Artificial Intelligence
ThreatTracker Analysis for Enhancing Security
Next generation analysis system. Automated Threat Hunting perfect collaborative analysis platform between humans and machines.
Data Transformation(Normalization, Enrichment, Correlation) 부분
- 입력된 모든 데이터에 대해서 정확한 비교와 학습을 위해서 데이터 정형화
- Open-XDR의 경우 모든 외부 데이터를 수집할 때 이러한 변환 과정이 필수
- RNN 탐지를 위해서 길이와 데이터포맷을 모두 맞추는 것이 바람직함 (속도, 정확도 상승)
(Normalization)
Data Transformation(Normalization, Enrichment, Correlation) 부분
- 데이터의 정보를 더욱 정교하게 생성하기 위해서 Geo, TI의 평판 정보를 추가함
- TI의 정보가 많고 정확할수록 탐지의 정확도 및 성능이 향상됨 (머신러닝의 부족한 부분)
Unsupervised Machine Learning(비지도 학습)을 이용한 탐지
- Time Series Analysis : 특정 디바이스에 대한 행동을 관찰하고 비정상 행위에 대한 탐지
- Population Analysis : 유사 그룹에 특정하고 outlines를 탐지
- Graph Analysis : 데이터 간 관련성을 도출하는 분석으로 상관관계 분석
Time Series Analysis
Compare with your own history, time series analysis
Population Analysis
Compare with your peers, population analysis
Graph Analysis
Compare with relationships with others, graph analysis
Single Pane of Glass(Incident와 Correlation)
- Graph 분석을 이용하여 상관관계가 있는 Alert들을 하나로 연결함 (상관관계 분석)
- 연결된 Alert을 하나의 Incident로 Grouping => Ranking, Scoring by Graph ML(Scoring = 정확도 + 위협도 + TI 정보)
- 분석 대상 건은 줄어들고 분석의 깊이는 더해져 빠른 판단과 신속한 대응이 가능토록 함
Adaptive Learning(적응형 학습)
- 비지도 학습으로 분류된 비정상 행위 데이터에 대한 사람의 의견 반영
- 라벨링 처리가 되며, 오탐을 대량으로 줄일 수 있으며, 다음 분류 시 정확도 상승
- 지도 학습의 최대 단점인 샘플 확보에 대한 해결책으로 최근 다양하게 활용되고 있음
- 비정상 행위를 기반으로 분석
- 보안 분석가의 피드백을 학습
- 유사 내용을 검색 > 고객사만의 검색어
- 아무리 적은 수준의 피드백이라도 보안 분석가의 피드백은 중요 가이드로 활용
장점과 한계
장점
- 머신러닝은 정탐/오탐을 가리는 것이 아니라, 기존에 학습된 기준에 얼마나 유사한지를 판단하는 알고리즘. 기존 패턴 기반의 탐지보다 공격 탐지율이 높고(우회 공격까지 탐지 가능), 비정상 행위 등에 대한 탐지가 쉬움
- 그래프 알고리즘 분석을 통한 Incident에 대한 상관분석이 가능하여 알람의 수를 혁신적으로 줄일 수 있음
한계
- 지도 학습의 경우 많은 수의 샘플이 필요한데, 이를 확보하기 어려워 많은 학습 모델 생성이 쉽지 않음
- 비지도 학습의 경우 분류된 정보가 기존 대비 비정상 행위로 분류되는 것으로 공격인지 아닌지 검증이 반드시 필요함
- 적응형 학습의 경우 SOC 인력의 정확한 분석이 필수적이고 일정 수준 이상의 시간이 소요됨