ai course cyber reading real world examples of applied ai based threat intelligence
1.0.0
콘텐츠를 탐색하려면 탭을 선택하세요.
소개
사례 연구: Google과 Mandiant
사례 연구: 마이크로소프트
사례 연구: IBM
요약
자원
위협 인텔리전스에 AI를 구현하는 것은 실제 시나리오에서 점점 더 널리 퍼지고 있으며 몇몇 유명 기업이 이를 주도하고 있습니다. 이 강의에서는 Google, Microsoft, IBM을 포함한 조직의 사례 연구를 검토하여 AI를 활용하여 위협 인텔리전스 기능을 향상시키는 방법을 보여줍니다.
이 수업이 끝나면 다음을 수행할 수 있습니다.
Google, Microsoft, IBM이 위협 인텔리전스를 위해 AI를 어떻게 사용하는지 알아보세요.
Google은 AI를 사용하여 매일 수십억 개의 보안 신호를 분석하여 잠재적인 위협을 식별합니다. 고급 모델링을 통해 Google 고객은 복잡한 워크플로와 안정적이고 반복 가능한 응답 프로세스를 만들 수 있습니다. 2022년 Mandiant 인수를 통해 얻은 수십 년간의 보안 지식과 Google의 강력한 데이터 분석 및 컴퓨팅 리소스를 결합함으로써 고객은 침해 지표를 신속하게 감지하고 대응하며 위협을 완화할 수 있습니다.
일선 전문 지식과 업계 최고의 위협 인텔리전스로 유명한 Mandiant는 지난 18년 동안 보안 침해에 대처하는 데 앞장서 왔습니다. Mandiant 인수를 통해 Google은 900명이 넘는 컨설턴트 및 분석가의 도메인 지식과 전문 지식도 확보했습니다. Mandiant가 Google에 사이버 위협으로부터 보호해 주는 동적 사이버 방어 솔루션과 고도로 숙련된 팀을 제공하여 보안 위반 및 사이버 공격이 발생할 경우 사고 대응 관리를 안내합니다.
최근 몇 년간 클라우드 컴퓨팅의 인기로 인해 사이버 보안 환경에 다양한 우려가 제기되었습니다. 클라우드 환경의 상호 연결된 특성으로 인해 데이터 무결성, 기밀성 및 가용성을 보호하기 위한 강력한 사이버 보안 조치가 필요합니다.
Google Cloud와 같은 조직은 민감한 정보의 기밀성을 보장하고, 무단 액세스로부터 보호하고, 데이터 위반을 방지하고, 규제 요구사항을 계속해서 준수해야 합니다. 또한 멀웨어, 랜섬웨어, 피싱 공격, 클라우드 시스템을 표적으로 삼는 내부자 위협 등 진화하는 위협으로부터 방어해야 합니다.
클라우드의 부적절한 사이버 보안으로 인해 심각한 결과가 발생할 수 있습니다. 위반은 상당한 금전적 손실, 평판 훼손, 법적 영향 및 고객 신뢰 상실을 초래할 수 있습니다. 또한 클라우드 환경은 중요한 인프라와 서비스를 호스팅하는 경우가 많기 때문에 중단 또는 무단 액세스는 기업과 고객에게 광범위한 영향을 미칠 수 있습니다. 이러한 문제를 해결하기 위해 조직은 클라우드 컴퓨팅 환경에 맞는 사이버 보안 조치의 우선순위를 정해야 합니다. 여기에는 강력한 액세스 제어, 암호화, 네트워크 보안 및 위협 모니터링 솔루션 구현이 포함됩니다. 정기적인 보안 평가, 취약성 검사, 직원 인식 교육도 위험을 효과적으로 식별하고 완화하는 데 중요합니다.
Google Cloud와 Mandiant의 협력을 통해 Mandiant Advantage SaaS(Software-as-a-Service) 플랫폼을 통해 대규모로 인텔리전스와 전문 지식을 제공하여 Google Cloud의 기존 보안 포트폴리오를 보완할 수 있습니다. 두 조직은 힘을 합쳐 클라우드 보안, 클라우드 컴퓨팅 채택 촉진, 보다 안전한 디지털 환경 조성에 중대한 영향을 미치는 것을 목표로 하고 있습니다.
Security Copilot은 보안 분석가가 직면한 세 가지 주요 문제를 해결합니다.
