 그 어느 때보다 더 큰 자동화 옵션을 제공함에 따라 SecOps 진화는 간소화된 기술 스택, 복잡성 감소 및 더 높은 ROI를 향해 추진되고 있습니다.
SecOps에서의 AI 사용 사례
거짓 양성이 적은 위협 발견
AI 모델은 방대한 데이터 세트에서 번창합니다. AI를 사용하면 한때 보안 팀을 압도할 수 있었던 경고의 양을 이제는 수집하고, 교차 참조하고, 다른 경고를 탐지하는 데 사용할 수 있습니다. 이는 보안 도구를 서로 위에 쌓는 기존의 위협 탐지 방식과는 극명하게 대조됩니다.
이것이 상황이다 미국에 본사를 둔 금융 회사 1곳 SOC 분석가는 각 경보에 첨부된 방대한 양의 데이터를 파헤쳐 모든 보안 작업을 시작해야 했습니다. 그리고 기업에는 여러 보안 툴링 소프트웨어가 있었기 때문에 각 콘솔에서 동일한 경보를 수동으로 식별하고 각 리드를 개별적으로 따라 경보의 유효성과 잠재적 손상을 확인해야 했습니다.
AI는 도구의 알림 트리거에 들어가는 모든 원시 로그, 네트워크 및 장치 데이터를 수집할 수 있으므로 해당 알림을 문제의 네트워크, 장치 또는 계정에서 해당 작업과 연관시킬 수 있습니다. 그 결과 거짓 알림이 훨씬 줄어들고, 진짜 보안 사고가 발생하는 경우 AI는 더 광범위한 공격 체인의 맥락에서 알림을 배치할 수 있습니다.
자동화된 사고 대응
플레이북은 자동화된 대응 기능의 초석입니다. 이를 통해 소규모 팀이 취리히 대학교 IT학과 특정 경보에 대응하여 특정 모니터링 및 대응 역량을 신속하게 구현합니다. 예를 들어, 부서의 엔드포인트에 영향을 미치는 사고가 발생하는 경우 해당 IT 관리자에게 알릴 수 있습니다.
자동화를 통해 린 팀은 상시 대기 분석가를 둘 인력이 없더라도 24시간 연중무휴로 커버리지를 제공할 수 있습니다. 자동화는 플레이북을 통해 접근 가능합니다. 플레이북은 AI 도구가 특정 경고 유형 및 인시던트에 대응하여 수행해야 하는 정확한 수정 단계를 나타냅니다.
우선순위가 지정된 알림 및 AI 기반 위협 탐지
AI 모델은 과거 공격에서 학습할 수 있고 기업의 전체 자산 스택에 대한 최신 이해를 유지할 수 있기 때문에 잠재적인 폭발 반경에 따라 알림을 분류할 수 있습니다. 이를 통해 수동 SecOps 프로세스에 가해지는 부담이 크게 줄어듭니다. 그렇지 않으면 오랜 시간 동안 힘들게 작업해야 하는 프로세스입니다.
알림 분류가 많은 부분을 차지하고 있었습니다. 한 도시 정부의 시간 – 이 경우 각 분석가는 자체 보안 도구를 운영해야 했습니다. 이는 복잡한 공격 벡터가 잠재적으로 악용할 수 있는 상당한 격차를 남겼습니다. AI 지원 분류를 통해 각 분석가에게 요구되는 수동 작업 부하를 크게 줄일 수 있었고, 분석가는 며칠이 아니라 10분 이내에 사건의 핵심을 파악할 수 있었습니다.
하지만 실제로 SecOps에 AI를 어디에, 어떻게 구현할지 아는 것이 구현에 대한 첫 번째 장애물이 되는 경우가 많습니다.
SecOps에서 AI 구현을 위한 모범 사례
AI 배포를 위한 측정 가능한 목표 정의
SMART 목표는 세상을 돌아가게 합니다. 측정 가능성에 초점을 맞추는 것은 새로운 AI 도구를 정의하고 성공적으로 구현하는 데 중요합니다. 가능한 최상의 ROI를 추출하려면 분석가의 시간을 가장 많이 차지하는 SecOps 프로세스를 식별하는 것부터 시작하는 것이 가장 좋습니다.
이는 SIEM과 같은 특정 도구이거나 평균 응답 시간(MTTR)과 같은 더 광범위한 지표일 수 있습니다. 분석가 또는 IT 직원이 알림이 받은 편지함에 도달한 후 따라야 하는 워크플로의 단계일 수 있습니다. 중요한 점은 가장 큰 둔화를 일으키는 구성 요소가 정확히 무엇인지 식별하는 것입니다. 이 프로세스는 AI 도구가 채워야 할 정확한 역할에 대한 그림을 구축합니다. 주요 문제점이 자산 발견과 관련된 경우 AI 방화벽 통합은 아마도 가장 큰 우선순위가 아닐 것입니다.
