Cortex XSIAM
지난 몇 년 동안 보안관제센터(SOC)의 요구사항은 변화했지만 SIEM과 SOC의 설계는 변하지 않았습니다. 보안 정보 및 이벤트 관리(SIEM) 카테고리는 수년간 보안 운영에 상당한 수작업 오버헤드와 보안 결과의 점진적인 개선이 더뎠던 분야입니다. 보안 아키텍처의 다른 주요 부분은 대부분 현대화되었습니다. 엔드포인트는 안티바이러스(AV)에서 엔드포인트 탐지 및 대응(EDR)으로, 확장 탐지 및 대응(XDR)으로, 네트워크는 '하드쉘' 경계에서 제로 트러스트 및 SASE로, 런타임은 데이터 센터에서 클라우드로 이동했습니다. 반면 SOC는 20년 전에 설계된 SIEM 모델로 여전히 운영되고 있습니다.
그림 1: 이제 SOC는 레거시 SIEM을 넘어 진화해야 할 때입니다.
이를 위해 SIEM 시장은 공급업체가 제품 및 솔루션의 중요한 변화에 투자할 유인이 제한되어 있어 발전 속도가 더디게 진행되어 왔습니다. 이러한 기술적 관성에는 다음과 같은 몇 가지 이유가 있습니다.
"보안 분석 플랫폼은 이러한 과제에 적용하는 데이터 집계 분야에서 10년 이상의 경험을 가지고 있지만, 아직 엔터프라이즈 규모에 충분한 IR 기능을 제공하지 못하기 때문에 기업은 다른 솔루션에 우선순위를 두어야 합니다."
- Allie Mellen, 선임 애널리스트, Forrester
그림 2: 사일로화된 도구로 조사 및 대응 속도 저하
사이버 보안에는 시급한 위협 개선 문제가 있습니다. 애플리케이션, 워크로드, 마이크로서비스, 사용자의 급속한 확산으로 인해 디지털 공격 표면은 보호할 수 있는 속도보다 더 빠르게 확장되었습니다. 이러한 현실의 부산물로 인해 탐지 및 예방 도구는 매일 잠재적으로 수천 건의 알림을 생성하게 되는데, 이는 보안팀이 효과적으로 처리할 수 있는 인력을 훨씬 초과하는 양입니다. 이러한 알림은 여러 연결되지 않은 출처에서 발생하므로 보안 분석가가 퍼즐을 맞춰야 합니다.
잠재적 위협을 분석하려면 일반적으로 다음과 같은 여러 단계를 거쳐야 합니다.
이러한 단계는 기존 SOC에서 완료하려면 많은 시간과 여러 도구가 필요하며, 이는 분류에 불과합니다. 그 결과 분석가들은 매일 접하는 가장 우선순위가 높은 알림을 처리할 시간만 확보할 수 있습니다. 한편, 당혹스럽게도 우선순위가 낮은 알림 중 상당수가 전혀 해결되지 않았습니다. 과거 사고 조사에 따르면 우선순위가 낮은 경보 모음은 실제로는 단일 공격의 일부이며, 기존 위협 탐지 플랫폼에서는 이를 인식하지 못하는 것으로 나타났습니다.
또한 경보 분류를 담당하는 보안 분석가는 공격이 조직에 미치는 실제 위험을 판단할 수 있는 충분한 컨텍스트가 없는 경우가 많습니다. 따라서 추가 검증을 위해 경보가 상위 그룹으로 에스컬레이션되어 더 많은 시간, 인력, 리소스가 필요하므로 모든 단계에서 비효율이 발생합니다. 사이버 공격자들은 우리가 신속하게 대응하지 못하는 점을 노리고 있지만, 대부분의 조직은 여전히 위협을 식별하고 해결하는 데 몇 시간, 심지어 며칠 또는 몇 달이 걸리고 있습니다.
우리의 약점의 핵심은 방대한 규모의 데이터를 방어에 충분히 활용하지 못한다는 점입니다. SIEM 솔루션은 경보 및 로그 관리를 용이하게 하기 위해 구축되었지만, 여기저기서만 볼트온 분석과 프로세스 자동화를 통해 사람이 주도하는 탐지 및 문제 해결에 크게 의존해 왔습니다. 오늘날의 위협에 대처하기 위해서는 AI를 사용하여 조직에서 사이버 보안을 운영하는 방식을 근본적으로 재구상해야 합니다.
