인공 지능과 머신 러닝(AI/ML)은 우리 삶의 모든 측면을 우리가 감당할 수 없을 만큼 빠르게 변화시키고 있습니다. 사이버 보안도 예외는 아니며, 실제로 사이버 보안은 AI/ML이 공격과 방어 모두에 어떻게 활용될 수 있는지, 그리고 그 자체가 매력적인 공격 대상이 될 수 있는지를 보여주는 대표적인 예입니다.
사이버 범죄자들의 진입 장벽이 낮아지면서 피싱, 딥페이크, 분산 서비스 거부(DDoS) 등 AI/ML을 이용한 사이버 공격이 증가하고 있습니다. 다형성 멀웨어와 지능형 지속 위협(APT)은 AI를 사용하여 성공적인 멀웨어의 새로운 변종을 생성하고 규칙과 서명을 회피합니다.
방어자 입장에서는 수십 개의 소스로부터 방대한 양의 데이터를 신속하게 분석하고 상호 연관시켜야 한다는 점이 AI와 ML의 주요 사용 사례입니다. 이러한 초인적인 능력은 자산 인벤토리 및 인텔리전스, 행동 기준선 설정, 이상 징후 및 위협 탐지, 이벤트 상관관계, 위험 우선순위 지정, 노이즈 감소 등 사이버 방어의 거의 모든 측면을 가속화하고 있습니다. 이들은 함께 티어 1 SOC 분석가와 다른 하급 직책의 필요성을 완전히 없앨 수 있는 잠재력을 가지고 있습니다.
산업 환경을 위한 AI 지원 사이버 보안은 이러한 모든 기능을 활용하지만, 보호해야 할 대상이 더 많고 공격의 위험도 더 높은 경우가 많습니다. 수천 개의 구성 가능한 프로세스 변수가 있는 제어 시스템과 물리적 프로세스를 다루고 있으며, 모두 잠재적으로 악용될 수 있습니다. 또한 설계상 안전하지 않은 레거시 구성 요소를 사용하고 있으며 패치할 기회도 제한되어 있습니다. AI가 없다면 일반적인 산업용 네트워크에서 네트워크 통신 및 프로세스 변수 데이터의 양을 평가하는 것은 불가능하며, 심각한 위협이 감지될 경우 피해를 방지할 만큼 충분히 빠르지도 않을 것입니다.
산업 환경과 중요 인프라를 보호하기 위해 Nozomi Networks 플랫폼에서 AI와 ML을 어떻게 활용하고 있는지 알아보세요.
산업 환경에서는 일반적으로 방대한 양의 네트워크 통신이 이루어지고 공격 표면을 구성하는 가변 데이터를 처리합니다. 시그니처 기반 탐지는 효율적이지만 문서화된 CVE와 같이 알려진 위협을 식별하는 데만 효과적이며, 지표가 쉽게 관찰 가능하고 잠재적인 일치 여부를 빠르게 식별할 수 있는 경우에만 가능합니다. 제로데이는 물론 위험을 초래할 수 있는 운영상의 이상 징후 등 알려지지 않은 위협을 탐지하는 유일한 방법은 환경 전반의 센서에서 수집한 데이터를 신속하게 분석하여 기준선과의 편차를 식별하는 것입니다.
사용자 환경에 처음 배포되면, Nozomi 네트워크 센서는 학습 모드에서 작동하여 구성 요소, 연결 및 토폴로지를 포함한 산업용 네트워크를 실시간으로 자동으로 검색합니다. 이 플랫폼은 장치 통신을 프로세스 수준 변수까지 모니터링함으로써 네트워크의 각 물리적 프로세스에 대한 정확한 내부 표현을 생성하여 모든 단계와 네트워크 장치, 프로세스 변수 및 단계 간의 상관관계를 식별합니다. 이러한 표현을 통해 프로세스의 각 단계에서 모든 디바이스의 예상 동작에 대한 상세한 프로필을 생성합니다.