또한 이를 협력적인 노력으로 시작하는 것이 가장 좋습니다. C 레벨 및 기타 임원 의사 결정권자를 참여시키는 것은 오래 지속되는 변화를 달성하는 데 필수적이며, IT 및 보안이 필요한 조직적 변화를 그려내는 데 도움이 될 수 있습니다.
기존 도구 및 워크플로에 AI 통합
AI 기술은 데이터가 풍부한 환경에서 번창하지만 어딘가에서 데이터를 가져올 수 있어야 합니다. 사용자 지정 통합은 어렵고 시간이 많이 걸릴 수 있으므로 AI 기반 솔루션을 살펴볼 때 현재 도구와 통합할 수 있는 능력을 평가하세요. 조직이 처음부터 시작해야 하는 경우는 극히 드뭅니다. 때로는 SIEM, EDR 또는 방화벽이 이미 정상적으로 작동하고 있고 분석가의 제한된 리소스로 인해 속도가 느려지는 경우 교체를 수행하는 것보다 SIEM을 AI로 보완하는 것이 가장 좋습니다.
이 안에서 AI에는 많은 보안 데이터가 필요하다는 것을 잊지 마세요. 처음부터 데이터 세트를 구축하는 경우 엄격한 거버넌스 프로토콜과 함께 견고하고 회복성 있는 데이터 인프라를 구축하는 데 투자해야 합니다. 강력한 인프라에는 안전한 스토리지 솔루션을 구현하고, 데이터 처리 기능을 최적화하고, 실시간 위협 탐지 및 대응을 지원하기 위한 효율적인 데이터 전송 시스템을 구축해야 합니다. 반면, 타사 제품은 이 모든 데이터를 관리하지만 공급업체를 신뢰해야 합니다.
AI 기반 시스템을 사용하도록 SecOps 팀 조정
AI 도구는 유연해야 하지만 분석가의 일상 업무에 약간의 변화를 가져와야 합니다. 그것이 바로 도구의 존재 이유입니다. 영향을 받는 팀은 이것이 어떤 변화를 수반하는지, 그리고 자체 워크플로가 어떻게 보여야 하는지 알아야 합니다. SecOps는 이미 포괄적인 보안 운영 교육을 요구하기 때문에 정책 및 절차 프레임워크에 이미 익숙해야 합니다. 마찬가지로 AI 업데이트는 프로세스를 측정 가능한 작업과 명확한 지침으로 구분해야 합니다.
그렇게 말하면서, 현재 SecOps 구성원의 기술 세트와 경험을 고려하세요. 아직 실력을 쌓고 있는 새로운 팀 구성원이 있다면, 접근하기 쉬운 AI 툴링을 선택하고 자동화된 작업이나 알림 프로세스를 안내하는 것을 고려하세요. 이를 통해 위협에 대처할 때 스스로 자신감을 쌓을 수 있습니다. 투명성은 또한 인간 팀과 AI 분석 엔진 간의 신뢰를 구축하는 동시에 AI의 판단을 시간이 지남에 따라 미세 조정할 수 있게 합니다.
플레이북을 구축하다
플레이북은 AI 보안 구현의 기반이며, AI 도구에 미리 설정된 플레이북이 포함되어 있을 수 있지만, 필요한 특정 사용 사례에 맞게 직접 만들거나 수정하는 것이 가장 좋습니다.
예를 들어, 팀이 많은 외부 이메일 커뮤니케이션을 처리하는 경우 이메일 피싱 위협을 특별히 처리하기 위한 플레이북을 구축하는 것이 중요합니다. 이 경우 중앙 AI 플랫폼이 피싱 이메일의 의심스러운 문법이나 메타데이터를 감지하여 관련 플레이북을 트리거합니다. 이 경우 플레이북은 이메일을 자동으로 격리하거나 침해 증거가 있는 경우 엔드포인트 자체를 격리한 다음 비밀번호 재설정을 트리거합니다. 해당 보안 관리자에게 메시지가 전송되고, 보안 관리자는 모든 정보를 하나의 알림으로 패키징하여 수신합니다. AI 모델에 필요한 플레이북은 조직의 설정과 책임에 따라 달라집니다.
이러한 AI 기반 SecOps 모범 사례를 종합하면 최대 ROI를 제공하는 동시에 AI 기반 SecOps로의 원활한 전환이 보장됩니다.
Stellar Cyber가 AI SecOps를 강화하는 방법
자동화된 사고 감지
Stellar Cyber는 수동 위협 탐지 및 규칙 기반 위협 식별에 대한 의존성을 제거합니다. 여러 계층의 AI.
