자율 SOC: 보다 스마트한 보안 운영을 향한 여정 탐색

  • 주요 집 약 :
  • 자율 SOC는 무엇을 해결합니까?
    이 솔루션은 경보 피로, 분산된 가시성, 숙련된 인력 부족 등 보안 운영에서 나타나는 중요한 과제를 해결합니다.
  • 자율 SOC의 핵심 역량은 무엇입니까?
    AI와 행동 분석을 활용해 자동 감지, 조사 및 대응을 통합합니다.
  • 자율 SOC는 대응 시간에 어떤 영향을 미칩니까?
    이를 통해 평균 감지 시간(MTTD)과 평균 대응 시간(MTTR)이 크게 단축되어 운영 효율성이 향상됩니다.
  • 자율 SOC에는 어떤 유형의 도구가 통합되어 있습니까?
    SIEM, SOAR, UEBA, NDR 및 위협 인텔리전스 시스템은 하나의 통합 솔루션으로 함께 작동합니다.
  • 자율 SOC로 가장 큰 혜택을 보는 사람은 누구입니까?
    자원이 제한된 기업과 MSSP는 효율성이 높고 마찰이 적은 보안 운영이 필요합니다.
  • Stellar Cyber는 자율 SOC를 어떻게 지원합니까?
    Open XDR 플랫폼은 300개 이상의 도구를 연결하여 인프라 전반의 가시성과 자동화를 중앙화합니다.

자율형 보안 ​​운영 센터(SOC)는 이미 존재합니다. 다양한 조직이 SOC 성숙도와 팀 효율성을 높이기 위해 노력하고 있지만, 더욱 긴밀한 AI 효율성을 향한 다음 단계는 식별하기 어렵고, 신뢰하기 어려울 수 있습니다. 

이 기사에서는 SOC 자동화 성숙도의 주요 단계, 그 과정에서 직면하는 과제, 그리고 AI와 SOC 분석가가 진정한 자율 보안 운영의 길을 만들기 위해 형성해야 하는 공동 파트너십에 대해 설명합니다.

Next-Gen-Datasheet-pdf.webp

차세대 SIEM

Stellar Cyber ​​차세대 SIEM은 Stellar Cyber ​​Open XDR 플랫폼의 핵심 구성 요소입니다.

데이터 시트 다운로드
데모-이미지.webp

AI 기반 보안을 실제로 경험해 보세요!

즉각적인 위협 탐지 및 대응을 위한 Stellar Cyber의 최첨단 AI를 만나보세요. 오늘 데모를 예약하세요!

데모 요청

AI와 자동화가 자율 SOC 여정을 어떻게 추진하는가

SOC는 기업 사이버 보안의 핵심입니다. SOC는 여러 단계의 사고 대응자와 관리자로 구성되어 있으며, 숙련된 인력, 명확하게 정의된 프로세스, 첨단 기술을 결합하여 사이버 보안 이벤트를 탐지, 분석하고 대응합니다.

현대 보안팀은 점점 더 정교해지는 사이버 공격부터 끊임없이 확장되는 공격 표면을 포괄하는 엄청난 양의 경보에 이르기까지 점점 더 많은 과제에 직면하고 있습니다. 이를 모두 합치면 실제 세계의 영향으로 사이버 보안 전문가의 효율성이 침식되기 시작하고 요구되는 근무 시간이 크게 늘어납니다.

그 결과 지속적인 인재 부족이 발생합니다. 이러한 요인으로 인해 SOC 팀이 위협을 효과적으로 분류, 조사 및 대응하기가 그 어느 때보다 어려워졌습니다. 결과적으로 선제적 포스처 관리 및 위협 사냥과 같은 중요한 작업은 상당한 시간, 전문 지식 및 많은 재정적 지원이 필요하기 때문에 종종 무시됩니다. 이러한 환경에서 AI 기반 SOC가 점점 더 인기 있는 이정표가 되고 있습니다.

조직이 자율적인 SOC 여정을 진행함에 따라 위협 탐지 역량이 커집니다. AI 엔진은 이전에 단일 차원 경고에 연결된 로그와 장치 동작을 분석할 수 있고, 분석가의 워크플로는 더 명확하게 우선순위를 지정할 수 있으며, 보안 운영은 그 어느 때보다 훨씬 더 큰 역량으로 확장될 수 있습니다. SOC 성숙도 모델의 정점에서 조직은 팀의 인원 수를 훨씬 능가하는 가시성과 대응 역량을 활용할 수 있습니다.