지금까지 이 학습 프로세스는 관찰을 기반으로 한 순수한 행동 기준선입니다. Nozomi Networks 플랫폼은 또한 알려진 자산 행동을 설명하는 asset intelligence 추가하는 적응형 학습을 사용하여 프로파일을 보강하고 오탐을 줄입니다(아래 참조). 알려진 자산 행동에 기반한 행동 기반 탐지의 이러한 조합은 특히 제로데이 익스플로잇을 탐지하는 데 필수적입니다.
또한 동적 학습을 사용하여 네트워크에 대한 통계적 프로세스 제어 분석을 수행하고 표준 편차 1개를 초과하는 동작은 정상으로 간주되지 않아야 합니다. 환경을 보호하고 과부하를 피하기 위해 꼭 필요한 알림만 생성하도록 학습 매개변수를 수동으로 구성할 수 있습니다.
기준선이 설정되면 플랫폼은 휴리스틱과 행동 분석을 사용하여 환경을 지속적으로 모니터링하는 활성 모드로 전환됩니다. 그 결과 사이버 공격, 사이버 사고, 중요한 프로세스 변수 불규칙성 등의 이상 징후를 신속하게 탐지할 수 있습니다. 이 정보는 심각한 피해가 발생하기 전에 사이버 위협과 프로세스 사고를 예방, 억제 또는 완화하는 데 사용할 수 있습니다.
알림은 분석가와 운영자에게 설정된 기준선에서 벗어난 의심스러운 이벤트와 활동을 알려주는 동시에 설정된 임계값 이하의 정상적 비정상 활동을 필터링합니다. 예를 들어, 산업 공정의 디바이스가 시간이 지남에 따라 10개의 패킷을 전송하기 시작하면 큰 문제가 아니지만, 동일한 공정에서 수백 개의 패킷을 전송하기 시작하면 조사해야 할 사항입니다.
산업 및 중요 인프라 네트워크에는 일반적으로 프로세스를 모니터링하고 제어하는 수백 개의 공급업체에서 제공하는 수천 개의 OT 디바이스와 IoT 디바이스가 포함되어 있습니다. OT 및 IoT 자산의 정확한 최신 인벤토리를 생성하고 중요한 컨텍스트 정보와 함께 추적하는 것은 사이버 및 운영 복원력을 유지하고 취약성을 관리하며 완화 우선순위를 정하는 데 있어 기본이 됩니다. 이 작업은 수동으로 수행할 수 없습니다. 자동화된 자산 관리 솔루션이 필요합니다.
Nozomi Networks 플랫폼은 다양한 네트워크, 엔드포인트, 원격 및 무선 센서를 사용하여 네트워크에 연결될 때 자산을 자동으로 검색하고 자세한 컨텍스트 속성을 수집 및 검증합니다. 그런 다음 지속적으로 모니터링하여 사이버 사고나 프로세스 이상을 나타낼 수 있는 의심스러운 변화를 관찰합니다. 센서에서 파생된 OT 및 IoT 디바이스 프로필은 추가 세부 자산 정보로 더욱 강화됩니다. Asset Intelligence 피드를 통해 100%에 가까운 정확한 자산 인벤토리를 제공함으로써 항상 최신 상태로 유지됩니다.
Nozomi Asset Intelligence 데이터베이스는 수백만 개의 OT, IoT , IT 장치에서 수집한 데이터를 활용하여 비정상적인 행동에 대한 경고를 생성할 시기를 결정하고, "새로운" 또는 "다른" 행동이 위험하지 않은 시기를 파악하여 양성 비정상 행동으로 인한 경보의 양을 줄입니다. 자산에서 사용하는 MAC 주소 및 프로토콜과 같이 네트워크에서 볼 수 있는 속성 및 동작을 사용하여 데이터베이스에 있는 알려진 디바이스의 디바이스 동작 및 성능과 비교합니다. 일치하는 항목이 발견되면 알려진 디바이스의 속성과 동작이 디바이스 프로필에 추가됩니다. 그 결과 최대 50~70% 더 정확한 자산 분류가 가능해져 취약성 관리를 간소화하고 환경 내 오탐 경고를 줄이는 데 도움이 됩니다.