최신 SOC는 진화하는 최신 IT 환경의 요구 사항을 충족하도록 설계된 새로운 아키텍처를 기반으로 구축되어야 합니다. 이 아키텍처는 유연하고 확장 가능하며 적응력이 뛰어나고 다양한 보안 도구 및 기술과 통합할 수 있어야 합니다. 전반적으로 디자인은 다음 사항을 제공해야 합니다.
기존 보안 운영과 달리 최신 SOC는 어제의 위협을 포착하기 위해 고안된 인간의 판단과 규칙이 아닌 방대한 데이터 세트에 대한 데이터 과학을 기반으로 합니다.
Palo Alto Networks는 기존 보안 솔루션의 위와 같은 한계를 해결하기 위해 많은 노력을 기울여 왔습니다. 따라서 우리 업계는 보안의 흐름에 앞서 나가기 위해 끊임없이 혁신해야 합니다. 확장된 보안 인텔리전스 및 자동화 관리인 Cortex XSIAM은 처음부터 구축된 AI 기반 아키텍처를 향한 중심축입니다.
이는 단순히 기계가 인간보다 더 나은 성능을 발휘하도록 설계된 영역에서 사이버 보안에 대해 생각하고 AI를 활용하는 방식에 있어 변곡점입니다. 이는 실시간에 가까운 탐지 및 대응으로 보안을 획기적으로 개선하는 미래의 자율 보안 플랫폼을 만들겠다는 비전의 총체입니다.
그림 3: 제품을 먼저 사용해 보는 Palo Alto Networks
XSIAM은 EDR, XDR, SOAR, CDR, ASM, UEBA, TIP 및 SIEM을 포함하여 동급 최고의 기능을 통합합니다. 보안 전용 데이터 모델을 기반으로 구축되고 전 세계 수만 명의 고객으로부터 수집한 Palo Alto Networks 위협 인텔리전스로 지속적으로 업데이트되는 XSIAM은 ML 주도 설계를 사용하여 방대한 양의 보안 데이터를 통합합니다. 그런 다음 자동화된 분석 및 분류를 위해 경보를 인시던트로 집계하고 대부분의 인시던트에 자동으로 대응하여 분석가가 사람의 개입이 필요한 소수의 위협에 집중할 수 있도록 합니다. XSIAM은 이미 운영 환경에서 검증된 솔루션으로, Palo Alto Networks 자체 SOC를 지원하며 매일 1조 건 이상의 이벤트를 소수의 분석 인시던트로 전환하고 있습니다.
Cortex XSIAM은 머신 인텔리전스 및 자동화의 힘을 활용하여 보안 결과를 획기적으로 개선하고 SecOps 모델을 혁신합니다. XSIAM은 엔드포인트부터 클라우드까지 엔터프라이즈 보안을 완벽하게 제어하여 데이터와 보안 기능을 중앙 집중화함으로써 위협을 능가하고 대응 속도를 높이며 분석가 및 SOC 팀 활동을 획기적으로 간소화합니다.
그림 4: Cortex XSIAM의 하이라이트: 모든 기능을 제공하는 단일 플랫폼
오늘날의 하이브리드 기업은 몇 년 전의 몇 배에 달하는 보안 데이터를 생성합니다. 그러나 일반적인 SOC는 여전히 데이터 사일로, 제한된 클라우드 가시성, 노후화된 SIEM 기술, 공격자가 이점을 악용할 수 있는 수작업 중심의 수동 프로세스를 기반으로 운영되고 있습니다.
분석가 인력을 늘리는 것만으로는 흐름을 막을 수 없으며, 툴을 추가해도 오늘날의 복잡한 SOC 아키텍처와 엔지니어링 유지 관리 부담을 더욱 악화시킬 뿐입니다. 최신 SOC는 분석가의 개입과 SOC 엔지니어링 오버헤드를 최소화하면서 엔드포인트에서 클라우드까지 대규모로 공격을 차단할 수 있는 지능형 머신 중심 모델로 전환해야 합니다.
Cortex XSIAM은 머신 인텔리전스 및 자동화를 활용하여 보안 결과를 획기적으로 개선하고 수동 SecOps 모델을 혁신함으로써 최신 SOC의 요구 사항을 해결하도록 설계되었습니다. 이 모델은 분석가가 비정상적인 행동과 이상 징후에 집중할 수 있도록 머신 러닝 데이터의 약속을 제공함으로써 SOC가 사후 대응이 아닌 사전 예방적 대응을 할 수 있도록 지원합니다.
XSIAM은 광범위한 기능을 전체적이고 작업 지향적인 SecOps 플랫폼으로 통합하여 SIEM 및 전문 제품을 대체하는 SOC 활동의 중심이 되도록 고유하게 설계되었습니다. 위협 탐지 및 대응을 핵심으로 하여 특별히 설계된 XSIAM은 보안 운영을 중앙 집중화, 자동화 및 확장하여 하이브리드 기업을 완벽하게 보호할 수 있습니다.