SOC 자동화의 다양한 단계에서의 주요 이점

조직은 서로 다른 속도와 도구를 사용하여 이러한 전환을 수행하고 있습니다. 이러한 다양한 프로그램에서 어느 정도 가독성을 제공하기 위해 자율적 SOC 성숙도 모델은 이를 완전히 수동, 규칙 기반, AI 통합, AI 증강 및 AI 주도의 5가지 SOC 유형으로 구분합니다.

#1. 수동 SOC

자동화의 가장 기본적인 수준은 완전히 없는 것입니다. 이 단계 내의 모든 보안 작업은 중앙 집중식 탐지 방법에 의존하며, 그런 다음 인간 분석가가 이를 평가합니다. 예를 들어, 의심스러운 피싱 이메일이 분석가의 워크플로로 전달되면 해당 분석가는 수집된 네트워크 로그를 꼼꼼히 살펴보고 사용자가 가짜 웹사이트를 방문했는지 확인해야 합니다. 수정에는 차단해야 할 사이트를 수동으로 선택하거나 손상된 계정을 조사하고 격리하는 것이 포함될 수 있습니다.

오늘날 순전히 수동 프로세스에 의존하는 SOC는 많지 않습니다. 더욱 진보된 보안 도구의 확산으로 인해 평균 SOC가 자동화 파이프라인으로 훨씬 더 깊이 밀려났습니다. 그러나 수동 개입에 대한 이러한 의존성은 패치 관리 및 위협 사냥과 같은 일부 보안 프로세스에서 여전히 남아 있을 수 있습니다. 엄청나게 시간이 많이 걸리고, 많은 직원이 까다로운 워크플로를 처리해야 합니다.

#2. 규칙 기반 SOC

이는 자동화의 첫 단계입니다. 개별 보안 도구 내에 구현되며, 설정된 규칙에 따라 데이터의 상관관계를 분석할 수 있습니다. 데이터가 일치하면 '잘못된' 연결을 자동으로 차단하거나 플래그를 지정합니다. 예를 들어, 방화벽 규칙은 한 계정에서 여러 번의 로그인 시도 실패가 발생할 경우 분석가에게 알림을 전송하도록 지정할 수 있습니다. 더 세밀한 분석을 위해 규칙은 서로 중첩될 수 있습니다. 예를 들어, 분석가는 동일한 IP 주소에서 발생하는 아웃바운드 네트워크 활동 급증과 함께 여러 번의 로그인 시도 실패를 감지하는 규칙을 중첩할 수 있습니다. 이 두 조건이 모두 충족되면 방화벽은 의심스러운 엔드포인트를 자동으로 격리하여 계정의 침해를 방지하거나 제한할 수 있습니다. SOC의 네트워크 방어는 규칙 기반 자동화를 위한 유일한 플랫폼이 아닙니다. 로그 관리는 ROI가 가장 높은 옵션 중 하나이며, 이를 통해 달성할 수 있습니다. SIEM 도구이는 로그 수집, 대조 및 대응의 동일한 원칙을 적용합니다. 분석가가 모든 분석 및 수정 작업을 직접 수행하는 대신, 규칙이 보안 도구가 수행해야 할 구체적인 작업을 결정하여 SOC가 엔드포인트와 서버를 방어하는 속도를 크게 높입니다. 이러한 발전은 확장 가능한 SOC 운영을 크게 향상시키지만, SOC 팀은 여전히 ​​규칙을 지속적으로 업데이트하고 개선해야 합니다. 또한, 모든 규칙이 트리거될 때마다 분석가는 해당 규칙을 트리거한 핵심 문제를 수동으로 식별하고 실제 공격인지 여부를 판단하는 경우가 많습니다. 런북에는 분석가가 한 도구와 다른 도구를 교차 참조해야 하는 방법이 자세히 설명되어 있는 경우가 많습니다. 즉, 규칙 기반 SOC는 여전히 수동 분류에 크게 의존하고 있습니다.