과중한 업무량, 인력 부족, 제한된 자동화, 경보 피로로 인해 보안 운영 센터(SOC) 팀원의 번아웃률은 악명 높은 것으로 알려져 있습니다. 보안 팀이 더 적은 인력으로 더 많은 일을 할 수 있도록 지원하는 AI와 ML이 맞춤형으로 제공되지 않는다면 특히 OT 보안과 같은 전문 분야에서 숙련된 사이버 보안 전문가가 심각하게 부족할 것입니다. 네트워크, 자산 및 경보 데이터를 검토하고, 상호 연관성을 파악하고, 우선순위를 정하는 데 시간이 많이 걸리는 작업을 자동화하여 실제 위협과 이에 대처하는 방법에 대한 의미 있는 인사이트를 제공합니다. 이전에는 팀원 한 명이 일주일에 한 번씩 해야 했던 작업을 이제 AI/ML에 전적으로 맡기지 않으면 한 사람이 하루 만에 처리할 수 있습니다.
Vantage IQ 는 Nozomi Networks 클라우드 기반 AI/ML 엔진입니다. 심층 신경망은 네트워크 데이터의 활동 패턴을 식별하고 즉각적으로 상호 연관된 경고를 기반으로 우선순위가 지정된 인사이트를 제공하며, 간소화된 조사와 효율적인 해결을 위해 근본 원인 정보를 지원합니다.
Vantage IQ 엔진은 환경을 지속적으로 분석하고 위험과 조건의 상관관계를 파악하여 조사해야 하지만 시간이 없을 수 있는 사항을 표시합니다. 이러한 인사이트는 사용자가 쿼리를 작성할 필요 없이 중요도에 따라 우선순위를 정하여 지속적으로 새로 고쳐진 목록으로 표시됩니다. 이러한 인사이트를 정기적으로 확인하면 간과하기 쉽지만 수정하기 쉬운 구성 변경 및 기타 항목으로 인해 발생하는 환경의 노이즈를 줄일 수 있습니다.
인공 지능과 머신 러닝(AI/ML)은 우리 삶의 모든 측면을 우리가 감당할 수 없을 만큼 빠르게 변화시키고 있습니다. 사이버 보안도 예외는 아니며, 실제로 사이버 보안은 AI/ML이 공격과 방어 모두에 어떻게 활용될 수 있는지, 그리고 그 자체가 매력적인 공격 대상이 될 수 있는지를 보여주는 대표적인 예입니다.
사이버 범죄자들의 진입 장벽이 낮아지면서 피싱, 딥페이크, 분산 서비스 거부(DDoS) 등 AI/ML을 이용한 사이버 공격이 증가하고 있습니다. 다형성 멀웨어와 지능형 지속 위협(APT)은 AI를 사용하여 성공적인 멀웨어의 새로운 변종을 생성하고 규칙과 서명을 회피합니다.
방어자 입장에서는 수십 개의 소스로부터 방대한 양의 데이터를 신속하게 분석하고 상호 연관시켜야 한다는 점이 AI와 ML의 주요 사용 사례입니다. 이러한 초인적인 능력은 자산 인벤토리 및 인텔리전스, 행동 기준선 설정, 이상 징후 및 위협 탐지, 이벤트 상관관계, 위험 우선순위 지정, 노이즈 감소 등 사이버 방어의 거의 모든 측면을 가속화하고 있습니다. 이들은 함께 티어 1 SOC 분석가와 다른 하급 직책의 필요성을 완전히 없앨 수 있는 잠재력을 가지고 있습니다.
산업 환경을 위한 AI 지원 사이버 보안은 이러한 모든 기능을 활용하지만, 보호해야 할 대상이 더 많고 공격의 위험도 더 높은 경우가 많습니다. 수천 개의 구성 가능한 프로세스 변수가 있는 제어 시스템과 물리적 프로세스를 다루고 있으며, 모두 잠재적으로 악용될 수 있습니다. 또한 설계상 안전하지 않은 레거시 구성 요소를 사용하고 있으며 패치할 기회도 제한되어 있습니다. AI가 없다면 일반적인 산업용 네트워크에서 네트워크 통신 및 프로세스 변수 데이터의 양을 평가하는 것은 불가능하며, 심각한 위협이 감지될 경우 피해를 방지할 만큼 충분히 빠르지도 않을 것입니다.
