미래의 SOC를 위한 AI의 역할

전통적인 보안 운영 센터(SOC)는 주로 AI 통합에 의해 큰 변화를 겪고 있다. 거의 90%의 조직이 현재 AI 기술을 활용하고 있으며, 위협 탐지, 응답, 및 사고 복구에 상당한 적용이 이루어지고 있다. 그러나, 위협 탐지의 완전 자동화는 27%에 불과하여, AI의 전체 잠재력을 실현하는 데 격차가 존재한다. 이를 따라가기 위해, 보안 리더들은 전략적으로 AI를 활용하여 미래의 SOC를 구축해야 한다.

SOC 팀과 작업량을 강화하는 AI의 역할

AI는 보안 분석가들이 자신의 역할을 재정의하고, 더 높은 가치의 전략적 이니셔티브에 집중할 수 있도록 강화할 수 있다. 방어자는 상시 반응 모드에서 위험을 줄이고 보안 운영의 비즈니스 가치를 높이는 작업으로 전환할 수 있다.

우리는 종종 SOC의 제품들, 즉 Security Information and Event Management (SIEM), Security Orchestration and Automated Response (SOAR), 및 User and Entity Behavior Analytics (UEBA)가 SOC 운영의 핵심 구성 요소라는 것을 논의해 왔다. 이러한 제품들은 때때로 워크플로우에서 제대로 연결되지 않아, 상호 운용성의 어려움과 분석가에게 불필요한 정신적 부담을 초래한다. 그러나, 현대적인 대화는 제품보다는 능력에 초점을 맞추고 있으며, 특히 AI가 도구들을 연결하는 조직적인 역할을 수행함으로써, 스위칭 피로를 줄이는 데 도움이 된다.

AI는 기존 도구들을 연결하는 데만 그치지 않는다. 또한, 생산성을 크게 향상시키는 역할을 한다. AI는 분석가와 함께 플레이북을共同 작성하여, 분석가가 기본적인 작업을 반복하지 않도록 해준다. AI는 또한 사고를 요약하여, 가장 관련이 있는 정보를 추출하고, 분석가가 사고에 대한 초기 브리핑을 받을 수 있도록 해준다.

SOC 팀이 워크플로우에서 AI 에이전트를 활용하면, 더 빠른 포함, 확장된 응답, 추가 능력, 및 감소된 수동 작업의 이점을 얻을 수 있다. 예를 들어, 자동으로 트라이어징하고, 거짓 양성 결과를 제거하는 AI 에이전트는, 분석가가 티켓 큐를 작업할 때, 분석가에게 앞서가는 기회를 제공한다. 그러나, 이는 효율성이나 생산성에 관한 것이 아니다. AI는 이전에 아웃소싱된 도구였던, 역공학과 같은 새로운 능력을 SOC에 가져올 수 있다. 여기서 AI는 특정 멀웨어가 어떻게 작동하는지 파악하여, 보안 팀이 공격에서 무엇이 일어났는지 이해할 수 있도록 해준다. 이러한 도구는 또한, 자동화보다 더 깊이 있는 분석을 수행하여, 분석가가 사고를 검토하기 전에, 많은 준비 작업을 완료할 수 있다.

이러한 AI 도구를 활용하는 것은, 위협 행위자가 AI를 활용하고, 고양이와 쥐의 게임이 속도-Up됨에 따라, SOC에 필수적인 것이 될 것이다.

AI 기반 SOC의 이점

SOC 팀이 모든 시간을 경고에 응답하거나 사고에 대처하는 데 소비한다면, 효율성을 추동하는 전략 프로그램에 기여할 시간이 없다. 이는 비즈니스에 해롭다. 디지털 시스템의 탄력성은 직접 수익성에 영향을 미친다.

AI는 시간을 해방하는 데 큰 변화를 가져온다. 이는 SOC 팀이 전략적, 예방적 이니셔티브에 집중할 수 있도록 해주며, 이는 비즈니스 성장, 사고량의 감소, 및 추가 투자의 가능성을 높인다.

SOC 팀의 시간을 해방하는 것 외에도, AI는 응답의 질을 향상시키고, 팀이 더 빠르게 응답할 수 있도록 도와준다. 공격자가 AI를 사용하여 공격을 가속화하고 확대함에 따라, 현대적인 SOC는 유사한 능력을 채택하는 것이 필수적이다.