#3. AI 통합 SOC

AI 통합 기능은 런북을 플레이북 또는 자동화된 워크플로로 발전시킵니다. AI 통합 SOC는 2단계에서 발생하는 모든 로그 상관관계에 대한 추가 분석 계층을 추가합니다. 이를 통해 로그 상관관계에서 알림 상관관계로 전환되기 시작하여 알림 클러스터링이 일반적으로

요구 사항을 충족하므로 팀이 실제 IoC에 더 빠르게 대응할 수 있습니다.

SOAR는 AI 통합 SOC에서 흔히 볼 수 있는 도구입니다. SOC에 SIEM, EDR, 방화벽과 같은 조직의 세분화된 보안 소프트웨어의 실시간 활동을 통합하는 콘솔을 제공합니다. 이러한 협업은 눈에 보이는 것뿐만 아니라 AI 통합을 위해 SOAR는 이러한 이질적인 도구 간에 공유되는 경고 및 데이터를 자동으로 교차 참조합니다. 이들은 관련 소스 간에 데이터를 전송하기 위해 애플리케이션 프로그래밍 인터페이스(API)를 활용할 수 있습니다.

이 모든 데이터에서 SOAR 플랫폼은 엔드포인트 탐지 및 대응(EDR) 솔루션과 같은 하나의 도구에서 알림을 수집하고 다른 도구의 결과를 연결할 수 있습니다. 예를 들어, EDR은 장치에서 실행되는 비정상적인 백그라운드 애플리케이션을 식별했을 수 있습니다. SOAR은 해당 애플리케이션을 위협 인텔리전스 피드 및 방화벽과 같은 다른 도구 내의 관련 로그와 비교할 수 있습니다. 그런 다음 이 추가 데이터를 통해 SOAR의 분석 엔진은 EDR 알림의 적법성을 평가할 수 있습니다.

SOAR 자체가 완전한 AI는 아니라는 점에 유의하세요. 여전히 방대한 양의 플레이북에 의존하여 대응합니다. 이러한 SOAR 플레이북을 개발하려면 각 보안 운영과 잠재적 위협이 어떤 모습일 수 있는지에 대한 철저한 이해가 필요합니다. 각 플레이북은 반복적인 작업을 정확히 파악한 다음, 대응 시간 및 거짓 양성률과 같이 플레이북의 성과를 평가하기 위한 명확한 지표를 설정하여 구축됩니다. 이렇게 하면 모든 것이 가동되면 인시던트 대응 프로세스에서 많은 시간을 절약할 수 있습니다.

#4. AI 증강 인간 SOC

이 단계에서는 자동화 기능이 경보 상관관계에서 부분 자동 분류로 성장합니다. 분류는 경보에 대응하는 프로세스이며, 이 단계까지 모든 분류 단계는 수동으로 정의되었습니다. 설정된 플레이북에 대한 트리거가 아닌 AI 증강 SOC는 각 경보를 개별 데이터 포인트로 조사하는 데 이점이 있으며, 사고 대응은 자동화된 제안과 분석가 입력을 결합합니다.

각 조사 프로세스의 구체적인 요구 사항은 조직 자체의 분석된 데이터에 의해 확립됩니다. 네트워크 액세스, 데이터 공유 및 엔드포인트 동작의 기준선을 통해 AI는 연결된 위협 인텔리전스 데이터베이스와 일치하는 알려진 IoC를 모니터링하는 것과 함께 이 규범에서 벗어난 것을 발견할 수 있습니다. 그러나 이 단계에서 가장 중요한 것은 취해진 대응입니다. 경고가 진짜 공격 경로에 연결되면 AI 엔진은 보안 도구를 통해 대응하여 공격자를 차단할 수 있습니다. 이 프로세스 전반에 걸쳐 경고를 생성하고 우선순위를 지정하여 올바른 계층의 SOC 전문가에게 스트리밍합니다. 각 경고를 일관되고 잘 문서화된 요약 및 결과와 연결하여 인간 구성 요소를 빠르게 최신 상태로 유지합니다.

이를 달성하고 자동화의 최종 단계를 수행하기 위한 도구는 다음과 같습니다. Stellar Cyber의 자동화된 SecOps 플랫폼: 인간 SOC 전문가에게 신속하게 분류를 자동화하는 기능을 부여하는 동시에 인간 분석가를 구제에 대한 최종 의사 결정자로 유지합니다. 이를 지원하기 위해 이러한 기능과 기본 정보는 중앙 플랫폼을 통해 액세스할 수 있습니다.

