Threat Stack, ThreatML™에 고급 감독 학습을 추가하여 심층적 탐지
Threat Stack은 이제 F5 Distributed Cloud App Infrastructure Protection (AIP)입니다. 오늘부터 팀과 함께 분산 클라우드 AIP를 사용해 보세요.
이상 탐지만으로는 더 이상 클라우드 기반 보안에 충분하지 않기 때문입니다.
지금까지 클라우드 기반 인프라를 보호하는 조직은 이상 감지에 의존해야 했습니다. 이러한 유형의 머신 러닝이 약속한 것조차 기술적 어려움과 데이터 부족으로 인해 제약을 받아 심층적인 위협 감지가 불가능했습니다.
더 이상 그렇지 않습니다.
Threat Stack의 최신 버전 ThreatML은 이제 감독형 머신 러닝을 기반으로 구동됩니다. Threat Stack 고객에게 제공되는 ThreatML은 이제 현재 업계 표준인 단순한 이상 감지를 넘어 더욱 발전했습니다. ThreatML은 Threat Stack의 정교한 규칙 세트와 감독되는 머신 러닝을 결합한 심층적 탐지 방식을 위한 행동 기반의 엄격하게 집중된 고효율 위협 탐지를 제공합니다.
침입 및 위협 탐지의 현재 상태를 넘어서
DevSecOps 팀과 기타 보안 그룹은 보안 작업을 제대로 수행하는 데 있어 지속적으로 제약을 받습니다. 최근 200명이 넘는 DevSecOps 팀 디렉터와 관리자, CISO(최고정보보안책임자), 클라우드 보안 엔지니어와 아키텍트 등을 대상으로 실시한 연구에 따르면 클라우드 보안 팀은 다음과 같은 문제에 일상적으로 직면합니다.
- 인력 문제 / 인력 부족
- 소규모 예산
- C 레벨 리더들의 "부가가치 없음"에 대한 인식
- 시간 및 자원 요구 사항
- 매일의 우선순위가 너무 많아서 경쟁이 치열합니다
- 운영 효율성을 달성하기 위한 압력
게다가 점점 더 정교해지는 위협으로 인해 보안팀이 항상 최신 상태를 유지해야 하는 위협과 취약점이 진화하고 있습니다.
대부분의 클라우드 보안 공급업체는 클라우드 보안과 운영 효율성을 결합하고, 이상 탐지 및 보고 기능을 제공하여 이러한 문제를 해결하려고 시도합니다. 즉, 그들은 역사적으로 조직의 기준 행동이었던 것과 다른 것으로 보이는 항목을 찾고 보고하는 데 중점을 둔 프로그램과 솔루션을 개발합니다.
왜? 매우 간단합니다: 이상 현상이나 정상적인 기준 동작과 다른 부분만 표면화하는 도구와 솔루션은 알림에 대한 많은 조정, 교육, 분류 또는 검토가 필요하지 않습니다. 이를 통해 고객은 일상적인 보안 운영에 따른 부담을 덜어주는 필수적인 침입 탐지 방법을 얻을 수 있습니다. 실제로 일부 회사는 하루에 "단 몇 개"의 이상 감지 보고서만 제공한다고 자랑합니다. 이전에도 언급했듯이 생성된 알림 수에 인위적인 제한을 두는 것은 좋은 지표가 아니며 실제로 조직의 클라우드 기반 보안에 위험할 수 있습니다. 이상 감지를 통해 조직은 항상 다음 질문을 스스로에게 물어야 합니다. 어떤 위협과 침입 경고를 놓쳐도 괜찮을까요?
이런 감지 방법이 하나뿐인 것만으로는 충분하지 않습니다.
이상 탐지만으로는 클라우드 환경을 보호하기에 충분하지 않은 데에는 몇 가지 이유가 있습니다.
- 일반적인 기준선에서 벗어나는 비정상적, 변칙적 또는 특이한 행동이 항상 위협적인 것은 아닙니다. 이런 유형의 행동에 대해 경고하면 거짓 긍정이 발생할 수 있습니다.
- 정상적으로 보이는 행동이 반드시 좋은 것은 아닙니다. 규칙에서 정상으로 간주한다는 이유만으로 어떤 행동을 무시하면 거짓 부정이 발생합니다.
이상 탐지와 같이 단 하나의 탐지 방법만 제공하는 도구는 실제 위협을 나타내는 중요한 동작을 놓치게 됩니다. 이러한 시스템은 달라 보이는 것만 표면에 드러나도록 설계되었습니다. 간단히 말해, 이상 탐지 기능만 사용하면 운영 효율성을 위해 보안을 희생하는 셈입니다.
