인공지능(AI)이 사이버 보안 분야를 포함한 모든 분야를 혁신하고 있는 시대에 AI를 숙달하는 것은 더 이상 선택이 아니라 필수입니다. "AI가 당신을 대체하지는 않겠지만, AI를 사용하는 누군가가 당신을 대체할 것이다"라는 말처럼, Stellar Cyber는 이러한 철학을 받아들여 보안 운영 센터(SOC)의 모든 측면에 AI를 통합했습니다.SOC위협 탐지 효율성, 운영 효율성 및 사용자 경험을 극대화하는 솔루션입니다.
위협 탐지 효율성 극대화
2015년 창립 이래, 저희는 보안 운영(SecOps)에 인공지능(AI)을 도입하는 데 앞장서 왔습니다. 저희의 사명은 언제나 모든 사람이 탐지 및 대응에 접근할 수 있도록 하고, 출처에 관계없이 모든 데이터를 실시간으로 활용할 수 있도록 하는 것이었습니다. 이러한 비전은 오늘날 개방형 확장 탐지 및 대응(Open Extended Detection and Response, ODR)으로 알려진 솔루션으로 구현되었습니다.Open XDR). 우리의 Open XDR 본 솔루션은 모든 소스에서 보안 데이터를 수집하여 포괄적인 가시성을 확보하고 강력한 위협 탐지를 가능하게 합니다. 비감독 머신러닝을 활용하여 기존 방식으로는 놓칠 수 있는 복잡한 행동 패턴과 이상 징후를 식별하도록 탐지 모델을 개선합니다. 또한, 지도 머신러닝을 사용하여 도메인 생성 알고리즘(DGA)과 같은 알려진 패턴을 사용하는 위협을 탐지합니다. 이러한 머신러닝 기반 탐지는 정교한 다단계 공격이 점점 더 흔해지는 오늘날의 위협 환경에서 매우 중요합니다.
상관관계, GraphML 및 사례 중심 관리를 통한 운영 효율성 향상
Stellar Cyber는 그래프 머신 러닝(GraphML)을 활용하여 정교한 경고 상관 분석을 통해 보안 운영 효율성을 극대화합니다. 이러한 접근 방식은 노이즈를 크게 줄이고, 사례를 통합하며, 보안 운영을 강화합니다. SOC 분석가들이 개별 경고에 압도당하는 대신, 풍부한 정보를 처리할 수 있게 됩니다. 이는 분석가들이 위협의 우선순위를 정하고, 조사하고, 대응하는 방식을 크게 개선합니다.
유사성과 상관관계 활용
GraphML은 네트워크 내의 다양한 엔티티 간의 유사점과 상관관계를 인식하는 데 탁월합니다. GraphML은 데이터 포인트 간의 관계를 매핑하여 그렇지 않으면 알아차리지 못할 수 있는 패턴을 감지하는 데 도움이 됩니다. 예를 들어 다음을 연결할 수 있습니다.
- 사용자 엔터티: 의심스러운 사용자 동작을 감지하기 위해 세션 ID, 보안 식별자(SID), 사용자 주체 이름(UPN) 등을 연결할 수 있습니다.
- 장치 엔티티: 장치 ID, 파일 이름, 폴더 및 레지스트리 키를 포함합니다. 장치 간의 활동을 상관관계로 연결하면 여러 엔드포인트에 걸친 복잡한 악성 활동을 탐지할 수 있습니다.
- 이메일 엔티티: 발신자 및 수신자 주소, URL, 첨부 파일 등의 정보를 이메일 트래픽과 연관시켜 파악할 수 있습니다. SOC 분석가들은 피싱 시도나 이메일 기반 공격을 탐지할 수 있습니다.
- 일반 엔터티: IP 주소, 클라우드 리소스, 애플리케이션 ID와 같은 경우. 이러한 데이터 포인트를 상관시키면 네트워크와 클라우드 환경을 가로지르는 조정된 공격을 발견하는 데 도움이 됩니다.
이 유사성 분석은 지능적이고 예리한 상관관계를 도출합니다. 무작정 정보를 쏟아붓는 대신에요. SOC 개별적인 알림이 발생하는 팀의 경우, 당사 시스템은 관련 알림을 사례로 그룹화하여 전체적인 상황을 보여주고 우선순위를 정하고 조치를 취하기 쉽게 합니다.