#5. 인간 증강 AI SOC

AI-SOC 통합의 마지막 단계인 이 단계에서는 AI의 기능이 사고 감지 및 대응에서 벗어나 보다 광범위하고 전문화된 영역으로 확대됩니다.

예를 들어, 자세한 법의학적 조사는 AI 주도 SOC가 인간이 주도하는 대응자보다 앞서 나갈 수 있는 한 분야입니다. 알려진 보안 사고에서 시작하여 중앙 AI 엔진은 관련 IOC를 추출하여 초기 침입에서 측면 이동을 거쳐 마지막으로 맬웨어 배포 또는 데이터 유출에 이르기까지 가능한 공격 체인으로 다시 조립할 수 있습니다. 이러한 IoC는 내부에 남아 있거나 중앙 정보 공유 및 분석 센터(ISAC)의 탐지 기능을 강화하는 데 사용될 수 있습니다. 공격자의 방법과 궁극적인 목표를 식별하는 것과 함께 공유된 지식에 대한 이러한 집중은 AI 주도 SOC가 공격의 잠재적 가해자를 정확히 파악할 수 있도록 할 수 있으며, 특히 그들의 전술과 기술이 알려진 그룹의 전술과 기술과 일치하는 경우 더욱 그렇습니다.

이 단계에서는 인시던트 커뮤니케이션도 이점을 얻을 수 있습니다. 틈새 시장인 LLM(Large Language Models)의 성장으로 SOC 리더는 중앙 자율 SOC 플랫폼이 매우 복잡한 공격을 더 접근하기 쉬운 언어로 압축함에 따라 핵심 문제를 신속하게 전달할 수 있습니다. 이것이 Stellar의 Copilot AI가 복잡한 조사 전반에 걸쳐 지원을 제공하는 방식입니다. 통합 LLM을 통해 조직은 영향을 받은 고객에게도 신속하게 정보를 제공하고 SOC 분석가는 AI가 안내하는 시정에 집중할 수 있습니다.

포렌식은 제쳐두고, 전체 SOC 자동화는 현재 보안 제어의 격차를 사전에 식별하고 자동으로 파악할 수 있습니다. 이는 완전 자동화된 위협 탐지, 패치, 발견된 방화벽 취약성 수정이 될 수 있습니다. 파일 샌드박싱; 또는 CI/CD 파이프라인과 통합하여 취약한 코드가 처음부터 내부적으로 배포되는 것을 방지합니다.

여정을 따라가는 SOC 과제

자율형 SOC로 전환하는 것은 회사의 보안 운영에 있어서 실질적인 격변을 의미하며, 인식해야 할 고유한 과제도 있습니다.

데이터 통합

서로 다른 도구와 시스템을 통합 플랫폼에 연결하는 것은 첫 번째 SOC 자동화 장애물 중 하나가 될 수 있습니다. 그리고 그것은 서로 다른 도구 간에 데이터를 공유하는 것만큼 간단하지도 않습니다. 자율적인 SOC에는 확장 가능한 보안 아키텍처가 필요합니다. 즉, 전체 보안 스택과 원활하게 통합되고 모든 형식의 데이터를 수집, 통합 및 변환할 수 있는 아키텍처입니다.

동시에 보안, 장치 및 네트워크 데이터만이 중앙 AI 엔진에 도달해야 하는 것은 아닙니다. 분석가의 자체적인 수정 및 조사 시도도 지원해야 하므로 중앙 집중식 플랫폼과 교차 툴 UI가 필수적입니다.

문화적 저항

자동화에 적응하려면 팀 워크플로우에 상당한 변화가 필요할 수 있습니다. SOC가 자체 방화벽과 SIEM 규칙을 수동으로 유지 관리하는 데 익숙하다면 자동화로 인한 변화에 저항할 수 있습니다. 이것이 증분적 프로세스가 종종 가장 좋은 이유입니다. 1년 안에 5단계에서 XNUMX단계로 넘어가는 것은 너무 큰 혼란을 초래할 가능성이 높습니다.