AI 기반 SOC 개발

AI 기반 SOC를 구축하기 위해, 사이버 보안 리더들은 현재의 SOC 관행을 분석하여, 가장 수동적인 노력이 필요한 작업을 식별한 다음, 이러한 작업을 AI로 가속화해야 한다. 일반적인 시작 지점은 다음과 같다:

탐지 및 관리: 많은 SOC는 이미 벤더가 작성한 탐지를 활용하고, 이를 자신의 특정需求에 맞게 세부적으로 조정한다. AI는 이 과정을 더욱 향상시킬 수 있다. 새로운 탐지를 공동 작성하고, 작성하는 것을 넘어서, AI는 탐지 수명 주기의 관리에서 분석가를 해방시킬 수 있다. 탐지가 더 이상 트리거되지 않거나, 너무 많은 노이즈가 발생할 때, AI는 문제를 식별하고, 탐지 신뢰도를 개선하기 위한 세부 사항을 제안할 수 있다. 예를 들어, 넷플릭스가 영화를 제안하는 것과 같이, AI는 탐지 추천 엔진을 구동하여, 사용자의 데이터와 직면한 위협에 따라, 가장 좋은 커버리지의 탐지를 결정할 수 있다.

결과 해석: AI는 분석가에게 경고에서 핵심 정보를 요약하고, 강조하여, 시작점을 제공할 수 있다. 자동으로 강화하는 것 외에도, AI는 중요한 세부 사항을 식별하고, 다음 단계를 제안할 수 있다. 이는 분석가가 제어를 유지하면서, 각 조사에서 귀중한 시간을 절약할 수 있도록 해준다.

조사 실행: SOC의 경우, 잠재적인 위협에 대한 협력적인 조사 является 핵심 임무이다. 효과적인 조사에는 적절한 데이터를 적용하고, 분석을 수행하여, 정보에 기반한 결정을 내릴 수 있어야 한다. 이는 기본적으로 들릴 수 있지만, 모든 비즈니스 영역에서 이러한 워크플로우를 달성하는 것은 놀라울 정도로 어렵다. AI는 SOC의 조사 능력을 강화하여, 말웨어 샘플의 분석과 같은, 조사 일부를 자율적으로 처리하거나, 기존 방법을 가속화할 수 있다. 예를 들어, 다른 자산에서 유사한 악의적인 패턴을 효율적으로 검색한다. 이러한 작업을 과부하된 분석가로부터卸載하면, 팀의 용량을 증가시키고, 분석가가 복잡한 분석, 조사, 및 복구에 집중할 수 있도록 해준다.

조사 보고서 초안: 조사 보고서는 종종 단조롭고 시간이 걸리지만, 기업의 지식, 역사적 기록, 및 규정 준수에 필수적이다. 이러한 보고서가 높은 품질일 때, 이는 심지어 AI에게 유용한 데이터 소스가 될 수 있다. 여기서 패턴과 복구 동향을 드러내는 데 도움이 될 수 있다. 그러나, 이러한 보고서를 작성하는 것은 일반적으로 길고, 노동 집약적이며, 지루하다. 이것이 AI가輝く 곳이다. AI는 정보를 신속하게 수집하여, 포괄적인 보고서를 작성할 수 있다. 이것이 화려한 것일 수는 없다. 그러나, 각 조사에서 15-20분을 절약할 수 있다. 이는 곧 시간이 된다.

플레이북 작성: 플레이북은 보안 워크플로우를 자동화하여, 보안 분석가가 위협에 대한 조사에 더 많은 시간을 할애할 수 있도록 해준다. 이는 시간 절약, 응답의 질, 및 일관성 측면에서 상당한 이점을 제공한다. 또한, 플레이북은 특정 시나리오에 대한 올바른 응답을 명확하게 문서화하여, 규정 준수 팀에게 유용한 이점을 제공한다. 그러나, 효과적인 플레이북을 작성하는 것은 시간과 세부 사항을 요구한다. 분석가들은 이러한 자원을 처음부터 개발하는 데 시간이 부족할 수 있다. 다시 한번, AI는 플레이북을 생성하고 공동 작성하여, 분석가가 빈 페이지에서 시작하지 않도록 도와줄 수 있다.

미래 준비 SOC 구축

AI를 활용하면, SOC에 상당한 이점을 제공하여, 보안 전략을 개발하고, 앞으로 일어날 일에 대비할 수 있다. 복잡성이 증가하고, AI 기반 공격, 타겟팅된 인사 위협, 및 진화하는 사이버 보안 규정과 같은, 앞으로 일어날 일에 대비하는 것은, 지금보다 더 어려울 것이다. 그러나, 미래의 SOC는 단순히 전투 준비가 아니라, 지속적인 회복력을 구축하는 것, 조직의 민첩성을 강화하는 것, 및 비즈니스 하위 라인과 평판을 강화하는 것이다.