그래프 기반 표현을 통한 인과관계 분석
GraphML은 또한 복잡한 다단계 공격을 이해하는 데 필수적인 인과 관계 분석을 가능하게 합니다. 이벤트 데이터의 그래프 기반 표현을 분석함으로써, 저희 시스템은 경고 간의 잠재적인 인과 관계를 밝혀냅니다. 예를 들어, 피싱 이메일은 손상된 엔드포인트로 이어질 수 있으며, 그 후 네트워크 전반에서 측면 이동이 이어질 수 있습니다.
이 인과관계 분석은 다음과 같은 것을 가능하게 합니다. SOC 분석가들은 이를 통해 공격 진행 과정을 추적하고 사건의 순서를 파악하여 더욱 효과적으로 대응할 수 있습니다. 사건 간의 관계를 시각화함으로써 분석가들은 개별 경고에 개별적으로 대응하는 대신 전체 공격 흐름을 통합된 사례로 관리할 수 있습니다.
이 인과관계 분석은 다음과 같은 것을 가능하게 합니다. SOC 분석가들은 이를 통해 공격 진행 과정을 추적하고 사건의 순서를 파악하여 더욱 효과적으로 대응할 수 있습니다. 사건 간의 관계를 시각화함으로써 분석가들은 개별 경고에 개별적으로 대응하는 대신 전체 공격 흐름을 통합된 사례로 관리할 수 있습니다.
실제 적용:
아래 예시와 같은 실제 시나리오에서, 저희는 XDR 이 시스템은 GraphML을 사용하여 자산이나 속성과 같은 공유 속성을 기반으로 경고를 자동으로 연결합니다. 예를 들어 호스트에서 감지된 피싱 URL은 의심스러운 Windows 프로세스 생성 및 명령줄 실행을 발견하는 데 도움이 되며, 이 모든 것은 더 크고 복잡한 공격 패턴의 일부입니다.
GraphML의 실제 활용:
- 알림의 자동 상관 관계: 동일한 호스트(192.168.56.23)에서 시작되거나 동일한 엔터티(bravos, daenerys.targaryen)와 관련된 것과 같이 공통 요소를 공유하는 알림을 자동으로 상관시켜 GraphML은 분석을 간소화합니다. 이를 통해 수동 개입 없이 공격에 대한 응집력 있는 내러티브를 구축하는 데 도움이 됩니다.
- 공격 벡터의 전체적인 관점: 저희가 제공하는 그래프 보기 XDR 이 플랫폼은 의심스러운 프로세스 생성 및 명령줄 작업과 같은 다양한 경고 간의 연관성을 보여주며, 이는 정교한 악성코드 공격에서 흔히 나타나는 PowerShell 스크립트 사용으로 이어집니다.
- 향상된 트리아지 효율성: GraphML을 사용하면 SOC 분석가들은 개별적인 경고에 얽매이지 않고 악성 활동의 상호 연결된 지도를 볼 수 있어 분류 프로세스를 가속화할 수 있습니다. 이를 통해 위협을 더 빠르게 격리하고 해결하여 잠재적 피해를 최소화할 수 있습니다.
운영상의 이점 획득:
- 간소화된 탐지 워크플로: GraphML은 분석가에게 더 높은 수준의 연계된 알림 구조를 제공함으로써 위협을 더 빠르고 정확하게 탐지하고, 수동 상관관계 분석에 필요한 시간을 단축하는 데 도움이 됩니다.
- 감소된 경보 피로: 이 기술은 개별적인 주의가 필요한 경보의 수를 크게 줄여 경보 피로를 줄이고 분석가가 실제로 중요한 경보에 집중할 수 있도록 합니다.
- 선제적 위협 사냥: 공격 패턴을 사전에 시각화하고 상관관계를 파악하는 능력은 관찰된 행동을 기반으로 잠재적인 미래 공격을 예측하고 전반적인 보안 태세를 강화하는 데 도움이 됩니다.
위 예시와 같은 복잡한 시나리오에서 GraphML을 활용하여 경고 상관관계를 분석함으로써, 당사 시스템은 운영 효율성을 보장할 뿐만 아니라 다각적인 사이버 위협으로부터 보안 인프라를 강화합니다. 이러한 통합적 접근 방식은 다음과 같은 이점을 제공합니다. SOC 팀들은 현대의 사이버 위협에 효과적으로 대응하는 데 필요한 도구를 갖추고 있습니다.