또한, 대처해야 할 두려움의 정도도 있습니다. 자동화가 이제 SOC 분석가의 기술 세트의 3단계를 모두 복제할 수 있기 때문에 인간의 개입이 더 이상 필요하지 않다고 여겨질 것이라는 타당한 우려가 있습니다. 사실은 이와는 거리가 멉니다. 인간 SOC 팀은 조직의 아키텍처와 취약성에 대한 실제 이해와 지능의 가장 좋은 소스입니다. 그들의 현재 과제는 모든 SOC 내에서 AI 기반 보안 통합을 이끌어야 합니다. 그들의 지원은 AI의 시정 및 윤리적 의사 결정의 선두에 있기 때문에 완전히 진화된 설정에서도 여전히 중요할 것입니다.

기술 및 예산 제한

AI를 구현할 때는 AI, 자동화, 고급 위협 탐지에 대한 주제별 전문 지식을 활용하는 것이 중요합니다. 그러나 이러한 특정 기술 세트의 조합은 찾기 어려울 수 있으며, 고용하는 데 비용이 많이 듭니다. 가장 새로운 SecOps 분석가조차도 연간 50달러가 들 수 있으며, 적절하게 훈련된 AI 우선 전문가는 훨씬 더 비쌉니다. 이는 또 다른 과제인 예산과 깔끔하게 연결됩니다.

SOC는 이전에는 매출이 가장 많은 회사에 국한되었습니다. 소규모 조직은 관리형 보안 서비스 제공업체(MSSP)에 의존하여 사이버 보안 비용과 공격 위험을 균형 있게 조정했습니다. 즉, 비용은 여전히 ​​AI를 구현하는 데 가장 큰 장애물 중 하나이며, 특히 수동 프로세스가 영속시킬 수 있는 시간과 비용 낭비를 감안할 때 더욱 그렇습니다.

Stellar Cyber가 자율 SOC의 장벽을 제거하는 방법

Stellar Cyber는 간소화된 보안 운영과 접근 가능한 AI를 결합한 통합 플랫폼을 제공하여 자율적인 SOC로의 여정을 가속화합니다. SOC 확산을 막는 데 중점을 두고 있으며 각 계층의 분석가에게 훨씬 더 큰 보안 이득을 실현하는 데 필요한 도구를 제공합니다.

개방적이고 통합된 플랫폼

AI 기반 보안에는 데이터에 대한 강력하고 지속적인 액세스가 필요합니다. 일부 공급업체는 이러한 액세스를 자체 도구의 막대 뒤에 잠급니다. 반면 Stellar Cyber는 도구 철학의 핵심에 있는 개방형 통합. API 기반 아키텍처를 통해 Stellar Cyber는 모든 소스와 보안 도구에서 데이터를 수집할 수 있으며, AI 엔진이 동일한 양방향 연결을 통해 인시던트를 수정할 수 있습니다.

조직의 보안 환경의 전체 범위가 단일 플랫폼으로 통합됩니다. 이를 통해 모든 AI SOC 운영이 해당 분석가의 손끝에 놓이게 됩니다. SIEM, NDR 및 XDR에서 제공하는 분석 및 수정 조치를 결합하여 SOC의 기술 스택을 더욱 간소화합니다. Stellar는 이 광범위한 대응 기능에 다양한 프레임워크를 내장할 수 있으므로 대시보드는 각 자동화된 대응에 필요한 단계를 자세히 설명하는 데에도 사용됩니다.

다층 AI

Stellar Cyber의 핵심은 의사 결정 능력에 있습니다. 다중 계층 AI가 위협을 파악하기 위해 거치는 프로세스는 여러 가지가 있습니다.

탐지 AI

감독 및 비감독 ML 알고리즘은 연결된 모든 보안 도구 및 장치의 실시간 상태를 모니터링합니다. 센서 또는 API 통합을 통해 수집된 로그와 생성되는 알림은 모두 모델의 데이터 레이크로 수집되며, 여기에서 핵심 탐지 알고리즘이 실행됩니다. 이 아키텍처를 통해 탐지 AI가 비정상적인 패턴을 신호하거나 사전 설정된 규칙 알림을 트리거할 수 있습니다.

