머신 러닝으로 사고 대응 플레이북 강화

모든 회사는 사고 대응팀을 구성하고, 구성원을 지정하고, 사이버 보안 사고에 대응하기 위한 전략을 개략적으로 설명하는 일반적인 사고 대응 계획을 가지고 있어야 합니다.

그러나 해당 전략을 일관되게 실행하려면 기업에는 대응 담당자에게 랜섬웨어, 맬웨어 발생 또는 비즈니스 이메일 손상과 같은 공격에 대한 조사, 분석, 억제, 근절 및 복구 과정을 안내하는 전술 가이드가 필요합니다. Fortinet Proactive Services 그룹의 수석 보안 컨설턴트인 John Hollenberger는 보안에 대한 플레이북을 따르지 않는 조직은 더 심각한 사고를 겪는 경우가 많다고 말합니다. Fortinet이 처리하는 전 세계 사고의 약 40%에서 적절한 플레이북의 부족이 우선 침입으로 이어진 요인이었습니다.

Hollenberger는 "회사가 탐지하고 대응할 수 있는 올바른 도구를 갖추고 있지만 해당 도구에 대한 프로세스가 없거나 부적절하다는 사실을 자주 발견했습니다."라고 말합니다. 플레이북을 사용하더라도 분석가는 여전히 타협의 세부 사항을 기반으로 복잡한 결정을 내려야 한다고 그는 말합니다. 그는 "분석가의 지식과 사전 고려 없이는 잘못된 접근 방식을 취하거나 궁극적으로 대응 노력을 방해할 수 있습니다"라고 덧붙였습니다.

당연히 기업과 연구자들은 사고를 조사하고 대응하는 동안 취해야 할 조치에 대한 권장 사항을 얻는 등 머신러닝과 인공 지능을 플레이북에 적용하려고 점점 더 노력하고 있습니다. 심층 신경망은 현재의 경험적 기반 방식보다 더 나은 성능을 발휘하도록 훈련될 수 있으며, 그래프에서 일련의 단계로 표현되는 사건 및 플레이북의 특징을 기반으로 자동으로 다음 단계를 추천할 수 있습니다. XNUMX월 초에 발표된 논문 네게브 벤구리온 대학교(Ben-Gurion University of the Negev)와 거대 기술 기업 NEC의 연구진이 공동으로 개발한 것입니다.

BGU와 NEC 연구원들은 수동으로 플레이북을 관리하는 것은 장기적으로 불가능할 수 있다고 주장합니다.

연구원들은 논문에서 “일단 정의된 플레이북은 고정된 경고 세트에 대해 하드 코딩되어 있으며 상당히 정적이고 엄격합니다.”라고 밝혔습니다. “이는 자주 변경할 필요가 없는 조사 플레이북의 경우 허용될 수 있지만, 이전에 새로운 위협과 새로운 위협에 적응하기 위해 변경해야 할 수 있는 대응 플레이북의 경우에는 덜 바람직합니다. 보이지 않는 경고.”

적절한 대응에는 플레이북이 필요합니다

이벤트 감지, 조사 및 대응을 자동화하는 것은 SOAR(보안 조정, 자동화 및 대응) 시스템의 영역이며, 이는 특히 사이버 보안 중에 기업이 직면하는 다양한 상황에서 사용할 수 있는 플레이북 저장소가 되었습니다. 이벤트.

SentinelOne의 최고 정보 보안 책임자인 Josh Blackwelder는 "보안의 세계는 확률과 불확실성을 다루고 있습니다. 플레이북은 엄격한 프로세스를 적용하여 예측 가능한 최종 결과를 얻음으로써 추가 불확실성을 줄이는 방법입니다."라고 덧붙였습니다. SOAR을 통한 플레이북 자동화 적용. “일관되고 논리적인 프로세스 흐름 없이는 불확실한 보안 경고에서 예측 가능한 결과로 전환할 수 있는 마법 같은 방법은 없습니다.”

전문가에 따르면 SOAR 시스템은 이름에서 알 수 있듯이 점점 더 자동화되고 있으며 AI/ML 모델을 채택하여 시스템에 지능을 추가하는 것은 자연스러운 다음 단계입니다.

예를 들어, 관리형 탐지 및 대응 회사인 Red Canary는 현재 AI를 사용하여 위협을 탐지 및 대응하고 분석가의 인지 부하를 줄여 보다 효율적이고 효과적으로 만드는 데 유용한 패턴과 추세를 식별합니다. 또한 Red Canary의 최고 보안 책임자이자 공동 창립자인 Keith McCammon은 생성 AI 시스템을 사용하면 사건의 요약과 기술적 세부 사항을 고객에게 더 쉽게 전달할 수 있다고 말합니다.

“우리는 더 많은 플레이북을 만드는 등의 작업을 위해 AI를 사용하지 않지만 플레이북 및 기타 보안 운영 프로세스를 더 빠르고 효과적으로 실행하기 위해 AI를 광범위하게 사용하고 있습니다.”라고 그는 말합니다.

BGU와 NEC 연구원들은 결국 플레이북이 딥러닝(DL) 신경망을 통해 완전히 자동화될 수 있다고 밝혔습니다. “[W]e는 SOAR 시스템에서 경고가 수신되면 DL 기반 모델이 경고를 처리하고 적절한 응답을 자동으로 배포하는 완전한 엔드투엔드 파이프라인을 지원하도록 방법을 확장하는 것을 목표로 합니다. - 즉석 플레이북 — 보안 분석가의 부담을 줄여줍니다.”라고 그들은 썼습니다.

하지만 AI/ML 모델에 플레이북을 관리하고 업데이트할 수 있는 기능을 제공하는 것은 특히 민감하거나 규제가 적용되는 산업에서는 주의해서 이루어져야 한다고 Sumo Logic의 조정 및 자동화 담당 수석 이사인 Andrea Fumagalli는 말합니다. 클라우드 기반 보안 관리 회사는 플랫폼에서 AI/ML 기반 모델을 사용하고 데이터에서 위협 신호를 찾아 강조 표시합니다.

"우리가 수년간 고객을 대상으로 실시한 여러 설문 조사에 따르면 고객은 보안상의 이유로든 규정 준수를 위해 AI가 플레이북을 자율적으로 조정, 수정 및 생성하는 것에 아직 만족하지 않습니다."라고 그는 말합니다. "기업 고객은 사고 관리 및 대응 절차로 구현되는 사항을 완벽하게 제어하기를 원합니다."

자동화는 완전히 투명해야 하며 이를 수행하는 한 가지 방법은 보안 분석가에게 모든 쿼리와 데이터를 표시하는 것입니다. SentinelOne의 Blackwelder는 “이를 통해 사용자는 다음 단계로 이동하기 전에 반환된 논리와 데이터의 온전성을 확인하고 결과를 확인할 수 있습니다.”라고 말합니다. "우리는 이러한 AI 지원 접근 방식이 AI의 위험과 급변하는 위협 환경에 맞춰 효율성을 가속화해야 하는 필요성 사이의 적절한 균형이라고 생각합니다."

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cybersecurity-operations/automation-via-machine-learning-makes-cybersecurity-playbooks-better