첫 번째 AI는 탐지에 초점을 맞춥니다. Stellar Cyber의 보안 연구팀이 공개적으로 사용 가능한 데이터 세트와 내부적으로 생성된 데이터 세트를 혼합하여 감독 모델을 만들고 훈련합니다. 제로데이 및 알려지지 않은 위협은 병렬 비감독 머신 러닝 모델을 통해 탐지할 수 있습니다. 이러한 모델은 몇 주 동안 네트워크 및 사용자 동작의 기준선을 설정합니다. 데이터 신호가 수집되면 GraphML 기반 AI가 탐지 및 기타 데이터 신호를 상관관계로 연결하여 관련 데이터 포인트를 자동으로 연결하여 분석가를 지원합니다. 속성, 타이밍 및 동작 패턴을 분석하여 다양한 이벤트 간의 연결 강도를 평가합니다.
다른 형태의 AI는 이러한 핵심 발견 역량 위에 기반을 두고 있습니다. 그들은 Stellar Cyber-powered 조직에 더 많은 접근성과 대응 역량을 제공합니다.
SecOps를 접근성 있게 만드세요
모든 조직의 실시간 보안 데이터는 두 가지 주요 형식으로 표현됩니다. 첫 번째는 대시보드에 있는 킬 체인이고, 두 번째는 Copilot을 통한 것입니다.
XDR Kill Chain 대시보드는 Stellar Cyber의 기본 홈페이지 역할을 하며, 전반적인 위험과 감지된 위협에 대한 중앙 집중화된 보기를 제공합니다. 활성 인시던트, 고위험 자산 및 공격 전술에 대한 드릴다운을 제공하여 빠른 평가를 가능하게 합니다. 이 간소화된 접근 방식은 보안 팀이 개별 초점에 관계없이 중요한 문제의 우선순위를 정하고, 이를 더 깊이 파고드는 데 도움이 됩니다.
반면 Copilot AI는 LLM 기반 조사자로, 질의에 대한 즉각적인 응답을 제공하여 분석가의 자체 위협 분석 프로젝트를 가속화합니다. 이는 빠른 데이터 검색 및 설명에 적합하며, SecOps 프로젝트 내에서 도구를 더욱 통합합니다.
전방위 가시성
Stellar Cyber는 다양한 유형의 센서를 통해 로그와 보안 데이터를 수집합니다. 네트워크 및 보안 센서는 물리적 및 가상 스위치에서 메타데이터를 수집하는 동시에 포괄적인 가시성을 위해 로그를 집계합니다. DPI(Deep Packet Inspection)는 페이로드를 빠르게 분석합니다. 반면 서버 센서는 Linux 및 Windows 서버에서 데이터를 수집하여 네트워크 트래픽, 명령, 프로세스, 파일 및 애플리케이션 활동을 캡처할 수 있습니다. Windows 98 이상과 Ubuntu, CoreOS, Debian과 같은 Linux 배포판에서 완벽한 호환성을 기대하세요.
Stellar Cyber 플랫폼은 클라우드 기반, 하이브리드 또는 완전한 온프레미스 또는 테넌트 기반 등 가시성이 필요한 곳이면 어디에나 배치되어 어디에서든 데이터를 통합합니다.
고급 대응 AI
Stellar Cyber의 대응 기능은 기존 보안 도구와의 통합을 확장합니다. Stellar는 단순히 데이터를 수집하는 것이 아니라 동일한 도구를 통해 자동으로 조치를 취할 수 있습니다.
Stellar는 빠른 구현에 중점을 두고 있기 때문에 Windows 로그인 실패, DNS 분석, Microsoft 40와 같은 전체 공격 표면을 포괄하는 365개의 사전 구축된 위협 사냥 플레이북이 함께 제공됩니다. 이를 통해 심층적인 보안 전문 지식이 없는 팀에서도 위협 탐지 및 대응이 더 쉽게 가능합니다.
Stellar Cyber는 방화벽, 엔드포인트 보안, ID 및 액세스 관리 도구, 티켓팅 시스템 및 메시징 앱과 완벽하게 통합되어 보안 운영을 확장합니다. 보다 고급 오케스트레이션 요구 사항을 위해 간소화되고 효율적인 위협 대응을 위해 선도적인 SOAR 플랫폼과의 통합을 지원합니다. Stellar Cyber 기반 기업은 각 플레이북의 트리거, 조건 및 출력을 세부적으로 제어하여 SecOps 모범 사례를 면밀하고 깔끔하게 따를 수 있습니다. 플레이북은 전 세계적으로 또는 테넌트별로 배포할 수 있습니다.
Stellar Cyber AI SecOps를 탐색하세요
Stellar Cyber의 플랫폼 신속한 구현에 초점을 맞춰 SecOps에서 AI 도입을 간소화합니다. 이를 통해 기업은 장황하거나 공급업체가 차단한 구현 프로세스 없이도 보다 효과적이고 효율적인 보안 운영을 달성할 수 있습니다. 자동화 기능은 바로 사용할 수 있어 Stellar Cyber의 환경과 기능을 탐색할 수 있습니다. 데모 예약.
