최근 한 매체가 사이버 보안의 미래를 형성하는 선두주자인 Palo Alto Networks의 창립자 겸 최고 기술 책임자(CTO)인 Nir Zuk와 가상 인터뷰를 진행했습니다. 이 논의는 보안 운영 센터(SOC) 성능을 향상시키는 데 있어 머신 러닝의 중요한 역할과 Cortex XSIAM 아키텍처 내 통합에 초점을 맞췄습니다.
Zuk은 2005년 Palo Alto Networks를 설립하기 전, 2004년에 Juniper Networks에 인수된 NetScreen Technologies의 CTO로 근무했습니다. 그는 침입 방지 시스템의 초기 혁신 기업인 OneSecure의 공동 창립자이며, Check Point Software Technologies에서 주 에지 검사 기술 개발에 기여한 수석 엔지니어입니다.
2024 회계 연도 2분기(1월 31일 종료 기준) 동안 Palo Alto Networks는 전년 동기 대비 19% 증가한 20억 달러의 매출을 기록했습니다. GAAP 순이익은 Q2 2023의 1억 달러에서 17억 달러로 급증했습니다. 현재 Palo Alto Networks는 글로벌 2000대 기업을 포함하여 85,000명 이상의 고객에게 서비스를 제공하고 있습니다.
질문: 머신 러닝(ML)이 SOC 성능 향상에 왜 필수적인가요?
Zuk: 머신 러닝은 알려진 공격을 조사하는 데서 벗어나 인프라 전반의 모든 사건을 잠재적 위협으로 평가하는 방식으로 접근을 전환하기 때문에 매우 중요합니다. 이러한 변화는 매초 수백만 개의 가능한 공격을 평가할 수 있게 해주며, 이는 인간이 스스로 관리하기 불가능합니다.
질문: 머신 러닝이 보안 운영을 어떻게 변화시키고 주요 SOC 지표를 최적화하나요?
Zuk: 우리는 사이버 보안에 대해 예방적 접근과 탐지 및 대응적 접근의 두 가지 방법으로 나누어 봅니다. 첫 번째 접근은 전통적인 네트워크 보안, 엔드포인트 보안 및 접근 관리로서 적을 차단하는 데 집중합니다. 그러나 침입이 발생할 수 있는 현실에도 대응해야 합니다. 따라서 침입자가 접근하면 SOC가 그들을 적극적으로 추적해야 하며, 머신 러닝은 외부와 내부 위협 모두에 대해 탐지 및 대응을 가능하게 합니다.
질문: 고객들이 사용하는 클라우드 플랫폼의 수가 증가하고 있나요? 클라우드 탐지 및 대응의 복잡성을 극복하려고 하고 있나요?
Zuk: 확실히 그렇습니다. 보안 운영 팀은 전통적인 데이터 센터에 비해 클라우드 환경의 복잡성에 압도당하는 경우가 많습니다. 이러한 복잡성은 SOC가 클라우드 보안을 관리하기 위한 효과적인 도구를 요구합니다. 보안 운영을 DevOps에 통합하는 기존 개념은 두 분야가 유사한 도전 과제에 직면하면서 효과적이지 않았습니다. XSIAM은 이러한 복잡성을 해결하여 클라우드 중심 또는 일반 SOC를 위한 솔루션을 제공합니다.
질문: Cortex XSIAM 아키텍처에서 머신 러닝의 역할은 무엇인가요?
Zuk: Cortex XSIAM은 다양한 유형의 공격을 탐지하기 위해 맞춤형 모델을 사용하는 본질적으로 머신 러닝 시스템입니다. 현재 우리는 사이버 보안 전문가들, 특히 군사 및 정보 작전 전문가들에 의해 개발된 약 1,400개의 특화된 모델을 보유하고 있습니다. 그들의 경험을 효과적인 위협 탐지 모델로 변환하고 있습니다.
질문: 다양한 고객 상호작용에서 모델을 훈련하기 위해 공격 데이터를 익명 처리하고 있나요?
Zuk: 우리의 머신 러닝 접근 방식은 일반적인 시장 추세와 다릅니다. 우리는 고객 데이터를 기반으로 모델을 훈련하지 않고, 다양한 출처에서 수집된 공격 데이터를 활용합니다. 이를 통해 고객 인프라의 정상 상태를 파악하고 데이터 개인 정보를 침해하지 않고도 이상 징후를 식별할 수 있습니다.
질문: 고객들은 SOC 지표에 어떻게 접근하고 있나요?
Zuk: 우리는 고객들이 평균 탐지 시간(MTTD) 및 평균 대응 시간(MTTR)과 같은 주요 지표를 측정하도록 적극 장려하고 있습니다. 현재 연구에 따르면 MTTD는 평균적으로 몇 달 걸리지만, 우리는 이를 몇 주, 심지어 며칠로 개선할 수 있다고 믿습니다. MTTR 또한 보통 몇 시간으로 정량화됩니다. 대다수의 고객과 잠재 고객은 현재 이러한 중요한 지표를 측정하지 않고 있습니다.
질문: 가격 책정 및 업그레이드는 어떻게 처리하나요?
Zuk: XSIAM 가격은 분석되는 데이터 양에 따라 책정됩니다. 우리는 기존 SOC 솔루션과 가격을 유사하게 맞추는 것을 목표로 하고 있으며, 일반적인 보안 정보 및 이벤트 관리(SIEM) 시스템보다 데이터를 10배에서 100배 더 많이 처리합니다. 우리의 목표는 SOC의 예산이 급격히 증가하지 않도록 하는 것입니다.
순위 목록