산업 환경과 중요 인프라를 보호하기 위해 Nozomi Networks 플랫폼에서 AI와 ML을 어떻게 활용하고 있는지 알아보세요.
산업 환경에서는 일반적으로 방대한 양의 네트워크 통신이 이루어지고 공격 표면을 구성하는 가변 데이터를 처리합니다. 시그니처 기반 탐지는 효율적이지만 문서화된 CVE와 같이 알려진 위협을 식별하는 데만 효과적이며, 지표가 쉽게 관찰 가능하고 잠재적인 일치 여부를 빠르게 식별할 수 있는 경우에만 가능합니다. 제로데이는 물론 위험을 초래할 수 있는 운영상의 이상 징후 등 알려지지 않은 위협을 탐지하는 유일한 방법은 환경 전반의 센서에서 수집한 데이터를 신속하게 분석하여 기준선과의 편차를 식별하는 것입니다.
사용자 환경에 처음 배포되면, Nozomi 네트워크 센서는 학습 모드에서 작동하여 구성 요소, 연결 및 토폴로지를 포함한 산업용 네트워크를 실시간으로 자동으로 검색합니다. 이 플랫폼은 장치 통신을 프로세스 수준 변수까지 모니터링함으로써 네트워크의 각 물리적 프로세스에 대한 정확한 내부 표현을 생성하여 모든 단계와 네트워크 장치, 프로세스 변수 및 단계 간의 상관관계를 식별합니다. 이러한 표현을 통해 프로세스의 각 단계에서 모든 디바이스의 예상 동작에 대한 상세한 프로필을 생성합니다.
지금까지 이 학습 프로세스는 관찰을 기반으로 한 순수한 행동 기준선입니다. Nozomi Networks 플랫폼은 또한 알려진 자산 행동을 설명하는 asset intelligence 추가하는 적응형 학습을 사용하여 프로파일을 보강하고 오탐을 줄입니다(아래 참조). 알려진 자산 행동에 기반한 행동 기반 탐지의 이러한 조합은 특히 제로데이 익스플로잇을 탐지하는 데 필수적입니다.
또한 동적 학습을 사용하여 네트워크에 대한 통계적 프로세스 제어 분석을 수행하고 표준 편차 1개를 초과하는 동작은 정상으로 간주되지 않아야 합니다. 환경을 보호하고 과부하를 피하기 위해 꼭 필요한 알림만 생성하도록 학습 매개변수를 수동으로 구성할 수 있습니다.
기준선이 설정되면 플랫폼은 휴리스틱과 행동 분석을 사용하여 환경을 지속적으로 모니터링하는 활성 모드로 전환됩니다. 그 결과 사이버 공격, 사이버 사고, 중요한 프로세스 변수 불규칙성 등의 이상 징후를 신속하게 탐지할 수 있습니다. 이 정보는 심각한 피해가 발생하기 전에 사이버 위협과 프로세스 사고를 예방, 억제 또는 완화하는 데 사용할 수 있습니다.
알림은 분석가와 운영자에게 설정된 기준선에서 벗어난 의심스러운 이벤트와 활동을 알려주는 동시에 설정된 임계값 이하의 정상적 비정상 활동을 필터링합니다. 예를 들어, 산업 공정의 디바이스가 시간이 지남에 따라 10개의 패킷을 전송하기 시작하면 큰 문제가 아니지만, 동일한 공정에서 수백 개의 패킷을 전송하기 시작하면 조사해야 할 사항입니다.