SecOps에 대한 인간 우선 접근 방식은 이미 오래 전에 벽에 부딪혔습니다. 현대의 SOC는 전례 없는 규모와 효율성으로 획기적으로 향상된 보호 기능을 제공하는 지능형, 기계 주도형, 인간 중심 보안 시스템으로 전환해야 합니다.
XSIAM은 최신 SOC를 위한 중앙 운영 플랫폼으로, EDR, XDR, SOAR, 공격 표면 관리(ASM), 위협 인텔리전스 관리(TIM), UEBA, SIEM 등의 동급 최강의 기능을 제공합니다. 하지만 XSIAM은 서로 다른 도구의 집합이 아닙니다. 대신 XSIAM은 작업 중심의 사용자 환경과 풍부한 인시던트 관리 흐름에 기능과 인텔리전스를 결합하여 활동과 컨텍스트 전환을 최소화하여 신속하고 정확한 공격 대응을 지원합니다.
XSIAM은 오늘날 보안 제품의 분석가 중심 모델에서 벗어나 지능형 자동화를 사용하여 운영 방식을 혁신적으로 개선했습니다. 데이터 온보딩에서 인시던트 관리에 이르기까지 XSIAM은 분석가 및 모든 SOC 담당자의 업무를 최소화하여 시스템이 수행할 수 없는 중요한 활동에 집중할 수 있도록 지원합니다.
오늘날 대부분의 SOC 팀은 제한적이고 사일로화된 데이터를 기반으로 운영되고 있으며, 이미 침해 사례의 1/3 이상에 관여하고 있는 유동적인 클라우드 및 인터넷 연결 리소스에 대한 가시성이 매우 부족합니다. 클라우드 보안 제품은 필수적인 보호 기능을 제공하지만 일반적으로 SOC 외부에서 독립적으로 운영됩니다. 하지만 SOC 팀은 완전한 엔드투엔드 보안을 중앙에서 모니터링하고 클라우드 자산과 관련된 수많은 인시던트를 조사할 수 있어야 합니다.
XSIAM은 엔드포인트부터 제공업체의 특수 클라우드 피드, 동적 워크로드, 클라우드 보안 제품에 이르기까지 모든 엔터프라이즈 보안 소스에서 인텔리전트 데이터 기반을 구축합니다. 이 시스템은 이러한 소스에서 심층적인 원격 분석 알림과 이벤트를 지속적으로 수집하고, 데이터를 자동으로 준비 및 보강하여 특정 소스와 킬 체인 전반의 행동 탐지에 특화된 풍부한 머신 러닝 분석을 지원하도록 조정된 보안 인텔리전스에 고유하게 연결합니다.
SIEM의 노후화된 데이터베이스 아키텍처, 관리 복잡성, 제한된 발전으로 인해 주변 전문 도구에서 혁신이 이루어져야 했습니다. 그 결과 데이터 파이프라인, 제품 통합, 지속적인 관리 문제가 발생하는 복잡하고 취약한 미로와 같은 SOC 아키텍처가 탄생했습니다.
XSIAM은 여러 도구를 통합하고 데이터 수집을 확장, 중앙 집중화 및 자동화하여 SOC 인프라를 간소화하고 엔지니어링 및 운영 비용을 크게 절감합니다.
최신 SOC 혁신의 핵심 요소는 보안 팀이 머신 러닝을 최대한 활용하여 보안 분야의 인력을 보강하고 보완할 수 있도록 하는 것입니다. 고급 분석과 AI는 팀이 중요한 보안 인사이트를 개발하기 위해 기업에서 방대한 양의 데이터를 처리하는 데 소요되는 시간을 크게 줄여줍니다. AI의 하위 집합인 머신 러닝은 클라이언트 환경의 학습 데이터를 사용하여 기계가 환경과 작업 성능에 대한 지식을 학습하고 개선할 수 있도록 합니다.
오늘날 머신러닝은 여러 데이터 소스에서 이상 패턴을 자동으로 감지하고 컨텍스트가 포함된 경고를 자동으로 제공함으로써 조사 속도를 높이고 기업 내 사각지대를 제거할 수 있다는 약속을 이행할 수 있습니다.