공격 복잡성
복잡한 시스템은 공격 중에 해로울 수 있습니다. 다양한 소스의 데이터를 통합하고 이를 간단하고 실용적인 통찰력으로 변환함으로써 분석가는 공격을 받고 오랜 시간을 견디지 않고 몇 분 안에 사고에 대응할 수 있습니다.
교묘한 회피 전술
공격자가 사용하는 교묘한 회피 전술에 맞서 Copilot은 머신러닝을 활용하여 빠른 속도로 신호를 분석합니다. 초기 단계에서 위협을 식별하고 공격자의 향후 행동에 효과적으로 대응할 수 있는 사전 지침을 얻습니다.
인재 격차
숙련된 보안 전문가에 대한 수요가 공급을 훨씬 능가하기 때문에 인재 부족은 문제를 야기합니다. Copilot은 위험 완화를 위한 상세한 단계별 지침을 통해 팀이 효율성을 극대화하고 능력을 향상하도록 지원할 수 있습니다.
Copilot은 기계 학습과 인간 지능을 모든 규모의 조직이 소프트웨어 서비스를 사용하여 위협을 효과적으로 관리하는 데 도움이 되는 응집력 있는 시스템으로 결합하기 위해 노력하고 있습니다. Microsoft는 AI를 사용하여 위협 행위자의 활동을 추적하고 탐지 시스템의 입력, 고객 입력 및 응답 데이터를 모니터링하고 분석하여 공격 위험을 평가합니다. 그런 다음 MSRC(Microsoft 보안 연구 센터) 분석가는 AI 및 ML 도구를 사용하여 독립적인 연구 제출이 버그 포상금 포털에 미치는 영향을 효율적으로 확인하고 평가하여 개별 조직의 보안 부담을 줄일 수 있습니다.
Security Copilot을 통해 Microsoft는 고객의 보안 팀, 위협 사냥꾼 및 맬웨어 분석가가 실시간으로 협업하고, 위협을 조사하고, 이전 사건 및 대응을 기반으로 플레이북과 절차를 생성하여 대응 시간을 개선할 수 있도록 지원합니다.
IBM은 QRadar Advisor라는 솔루션을 통해 주력 보안 사고 및 이벤트 관리(SIEM) 플랫폼에서 Watson AI 기술의 강력한 기능을 활용하고 있습니다.
그럼 어떻게 작동하나요? QRadar Advisor는 분석가가 큰 그림을 주시하고 실수로 이벤트를 무시하지 않도록 돕는 방식으로 다양한 인시던트를 자동으로 연결하여 보안 운영 센터(SOC)가 홍수 같은 정보를 따라잡을 수 있도록 지원하는 AI 보조자입니다.
정보 보안 운영 센터(ISOC)라고도 알려진 보안 운영 센터(SOC)는 조직의 전체 IT 인프라를 24시간 내내 모니터링하기 위해 내부 또는 외부에서 작업하는 IT 보안 전문가 팀입니다. 이들의 주요 목표는 사이버 보안 사고를 실시간으로 식별하고 신속하고 효율적으로 대응하는 것입니다.
QRadar는 SOC의 핵심 사례를 자동화함으로써 조직이 다음과 같은 일반적인 문제를 해결하도록 도울 수 있습니다.
위협은 늘어나고 이를 발견할 시간은 부족합니다 . 분석가가 점을 연결하는 데 어려움을 겪기 때문에 귀중한 정보가 간과되는 경우가 많습니다. 이로 인해 실행 가능한 통찰력을 얻는 것이 어려워지고 분석가는 자신이 있다고 느끼는 사례에만 집중하게 됩니다. 불행하게도 이 접근 방식은 조사를 놓치고 조직을 위험에 노출시킬 수 있습니다.
정보 과부하 - 분석해야 할 통찰력의 양, 다양성, 속도가 너무 커서 작업 우선순위를 정하고 문제의 근본 원인을 식별하기가 어렵습니다. 이 과제는 모든 규모의 기업에 영향을 미칩니다. 분석가는 현지 상황을 신속하게 통합하는 데 어려움을 겪으며 반복적인 작업에 압도됩니다.