Threat Stack이 고객 피드백을 기반으로 ThreatML을 확장한 방법
Threat Stack의 엔지니어링 팀이 고객과 대화하면서 다음 사실이 점점 더 분명해졌습니다. DevSecOps와 기타 클라우드 보안 팀에는 여러 솔루션을 제공하는 강력하고 혁신적인 클라우드 보안 도구가 필요합니다. 이는 다음과 같아야 합니다.
- 알려진 보안 위협과 알려지지 않은 보안 위협에 대한 포괄적인 보장을 제공합니다.
- 거짓 부정을 제거합니다.
- 거짓 양성을 인식하고 처리합니다.
- 운영상의 제약을 낮게 유지하세요
- 결과를 실제적이고 실행 가능한 위협으로 제한합니다.
- 중요한 동작을 놓치지 않는 필터와 모델을 만듭니다.
- 매일 쉽게 배포, 관리 및 실행할 수 있습니다.
단순한 이상 탐지를 넘어 심층적 위협 탐지로 이동
이러한 고객 요구 사항을 충족하기 위해 Threat Stack은 거짓 부정을 제거하는 동시에 알려진 위협과 알려지지 않은 위협을 모두 밝혀낼 수 있는 심층 탐지 방식을 만들고자 했습니다. 목표는 이상 감지를 넘어 고객 환경에 대한 더 나은 그림을 제공하는 것이었습니다.
해결책은? ThreatML의 고급 버전으로, 감독 학습을 사용하여 심층적 탐지 방식을 통해 동작에 대한 고효율 위협 탐지 기능을 제공합니다. Threat Stack은 클라우드 보안을 위한 지도 학습을 새로운 방식으로 활용하여 보안 팀이 운영 효율성을 제공하는 동시에 조직의 데이터를 안전하게 유지할 수 있도록 지원합니다.
지도 학습을 통한 ThreatML: 올바르게 수행된 머신 러닝
공급업체가 지도 학습을 활용하지 않는 주된 이유는 알고리즘을 훈련하기 위해 매일 수십억 개의 이벤트에 레이블을 지정해야 하기 때문입니다. 즉, 지도 학습에는 데이터가 필요합니다. 엄청난 양의 데이터가 필요하고, 그 데이터는 분류되어야 합니다. 그리고 데이터 분류는 매우 노동 집약적인 활동이 될 수 있으며, 많은 데이터 엔지니어가 필요합니다.
ThreatML은 Threat Stack의 광범위한 규칙 엔진을 사용하여 하루에 600억 개가 넘는 데이터를 실시간으로 분류하고 레이블을 지정함으로써 지도 학습에 대한 새로운 접근 방식을 취합니다. 이러한 유형의 대규모 레이블이 지정된 데이터는 지도 학습의 잠재력을 최대한 실현하는 데 필요합니다.
동작이 규칙 엔진을 통과하면 분석될 수 있습니다. Threat Stack은 레이블이 지정되고 분류된 데이터를 사용하여 동작에 대한 예측을 수행하는 추론 엔진을 만들었습니다. 추론 엔진은 주변 이벤트에서 수집된 데이터를 기반으로 해당 동작이 예측 가능한지 여부를 판단합니다. 예측할 수 없는 행동은 우선순위가 높은 위협으로 간주되어 고객에게 경고로 전달됩니다.
규칙 엔진에 지도 학습을 추가함으로써 Threat Stack 고객은 클라우드 환경에 대한 위협을 포착할 수 있는 여러 가지 탐지 방법을 활용할 수 있게 되었습니다. 이를 통해 조직은 다음 질문에 답할 수 있습니다. “이 작업 부하의 과거 행동을 감안할 때, 이 행동은 예측 가능했는가, 아니면 그렇지 않았는가?” 예측 가능한 행동은 무시해도 괜찮지만, 예측 불가능한 행동은 실제적이고 실행 가능한 위협을 나타냅니다.
결과적으로 ThreatML을 통해 고객은 환경에 가장 우선순위가 높은 위협에만 집중할 수 있습니다. 이렇게 하면 경고 피로가 줄어들고 리소스 사용량이 줄어듭니다. 지도 학습 방식은 규칙을 사용하여 모델을 자동으로 지속적으로 학습시켜 고객에게 손이 많이 가지 않는 방식으로 고효율 위협 탐지를 제공합니다. 이는 운영 효율성 이상 탐지 약속과 유사하지만, 지도 학습 방법은 조직 환경에 대한 가장 우선순위가 높은 위협을 놓칠 위험이 없습니다.
Threat Stack의 새로운 ThreatML과 감독 학습이 조직의 일상적인 클라우드 보안 운영에 어떻게 도움이 될 수 있는지 알아보려면 오늘 저희에게 연락하세요.
Threat Stack은 이제 F5 Distributed Cloud App Infrastructure Protection (AIP)입니다. 오늘부터 팀과 함께 분산 클라우드 AIP를 사용해 보세요.