보안팀은 그 어느 때보다 많은 도구, 데이터, 그리고 압박을 받았습니다. 모든 권고안은 긴급성을 강조하고, 모든 새로운 공격은 자동화된 것처럼 보이며, 모든 위협 행위자는 이제 AI를 실험하고 있습니다. 그러나 대부분의 침해는 여전히 방어자에게 도구가 부족해서가 아니라, 방어자가 부족하기 때문에 성공합니다. 완전한 가시성 그리고 그들이 보는 것을 이해하기 위한 자동화.
주변 환경에서 무슨 일이 일어나고 있는지 이해하려면 세 가지 상호 보완적인 신호 스트림이 필요합니다. 로그, 엔드포인트 원격 측정및 네트워크 트래픽각각은 공격의 다른 측면을 드러냅니다. 각각은 다른 공격이 포착하지 못하는 것을 포착합니다. 그리고 여기에 머신 러닝, 에이전트 기반 분류, LLM 기반 부조종사 등 최신 AI를 결합하면 마침내 공격자를 따라잡을 수 있는 보안 프로그램을 구축할 수 있습니다.
로그: 의도의 기록
로그는 인증, API 호출, 권한 변경, 구성 변경 등 "보고된 내용"에 대한 정보를 제공하며, 의도를 드러냅니다.
예: 권한 상승
감염된 사용자가 로그인하자마자 관리자 수준의 변경을 시도합니다. 로그에는 다음 내용이 표시됩니다.
- 의심스러운 로그인 지역
- IAM 수정
- 비정상적인 API 활동
- 측면 접근을 위한 토큰 생성
엔드포인트 원격 측정: 실행의 진실
엔드포인트는 어떤 코드를 보여주는가 실제로 달렸다: 프로세스, 바이너리, 스크립트, 메모리 활동, 지속성 메커니즘.
예: 숨겨진 맬웨어
공격자가 파일리스 페이로드를 투하합니다. 엔드포인트 원격 분석 결과:
- PowerShell이 예기치 않게 생성됩니다.
- 토지에서 생산되는 도구의 남용
- 레지스트리 지속성
- 로컬 권한 상승 시도
네트워크 트래픽: 부인할 수 없는 신호
네트워크 트래픽은 물리적인 현상입니다. 패킷 흐름을 속일 수는 없습니다. 에이전트를 설치할 수 없는 시스템(OT, IoT, 레거시 등)을 포함하여 시스템 간에 발생하는 모든 상황을 보여줍니다.
예: 데이터 유출
손상된 서버가 암호화된 데이터를 외부로 전송하기 시작했습니다. 네트워크 분석 결과:
- 아웃바운드 스파이크
- 새로운 C2 터널
- 영업시간 외 유출
- 공격에 앞서 측면 연결
ML 모델은 볼륨, 방향성, 타이밍에서 비정상적인 패턴을 포착하여 조기에 탈출 시도를 표면화합니다.
AI가 게임을 어떻게 바꾸는가
로그, 엔드포인트, 네트워크를 확인하는 것이 필수입니다.
이 세 가지를 모두 실시간으로 이해하는 것은 인간만으로는 불가능합니다.
오늘의 SOCs는 ~에 의존합니다 AI의 세 가지 계층:
1. 탐지를 위한 머신 러닝
2. 분류를 위한 에이전트 AI
- 모든 원격 측정에서 증거 수집
- 공격 시퀀스 재구성
- 관련 엔터티 및 자산 매핑
- 가능한 근본 원인 결정
- 실제 위험 순위
Stellar Cyber 배포 전반에 걸쳐 에이전트 분류는 다음과 같은 이점을 지속적으로 제공합니다.
- 경보 볼륨 최대 90% 감소
- 일상적인 사례의 80~90% 자동 분류
- MTTR 70% 이상 개선
3. 부조종사(LLM) 지원
최고의 핵심: SIEM + 네트워크 (개방형 엔드포인트 선택 가능)
SIEM (로그) + 네트워크 트래픽(NDR)
- 로그는 신원, 거버넌스, 의도를 제공합니다.
- 네트워크 트래픽을 통해 측면 이동과 유출이 드러났습니다.
- 두 서비스 모두 항상 사용 가능합니다. 엔드포인트 에이전트가 접근할 수 없는 곳에서도 사용 가능합니다.
- 엔드포인트 도구는 변화합니다. 개방형 아키텍처 덕분에 원하는 EDR을 사용할 수 있습니다.
Stellar Cyber는 세 가지 신호를 모두 하나의 AI 기반 플랫폼으로 통합하여 전체 환경에서 머신 러닝, 에이전트 AI, 부조종사 기능을 구현합니다.
가시성 + 자동화는 더 이상 선택 사항이 아닙니다. 이미 AI를 이용해 당신을 공격하고 있는 적들보다 앞서 나갈 수 있는 유일한 방법이기 때문입니다.
