AI(인공지능)을 보안 운영센터에 도입하면? - 위드네트웍스

사이버 보안 분야에서, AI(Artificial Intelligence; 인공 지능)라는 용어가 많이 사용되고 있지만 가끔 잘못 사용되기도 합니다.

그래서 오늘은 AI의 정확한 의미, 보안 운영 센터에 AI 도입 효과 그리고 어떻게 보안 팀에서 유용하게 사용되는지 알아보는 시간을 가지겠습니다.

 

 

 

 

 

4차 산업 혁명 시대가 도래하면서 스마트 기계를 잘 다루는 능력이 굉장히 중요해졌습니다. 사람들이 스마트 기계에 지배 당하는 모습을 묘사하는 영화들이 많이 있지만 실제로 사람과 기계는 협력할 것이며 그 중요도도 더욱 커질 것이라는 견해가 더욱 많습니다.

 

 

 

 

 

사이버 보안에서 AI 트렌드

최근 몇 년간, AI에 엄청난 투자가 있었습니다. 실제로 많은 기업들이 여러 솔루션에 AI 기술을 접목했습니다. 예를 들어, 마이크로소프트는 2019년 초에 오픈 AI에 10억 달러를 투자할 것이라고 발표했으며 실제로 AI와 머신 러닝 분야의 연간 상승률은 72%로 추정됩니다. 또한 사람들의 일반적인 업무들이 기계들에 의해 대체되고 있습니다.

 

 

SOC에서의 AI: 경보 위험도 분류와 사건 대응

보안 운영 센터에는 두 가지 중요한 역할이 있습니다. 하나는 경보 위험도 분류와 다른 하나는 사건 대응입니다.

 

 

1)    AI가 경보 위험도 분류에 미치는 영향

 경보 위험도 분류 팀은 발생하는 경보들을 조사해서 공격 징후를 있는 경보를 분류하는 업무를 담당하고 있습니다. 그들의 작업의 대부분은 실제 경보를 분석하고 사이버 보안 위험 평가의 맥락을 이해하는 것입니다. 예를 들어, 시스템에 취약성이 있는지 여부를 파악하고 해당 장치가 속한 네트워크를 식별합니다. 이는 대부분 AI에 의해 자동적으로 수행 가능합니다.

 

 오늘날, 사이버 전문가 한 사람이 다뤄야하는 경보는 너무 많으며, 심지어 더 증가할 것으로 예상됩니다. 따라서 AI를 통해 이런 경보 분석 과정을 자동적으로 처리 및 분류하여 팀이 결정할 수 있도록 하는 것이 필요합니다.

 

 한 연구 결과에 따르면 경보 위험도 분류팀의 업무 중 80%가 경보를 수동적으로 분류하는 것이었습니다. AI는 이 업무를 훨씬 빠르게 수행할 수 있으며 이를 통해 보안 분석가는 위협 사냥, 선제적인 사이버 보안 위험 사정과 공격을 탐지하는데 더욱 집중할 수 있습니다.

 

 

 

2) AI가 사건 대응에 미치는 영향

 

 한 경보가 공격 징후로 분류되면, 사건 대응 팀은 해당 공격을 다루고 해커들이 해당 시스템에서 제거해야 합니다. AI는 어떻게 사건 대응 속도를 향상시킬 수 있을까요?

 

 공격 수법, IT 환경과 취약점은 너무나 방대하고 빠르게 변화하기 때문에 각 공격마다 학습하고 수동으로 처리하는 것은 힘이 듭니다. 반면에, 기계들은 많은 양의 데이터를 처리하고 복잡한 프로세스를 빠르게 수행할 수 있기 때문에 어디에 주목해야 하는지, 그리고 다음 단계를 위한 우선순위를 어떻게 설정해야 하는지 도울 수 있습니다. 이러한 기능을 통해 사건 대응 팀의 의사 결정 과정을 도울 수 있습니다.

 

 AI의 도움으로, 사건 대응 팀은 위험도가 높은 공격에 집중할 수 있게 되었습니다.

그러나 마지막 가장 중요한 결정을 하는 건 여전히 사람 보안 전문가입니다.

                                        

 

사람의 기능 VS 기계의 기능

 

사람 보안 분석가들이 많은 경보를 다루는데 힘을 쏟고 있습니다. 그래서 이를 개선하기 위해보안 운영에 기계의 힘을 활용하는 것은 매우 중요합니다. 이를 통해 사람은 기계가 하지 못하는 더욱 창의적인 업무를 할 수 있습니다.

사람의 뇌를 살펴보겠습니다. 뇌가 각 구역 마다 다른 기능을 가지고 있는 것처럼 AI도 보안 운영의 많은 부분들을 담당합니다.

 

<Image Source: http://bitly.kr/e4a4kkRie9oD>

 

1) 감각 기능

 보안 운영 센터는 로그, SIEM, 행위 분석, 네트워크, 안티 멀웨어 등의 다양한 신호들을 해석합니다. 이때 많은 경보 중에서 무엇이 중요한지 파악하고 문맥을 만들어 패턴을 탐지하는 것이 중요합니다. AI는 사람의 뇌처럼 들어오는 경보들을 분석하여 감각을 만들어 냅니다.