상관 AI

경보가 발견되면 Stellar의 두 번째 AI가 작동하여 관련 환경에서 탐지 및 기타 데이터 신호를 비교하여 경보를 포괄적인 인시던트로 전환합니다. 이러한 인시던트는 GraphML 기반 AI를 통해 추적되어 분석가가 관련 데이터 포인트를 자동으로 조립하도록 돕습니다. 다양한 경보가 어떻게 연결되는지 확립하려면 소유권과 시간적 및 행동적 유사성이 고려됩니다. 이 AI는 실제 데이터를 기반으로 지속적으로 진화하며 각 운영 노출과 함께 성장합니다.

응답 AI

마지막으로, 대응 AI가 효과를 발휘할 수 있습니다. 방화벽, 엔드포인트, 이메일, 사용자 등 폭발 반경을 가장 빠르게 제한하는 모든 곳에서 작동할 수 있습니다. 분석가는 도구 대응의 컨텍스트, 조건, 출력에 대한 완전한 사용자 정의를 유지합니다. 플레이북은 전역적으로 구현하거나 개별 테넌트에 맞게 조정할 수 있습니다. 사전 구축된 플레이북은 표준 대응을 자동화하거나 컨텍스트별 작업을 수행하는 사용자 지정 대응을 구축할 수 있습니다.

MSSP를 위한 다중 테넌시

MSSP는 많은 조직에 이상적인 파트너이지만, 특히 예산과 보안 유연성의 균형을 맞춰야 하는 중소 규모 조직에 이롭습니다. MSSP는 본질적으로 보안 관리를 아웃소싱하기 때문에 Stellar Cyber와 같은 고효율 자동화의 이점을 크게 누릴 수 있습니다.

Stellar Cyber는 여러 테넌트에 걸쳐 기능을 제공하면서도 데이터 분리를 유지함으로써 이를 지원합니다. 이러한 혼합을 방지하는 것은 백엔드 보안을 보장하는 데 중요하며, 고도로 훈련된 분석가에게 Stellar Cyber ​​플랫폼의 도구와 가시성을 제공합니다.

린 팀을 위한 확장성

MSSP 내부 또는 조직 자체에 기반을 두든, AI 활성화를 위해 비용 효율적이고 확장 가능한 보안 운영에 집중하는 것이 중요합니다. Stellar Cyber는 자동화된 위협 사냥과 접근 가능한 의사 결정이라는 두 가지 핵심 구성 요소 덕분에 소규모 팀이 대규모 수동 팀과 동일한 수준의 보호를 달성할 수 있도록 합니다.

Stellar Cyber는 조직 내에서 실시간 데이터를 수집하고 분석하는 동안 모든 가능한 보안 실수를 위협 사냥 라이브러리에 정리합니다. 이 개요는 다양한 경고 유형과 감지된 각 경고의 수를 보여줍니다. 이러한 경고는 진행 중인 사례에 수동으로 연결하거나 개별적으로 처리할 수 있습니다. 다른 관점에서, Stellar Cyber의 자산 분석 프로세스는 가장 위험한 자산을 위치와 연결된 사례와 함께 빠르게 분류하여 분석가에게 각 잠재적 결함에 대한 고해상도 그림을 제공합니다.

자동화된 SOC는 팀을 희생해서 이루어져서는 안 됩니다. Stellar Cyber는 자동화된 각 결정을 해당 프레임워크에 따라 변환하여 거기에 도달합니다. 예를 들어, MITRE와 일치할 뿐만 아니라 각 분류 결정이 이 프레임워크와 어떻게 일치하는지도 공유합니다. 이를 통해 복잡한 공격을 처리할 때에도 분류 프로세스에 액세스할 수 있습니다.

Stellar Cyber로 SOC의 효율성을 향상하세요

Stellar Cyber의 AI 활성화의 결과는 SOC 분석가가 자신의 프로세스에 대한 확신을 가질 수 있는 접근 가능한 플랫폼으로, 인간과 AI 역량을 모두 향상시킵니다. 이러한 인간 우선 접근 방식은 Stellar Cyber가 플랫폼 가격을 단일 라이선스로 책정하는 이유이기도 합니다. 여기에는 모든 개방형 SecOps 역량이 포함되며, 각 SOC 구성원의 전문 지식의 효율성을 높이기 위해 특별히 구축되었습니다. Stellar Cyber를 직접 탐색하려면, 데모 예약 경험이 풍부한 팀 멤버 중 한 명과 함께.

너무 좋은 소리야
사실일까?
직접 보세요!

데모 신청
위쪽으로 스크롤
뉴스 레터 신청