인공 지능(AI)은 인간의 의사 결정 프로세스를 복제할 수 있습니다. 이 기술은 특히 일상적인 보안 운영에서 사이버 보안 운영의 혁신적인 변화를 촉진할 수 있습니다.

위협 탐지는 이미 머신러닝(ML)과 같은 AI 기능을 사용하고 있습니다. 다양한 SOC 기술은 주요 소프트웨어 공급업체와의 통합을 통해, 위협 식별부터 경보 분류에 이르는 다양한 작업에 ML을 사용합니다. 그러나 보안 운영을 자동화하는 데는 특정 제약 조건이 있습니다.

대부분의 보안 운영팀에는 실행 전에 어느 정도의 확실성이 요구되는 참여 규칙이 있습니다. 이러한 확실성은 자동화가 엔드포인트 탐지 및 대응(EDR) 시스템과 같은 폐쇄형 시스템에서 일반적으로 사용되는 이유를 설명합니다. 엔드포인트 소프트웨어와 콘솔은 모두 관련 변수를 모두 숙지하고 있으며 대응을 효과적으로 자동화할 수 있습니다.

주요 하이퍼스케일러의 보안 전문가가 실제 사례를 들어 설명합니다. 이 회사는 스택의 모든 기술과 자산을 깊이 이해하고 있기 때문에 SOC의 개입을 최소화할 수 있습니다. 구성 설정이 기본적으로 폐쇄형 시스템으로 작동하므로 광범위한 자동화가 가능합니다.

이러한 폐쇄형 시스템이 없는 조직, 특히 보안 정보 및 이벤트 관리(SIEM) 시스템을 다루는 기업의 경우 시나리오가 다릅니다. 여기에서 보안 오케스트레이션, 자동화 및 대응(SOAR) 애플리케이션 플레이북이 자동화를 관리합니다.

예를 들어, 호스트가 서버가 아니며 인식된 악성 활동을 실행하는 경우 해당 호스트를 격리하도록 자동 응답 플레이북을 프로그래밍할 수 있습니다. 그러나 중요한 서버인지 워크스테이션인지 여부와 같이 자산의 신원을 알 수 없다면 이 자동화는 활성화될 수 없습니다.

보안 기능을 자동화하는 데 있어 컨텍스트는 가장 중요하며, 인간 SOC 분석가는 바로 이 부분에서 빛을 발합니다. 인간 분석가는 '회전 의자에 앉아 여러 데이터를 직접 찾는' 수동 데이터 수집, 판단 및 분석을 통해 개방형 시스템에서 자동화가 효과적으로 작동하는 데 필요한 컨텍스트를 제공합니다. 회전 의자식 운영은 다중 에이전트 자율 운영의 새로운 패러다임으로의 전환이 필요합니다.