 

2) 운동 기능

 사람의 몸은 어떤 일을 여러 번 반복한 뒤, 자동적으로 수행합니다. 보안 운영팀은 과거의 경험을 토대로 반복되는 작업을 학습하고 자동적으로 대응하여 새로운 경보에 집중할 수 있도록 합니다. AI에서 이런 작업을 강화 작업이라고 합니다. 이는 무슨 일이 일어나고 있는지 해석하고 대응 및 처리에 대한 의사 결정을 돕는 알고리즘입니다.

 

3) 시각 기능

 사람들은 빛 신호를 보고 해석하여 인식합니다. 이 해석의 기능은 또한 다음 어디를 봐야할 지도 알려줍니다. 보안 운영 센터의 관점에서, 이는 어떤 일이 벌어지고 있는지에 대한 가시성을 제공하는 것과 관련이 있습니다. 보안 분석가는 관찰한 패턴을 지난 패턴들과 비교하여 공격의 유형을 알아내고 해커를 확인합니다.

 

4) 고급 지능 기능

 이는 모든 사람들에게 필요한 사람 고유의 능력입니다. 하지만 이제 사람들은 기계로부터 조언을 얻고 기계가 오히려 사람의 기능을 뛰어넘기도 합니다. 예를 들어, IBM의 왓슨은 사람보다 체스를 잘하는 데, 이는 왓슨이 모든 체스 게임의 움직임을 이해하고 다음 수를 예측할 수 있기 때문입니다. 이와 같이 AI는 보안 운영 센터에서 관리하는 모든 데이터의 패턴을 분석하여 사이버 보안 위험도를 측정할 수 있습니다. AI는 다음과 같은 질문을 던질 수 있습니다.

 

(1) 예상되는 공격의 다음 단계는?

(2) 예상되는 공격의 타겟은?

(3) 비슷한 자산이 있는가?

 

이러한 질문 들을 통해서 보안 분석가는 더욱 빠르고 정확하게 보안 업무를 수행할 수 있습니다.

 

 

5) 연관 영역

 보안 운영의 맥락 안에서 다양한 입력 정보를 수집하여 통합하는 것을 말합니다. 이는 분석가들이 모든 것을 한 곳에서 볼 수 있게 하고 일련의 사건들을 볼 수 있는 효과적인 방법입니다. 이를 통해 적합한 정보를 제시할 수 있게 해주며 사건의 처리 시간을 단축합니다.

 

 

AI가 보안 운영 센터의 효율성을 증가시키는  궁극적인 방법

 

 안전한 보안 환경을 구성하는데 경험이 많은 분석가로만은 충분하지 않습니다. 지난 2년 동안, 많은 기관들이 겪었던 문제는 사이버 보안 기술의 부족과 IoT, OT 등 엔드포인트를 포함한 공격면의 꾸준한 증가였고 이러한 문제들로 보안 환경은 더욱 위험해지고 있습니다.

 

 AI는 과중한 업무에 시달리는 사이버 보안 분석가들의 업무를 줄여주고 있으며 탐지 및 대응을 위한 시간을 줄입니다.

 즉, AI는 인간 분석가가 넘쳐나는 경보들을 다루고 의사 결정하도록 도와 대응에 걸리는 시간을 줄이고 공격 피해를 완화시키는 데 활용되어야 합니다.

 

 

 

FortiAI

 

 ‘포티AI(FortiAI)’는 자가 학습 AI 인텔리전스 어플라이언스로 실시간 위협을 식별하고 분류하기 위해 기존의 시간 소모적인 수동 조사 작업을 자동화합니다. 포티AI는 심층신경망 (Deep Neural Networks, DNN)을 사용하여 전체 위협 이동 경로를 식별하고, 초-단위의 속도로 모든 후속 감염을 파악하여 보안 운영 센터의 반복되는 업무를 획기적으로 줄일 수 있습니다.

 

 

<심층신경망 DNN>

위드네트웍스는 포티AI의 전문 기술 파트너로 국내에서 최고 수준의 AI 기술력과 전문성을 가지고 있습니다.

여러분이 과도한 트래픽과 로그, 알람에 치이고 또 보안 인력이 부족하여 많은 어려움을 겪고 계신다면 포티 AI를 통해 그 문제를 해결하시기를 추천드립니다. 포티 AI에 대한 더 자세한 정보를 원하신다면 아래의 링크를 클릭해 주시기 바랍니다.

 

 

 

 

Copyright(c) 2020. (주)위드네트웍스 All Right reserved

 

 

원문: "

"How AI Can Improve Your SOC Efficiency".Tony Velleca. 2019년 12월 02작성. 2020년 8월 19일 접속. https://blog.cyberproof.com/blog/how-ai-can-improve-your-soc-efficiency