체류 시간 - 보안 사고 발생부터 탐지 및 대응까지의 기간을 의미하는 체류 시간은 보안 전문가가 데이터 보호 및 방어의 효율성을 평가하는 데 사용하는 중요한 지표입니다. 특히 MTTD(평균 감지 시간) 와 MTTR(평균 응답 시간) 이라는 두 가지 주요 측정값이 이러한 성공을 평가하는 데 널리 활용됩니다. 더 많은 솔루션과 데이터가 제공됨에도 불구하고 오늘날 평균 체류 시간은 50일에서 200일 사이입니다. 상황에 맞는 정보를 갖춘 일관되고 고품질의 조사가 부족하면 기존 프로세스가 붕괴되어 조직의 위험이 높아집니다.
사이버 보안 인재 부족 및 직무 피로 - 보안 분석가는 확장되는 위협 환경과 일상적인 운영 작업으로 인해 과로하고 인력이 부족하며 압도당하는 경우가 많습니다. 데이터가 기하급수적으로 늘어나면서 기술 격차도 벌어지고 문제도 커진다.
SOC의 일부를 자동화할 때의 주요 이점은 조직의 보안 도구, 관행 및 사고 대응을 통합하고 조정한다는 것입니다. 이러한 통합은 일반적으로 예방 조치 개선, 보안 정책 강화, 위협 탐지 속도 향상, 보안 사고에 대한 보다 빠르고 효과적이며 비용 효율적인 대응으로 이어집니다. 또한 SOC는 고객 신뢰도를 높이고 산업, 국가 및 글로벌 개인 정보 보호 규정 준수를 단순화할 수 있습니다. 이 솔루션은 가장 심각한 경고의 우선순위를 지정하고 공격자의 행동을 MITRE ATT&CK 프레임워크에 매핑하여 일관된 대응을 주도합니다.
MITRE Corporation에서 개발한 MITRE ATT&CK 프레임워크는 사이버 침입에서 공격자가 사용하는 실제 전술, 기술 및 절차를 분류하는 포괄적인 지식 기반입니다. 이는 공격의 다양한 단계를 분석하기 위한 구조화되고 표준화된 접근 방식을 제공하고 네트워크, 엔드포인트, 클라우드 및 모바일 플랫폼과 같은 다양한 위협 벡터를 다룹니다. ATT&CK는 공격자의 전술과 기법을 구성하는 매트릭스로 구성되어 목표와 방법에 대한 통찰력을 제공합니다. 사이버 보안 전문가가 널리 사용하는 이 솔루션은 위협 탐지 및 대응 기능을 향상시켜 조직이 적의 전술을 이해하고 효과적인 방어를 개발하며 전반적인 사이버 탄력성을 향상하도록 돕습니다.
Google, Microsoft, IBM과 같은 유명 기업의 사례 연구에서 알 수 있듯이 위협 인텔리전스에 AI를 구현하는 것은 상당한 견인력을 얻었습니다. Cisco, CrowdStrike, Palo Alto와 같은 다른 유명 보안 공급업체도 AI 및 ML 기술을 활용하여 고객에 대한 탐지를 개선하고 공격을 중지하고 있습니다. 이러한 조직은 AI를 활용하여 위협 인텔리전스 기능을 향상함으로써 방대한 양의 보안 신호를 분석하고 잠재적인 위협을 감지하며 신속하게 대응할 수 있습니다.
Google과 Mandiant의 협력을 통해 Google의 데이터 분석 역량과 Mandiant의 전문성이 결합되어 고급 사이버 방어 솔루션과 사고 대응 지침을 제공합니다. Microsoft의 AI 기반 도구인 Security Copilot은 보안 분석가가 직면한 복잡성, 회피 전술 및 인재 격차를 해결하여 사전 위협 관리를 촉진합니다. IBM은 QRadar Advisor 솔루션에서 Watson AI 기술을 활용하여 보안 운영 센터(SOC)의 주요 업무를 자동화하여 정보 과부하, 체류 시간, 사이버 보안 인력 부족과 같은 문제를 해결합니다. 이러한 AI 기반 접근 방식을 MITRE ATT&CK 프레임워크와 통합하면 조직의 사이버 위협 탐지, 대응 및 방어 능력이 더욱 향상되어 궁극적으로 보다 안전한 디지털 환경을 촉진할 수 있습니다.
이 과정의 연습을 진행하면서 이러한 사례 연구와 AI 도구가 조직의 이러한 과제 중 일부를 해결하는 데 어떻게 도움이 될 수 있는지 고려하세요.
Google Cloud AI 위협 인텔리전스
Microsoft 보안 부조종사 IBM 보안
Palo Alto Networks - 보안 환경에서 AI/ML의 가치: 과대 광고를 넘어서기