산업 및 중요 인프라 네트워크에는 일반적으로 프로세스를 모니터링하고 제어하는 수백 개의 공급업체에서 제공하는 수천 개의 OT 디바이스와 IoT 디바이스가 포함되어 있습니다. OT 및 IoT 자산의 정확한 최신 인벤토리를 생성하고 중요한 컨텍스트 정보와 함께 추적하는 것은 사이버 및 운영 복원력을 유지하고 취약성을 관리하며 완화 우선순위를 정하는 데 있어 기본이 됩니다. 이 작업은 수동으로 수행할 수 없습니다. 자동화된 자산 관리 솔루션이 필요합니다.
Nozomi Networks 플랫폼은 다양한 네트워크, 엔드포인트, 원격 및 무선 센서를 사용하여 네트워크에 연결될 때 자산을 자동으로 검색하고 자세한 컨텍스트 속성을 수집 및 검증합니다. 그런 다음 지속적으로 모니터링하여 사이버 사고나 프로세스 이상을 나타낼 수 있는 의심스러운 변화를 관찰합니다. 센서에서 파생된 OT 및 IoT 디바이스 프로필은 추가 세부 자산 정보로 더욱 강화됩니다. Asset Intelligence 피드를 통해 100%에 가까운 정확한 자산 인벤토리를 제공함으로써 항상 최신 상태로 유지됩니다.
Nozomi Asset Intelligence 데이터베이스는 수백만 개의 OT, IoT , IT 장치에서 수집한 데이터를 활용하여 비정상적인 행동에 대한 경고를 생성할 시기를 결정하고, "새로운" 또는 "다른" 행동이 위험하지 않은 시기를 파악하여 양성 비정상 행동으로 인한 경보의 양을 줄입니다. 자산에서 사용하는 MAC 주소 및 프로토콜과 같이 네트워크에서 볼 수 있는 속성 및 동작을 사용하여 데이터베이스에 있는 알려진 디바이스의 디바이스 동작 및 성능과 비교합니다. 일치하는 항목이 발견되면 알려진 디바이스의 속성과 동작이 디바이스 프로필에 추가됩니다. 그 결과 최대 50~70% 더 정확한 자산 분류가 가능해져 취약성 관리를 간소화하고 환경 내 오탐 경고를 줄이는 데 도움이 됩니다.
과중한 업무량, 인력 부족, 제한된 자동화, 경보 피로로 인해 보안 운영 센터(SOC) 팀원의 번아웃률은 악명 높은 것으로 알려져 있습니다. 보안 팀이 더 적은 인력으로 더 많은 일을 할 수 있도록 지원하는 AI와 ML이 맞춤형으로 제공되지 않는다면 특히 OT 보안과 같은 전문 분야에서 숙련된 사이버 보안 전문가가 심각하게 부족할 것입니다. 네트워크, 자산 및 경보 데이터를 검토하고, 상호 연관성을 파악하고, 우선순위를 정하는 데 시간이 많이 걸리는 작업을 자동화하여 실제 위협과 이에 대처하는 방법에 대한 의미 있는 인사이트를 제공합니다. 이전에는 팀원 한 명이 일주일에 한 번씩 해야 했던 작업을 이제 AI/ML에 전적으로 맡기지 않으면 한 사람이 하루 만에 처리할 수 있습니다.
Vantage IQ 는 Nozomi Networks 클라우드 기반 AI/ML 엔진입니다. 심층 신경망은 네트워크 데이터의 활동 패턴을 식별하고 즉각적으로 상호 연관된 경고를 기반으로 우선순위가 지정된 인사이트를 제공하며, 간소화된 조사와 효율적인 해결을 위해 근본 원인 정보를 지원합니다.
Vantage IQ 엔진은 환경을 지속적으로 분석하고 위험과 조건의 상관관계를 파악하여 조사해야 하지만 시간이 없을 수 있는 사항을 표시합니다. 이러한 인사이트는 사용자가 쿼리를 작성할 필요 없이 중요도에 따라 우선순위를 정하여 지속적으로 새로 고쳐진 목록으로 표시됩니다. 이러한 인사이트를 정기적으로 확인하면 간과하기 쉽지만 수정하기 쉬운 구성 변경 및 기타 항목으로 인해 발생하는 환경의 노이즈를 줄일 수 있습니다.