생성적 AI로 위협 조사 속도 높이기
또한 Generative AI를 통합하여 사용자 경험을 최적화하는 데 중점을 두고 있습니다. 보안 분석가가 자연어를 사용하여 시스템 및 데이터와 상호 작용할 수 있는 챗봇을 상상해 보세요. ChatGPT와 유사하지만 보안 조사에 특화된 이 기능을 통해 분석가는 질문을 던지고 자연스럽게 작업을 설명할 수 있습니다.
예를 들어 분석가는 "지난주 업무시간 외에 시스템 관리자의 비정상적인 행동을 파악합니다..” 시스템은 이 쿼리를 이벤트 유형, 사용자 권한, 시간 프레임과 같은 모든 필수 기준을 갖춘 정확한 검색으로 변환합니다. 분석가는 “와 같은 시각화를 요청할 수도 있습니다.피싱 시도가 가장 많이 발생한 상위 10명의 사용자에 대한 히스토그램을 만듭니다.” 그러면 시스템이 자동으로 차트를 생성합니다.
우리의 목표는 AI가 인간의 의사소통 방법에 완벽하게 통합되도록 하는 것입니다. AI는 인간의 언어를 마스터함으로써 뉘앙스와 의도를 이해할 수 있어 사용자는 기계의 복잡한 언어를 이해하지 않고도 조사에 집중할 수 있습니다. 이러한 자연스러운 상호 작용은 조사 프로세스의 효율성과 심도를 높여 분석가가 기본 데이터 복잡성에 대해 걱정하지 않고도 진행 중인 상황에 대한 명확한 정신 지도를 만들 수 있도록 합니다.
예를 들어 분석가는 "지난주 업무시간 외에 시스템 관리자의 비정상적인 행동을 파악합니다..” 시스템은 이 쿼리를 이벤트 유형, 사용자 권한, 시간 프레임과 같은 모든 필수 기준을 갖춘 정확한 검색으로 변환합니다. 분석가는 “와 같은 시각화를 요청할 수도 있습니다.피싱 시도가 가장 많이 발생한 상위 10명의 사용자에 대한 히스토그램을 만듭니다.” 그러면 시스템이 자동으로 차트를 생성합니다.
우리의 목표는 AI가 인간의 의사소통 방법에 완벽하게 통합되도록 하는 것입니다. AI는 인간의 언어를 마스터함으로써 뉘앙스와 의도를 이해할 수 있어 사용자는 기계의 복잡한 언어를 이해하지 않고도 조사에 집중할 수 있습니다. 이러한 자연스러운 상호 작용은 조사 프로세스의 효율성과 심도를 높여 분석가가 기본 데이터 복잡성에 대해 걱정하지 않고도 진행 중인 상황에 대한 명확한 정신 지도를 만들 수 있도록 합니다.
사이버 보안에서 앞서 나가기
사이버 보안의 최첨단을 유지하기 위해 우리는 끊임없이 혁신합니다. 우리 사용자는 이미 솔루션에 통합된 AI를 통해 매일 위협을 탐지하고 대응할 수 있는 이점을 누리고 있습니다. 앞으로 우리는 검색 및 조사에서 사용자 경험을 더욱 최적화하기 위해 Generative AI를 도입할 계획입니다. 이러한 발전을 경험하고 싶어 하는 사람들을 위해 이번 여름부터 이 솔루션에 대한 조기 액세스를 제공합니다.
맺음말
AI의 통합 SOC 운영 효율성 향상은 단순한 트렌드가 아니라 필수적인 진화입니다. AI를 숙달함으로써 조직은 위협 탐지, 운영 효율성 및 사용자 경험을 크게 향상시킬 수 있습니다. Stellar Cyber는 사용자가 AI의 잠재력을 최대한 활용하여 끊임없이 변화하는 사이버 보안 환경에서 앞서 나갈 수 있도록 지원합니다.
행동을 요구하다: 당신은 잠재력을 탐험할 준비가 되셨나요? SOC 사이버 보안 운영에 자동화 및 AI가 필요하신가요? 지금 바로 [연락처 정보]로 문의하시거나 웹사이트를 방문하여 맞춤 상담을 예약하세요. AI의 힘을 활용하여 더욱 안전한 미래를 함께 만들어 갑시다.
