사이버 공격자들이 속도 면에서 기록을 갱신함에 따라, 모든 보안 운영 센터(SOC) 팀은 AI가 어떻게 이점을 줄 수 있는지 탐구해야 합니다. CrowdStrike의 CEO이자 공동 창립자 조지 커츠의 최근 인사이트에 따르면, 공격자는 시스템에 접근한 후 단 2분 7초 만에 측면 이동을 할 수 있으며, 31초 안에 툴킷을 다운로드해 손상된 시스템에 대한 조사에 착수할 수 있습니다. 커츠는 이 내용을 RSAC 2024의 기조연설에서 다루며 ‘차세대 SIEM: 데이터, 보안, IT, 워크플로우 자동화 및 AI의 융합’이라는 주제를 발표했습니다.
AI의 필요성
커츠는 보안 팀이 방대한 데이터 세트를 신속하게 분석하여 위협을 탐지하고 대응해야 한다고 강조했습니다. “오늘날 사이버 공격의 속도는 전통적인 SIEM 시스템의 역량에 도전합니다.”라고 그는 말했습니다. “조직들은 더 높은 투자 수익률을 제공하고 총 소유 비용을 줄이는 고급 기술을 찾고 있습니다. 중요한 보안 데이터는 주로 Falcon 플랫폼에 저장되어 있어 구형 SIEM 솔루션으로 데이터를 전송하는 데 드는 시간과 비용을 최적화합니다. 우리의 통합 아키텍처는 AI와 워크플로우 자동화를 통해 기본 데이터와 제3자 데이터를 연계하여 AI 기반 SOC의 잠재력을 실현합니다.”
구형 SIEM의 한계
공격자들이 방법을 다듬어 나가면서 엔드포인트와 아이덴티티 보안 간의 격차가 커지고 있습니다. 효과적으로 집계된 엔드포인트 데이터는 침입 시도를 예측하는 데 중요한 통찰력을 제공할 수 있습니다. 커츠는 “사이버 보안의 주요 문제는 데이터 복잡성을 관리하는 것”이라고 언급하며 CrowdStrike를 설립한 이유를 설명했습니다. “SOC 팀은 위협을 식별하기 위해 방대한 양의 데이터를 탐색하는 데 어려움을 겪고 있습니다.”
구형 SIEM은 이제 SOC 팀들에게 부채가 되고 있습니다. 분석가들은 종종 충돌하는 시스템 사이를 오가며 시간을 낭비하고, 여러 출처의 데이터를 다양한 도구를 통해 확인해야 하므로 긴급 사건에서 지체가 발생합니다. 커츠는 “데이터 질의에 며칠이 걸릴 수 있으며, 이 기간 동안 중요한 경고가 놓칠 수 있습니다. 적들을 앞서기 위한 방법을 찾는 것이 급선무입니다.”라고 강조했습니다.
커츠는 휴대전화 요금제의 발전을 비유로 사용하며 다음 세대 SIEM은 비용을 크게 증가시키지 않으면서 확장 가능한 데이터 수집을 가능하게 해야 한다고 주장했습니다. 이를 통해 조직은 재정적 제약 없이 정보에 기반한 보안 결정을 내릴 수 있습니다. 그는 고객이 모든 데이터 소스를 효과적으로 활용할 수 있도록 비용 생산성 곡선을 타파해야 한다고 강조했습니다.
AI로 방어자 강화
커츠는 RSAC 2024에서 CrowdStrike Falcon의 차세대 SIEM 혁신을 발표해 방어자들에게 운영 효율성을 높일 수 있는 적절한 도구를 제공해야 한다는 필요성을 보여주었습니다. 그의 기조연설에서는 구형 SIEM이 제약을 가하는 한계를 제거하고 SOC를 AI 기능으로 강화하는 것이 중요하다고 강조했습니다. 특히, CrowdStrike는 Falcon Insight 고객들에게 매일 10GB의 제3자 데이터 수집을 추가 비용 없이 제공하여 차세대 SIEM의 속도와 효율성을 보여주고 있습니다.
AI는 Falcon 차세대 SIEM 아키텍처의 핵심으로, 데이터 파싱 및 정규화를 자동화하고, 위협 식별을 위한 데이터 세트를 풍부하게 하며, 고급 위협 탐지 및 자동화된 응답 메커니즘을 지원합니다. “AI 기반 SOC는 지속적으로 학습합니다.”라고 커츠는 설명했습니다. “각 조직은 고유한 직원과 환경에 대한 통찰력을 갖고 있으며, 이 정보에 대해 공급업체에만 의존해서는 안 됩니다. 시스템은 맥락 속에서 악의적인 내부자가 어떤 모습인지 인식하고 시간이 지남에 따라 적응해야 합니다.”
SOC 성능 가속화
CrowdStrike의 Falcon 차세대 SIEM은 전통적인 SIEM에 비해 최대 150배 빠른 검색 능력과 80% 낮은 총 소유 비용을 제공하여 SOC 성능을 향상시키는 것을 목표로 하고 있습니다. 이는 SOC들이 겪는 주요 문제인 느린 성능과 응답 시간에 대한 해결책입니다.
Falcon 차세대 SIEM의 주요 혁신 사항은 다음과 같습니다:
- 생성 AI 및 워크플로우 자동화: Charlotte AI는 분석가가 Falcon 데이터와 문서를 이해하기 쉽게 제공하여 응답 시간을 줄입니다.
- 조사 효율성: AI는 관련 컨텍스트를 자동으로 연관하여 단일 사건으로 정리하여 조사를 신속하게 합니다.
- 맞춤형 프로프트북: 분석가는 재사용 가능한 탐지 및 응답 워크플로우를 정의하여 신속한 사건 해결을 지원합니다.
- SOAR 통합: 새로운 Fusion SOAR UI는 SOC 분석가가 드래그 앤 드롭 인터페이스를 통해 워크플로우를 손쉽게 관리할 수 있게 합니다.
- 자동화된 조사: 자동화된 워크플로우는 위협 탐색을 향상하고 Falcon 및 제3자 도구 간의 작업을 통합합니다.
빠른 데이터 수집:
- 확장된 생태계: 다양한 제3자 IT 및 보안 데이터를 Falcon 플랫폼에 통합하는 새로운 커넥터가 추가되었습니다.
- 클라우드 커넥터: AWS, Azure 및 GCP에 대한 포괄적인 연결로 데이터 접근 및 모니터링이 수월해졌습니다.
- 자동화된 데이터 정규화: 간소화된 데이터 온보딩을 통해 모든 출처에서 신속하고 정확한 탐지가 가능합니다.
- 효율적인 데이터 관리: 향상된 기능으로 데이터 수집 상태 및 건강을 간단히 모니터링하고 관리할 수 있습니다.
사고 관리에서 분석가 경험 향상:
- 자동화된 보강: 사건에 상황 정보를 자동으로 추가하여 조사를 가속화합니다.
- 협업 도구: 개선된 보기 및 알림 기능으로 분석가 간의 조정된 대응을 촉진합니다.
- 위협 인텔리전스 통합: 분석가는 사용자 정의 위협 인텔리전스를 검색에 원활하게 통합할 수 있습니다.
CrowdStrike의 혁신은 Falcon 차세대 SIEM을 급변하는 사이버 보안 환경에서 SOC의 효율성과 대응 능력을 강화하는 필수 솔루션으로 자리매김하게 합니다.