이는 양질의 보안 관련 데이터로 ML 모델을 학습시키고, 이를 사용하여 데이터 간 및 데이터 전반에서 패턴을 탐지하고, 프로세스를 테스트 및 개선하는 방식으로 작동합니다. ML 기술은 데이터를 수집, 통합, 분석하고 데이터를 심문하여 사람이 이러한 작업을 수행하는 데 필요한 시간과 지식을 줄일 수 있습니다. 또한 데이터에 포함된 여러 보안 계층에서 위협 컨텍스트와 증거를 찾아야 하는 SOC 팀의 어려움을 최소화할 수 있습니다.
지도 머신러닝 기술을 사용하여 데스크톱 컴퓨터, 메일 서버 또는 파일 서버와 같은 디바이스에서 디지털 마커를 판독한 다음 다양한 유형의 디바이스의 동작을 학습하고 비정상적인 동작을 탐지할 수 있습니다. 머신 러닝의 장점은 환경에서 일어나는 일에 대한 인과 관계를 추론하고 사람의 상호작용에 의존하지 않고 소프트웨어가 다음 단계를 지시할 수 있다는 점입니다. 예를 들어, 합쳐진 데이터 세트 내의 행동과 상호 작용만을 기반으로 나쁜 행동에 플래그를 지정하여 에이전트에 해당 행동을 포함하도록 지시하거나 방화벽에 해당 행동과 통신하지 않도록 지시하는 등의 명시적인 지침을 통해 네트워크의 나머지 부분에 결정을 전파할 수 있습니다.
XSIAM의 머신러닝이 제공할 수 있는 기능은 다음과 같습니다.
XSIAM의 핵심은 위협 탐지 및 대응이며, 사고 관리 흐름을 자동화한다는 점에서 XSIAM은 독보적입니다. XSIAM 분석은 기술 기반 인텔리전스를 제공하여 경보를 인시던트에 그룹화할 수 있으며, 관련 컨텍스트가 완전히 보강되어 있습니다. 내장된 자동화 및 인라인 플레이북은 지능적인 실행을 위해 분석 결과를 적용하여 가능한 경우 알림 또는 인시던트를 완벽하게 처리하고 종결합니다.
그림 5: 분석가 인시던트 관리 보기
분석가 인시던트 관리 보기는 자동으로 수행된 작업, 결과 및 남은 제안 조치에 대한 전체 요약을 제공합니다. 추가 조사 및 대응 활동이 필요한 경우, 분석가에게는 모든 분석 및 기능으로부터 드릴다운된 인시던트 타임라인과 광범위한 XSIAM 인텔리전스가 제공됩니다. 해결 및 대응 조치는 인라인 플레이북을 활용할 수 있으며, 관리형 엔드포인트의 경우 XSIAM은 강력한 라이브 터미널 액세스 및 포렌식 도구와 함께 원클릭 해결 조치 옵션을 제공합니다.
그림 6: MITRE ATT&CK 매핑, 관련 알림, 플레이북 상태, 알림 소스 및 아티팩트를 통해 인시던트에 대한 심층적인 컨텍스트를 확보하세요.
Cortex XSIAM은 진정한 SOC 플랫폼이자 기존의 멀티툴, 사람 중심의 SOC 운영 모델의 판도를 바꾸는 제품입니다. 레거시 SOC 모델을 사용하는 조직은 모두 기존 보안 아키텍처 및 관리에 대해 비슷한 어려움을 압도적으로 겪고 있습니다. 이러한 고통을 겪어본 보안 전문가들이 만든 것이 바로 Cortex XSIAM입니다. Palo Alto Networks 고객들이 보안 결과 문제를 해결할 방법을 찾는 데 영향을 받아 개발되었습니다.
그림 7: 운영을 중앙 집중화, 자동화 및 확장하여 조직 보호하기
| 주요 기능 요약 | |
|---|---|
|
데이터 온보딩 클라우드 아키텍처는 수백 개의 사전 구축된 데이터 팩, 표준 커넥터 유형, 간단하고 자동화된 구성 단계를 통해 온보딩, 모니터링 및 보고를 간소화합니다. |
위협 인텔리전스 관리 Palo Alto Networks 및 타사 위협 인텔리전스 피드를 관리하고 알림 및 인시던트에 자동으로 매핑합니다. |
|
인텔리전트 데이터 재단 모든 소스에서 심층적인 원격 분석, 알림 및 이벤트를 지속적으로 수집하고, 이를 자동으로 보강하여 통합 데이터 모델에 매핑하고, 이벤트를 머신 러닝 분석에 맞게 조정된 인텔리전스로 연결합니다. |
엔드포인트 보호 및 인텔리전스 완벽한 엔드포인트 에이전트 및 클라우드 분석 백엔드를 갖춘 통합된 통합 솔루션으로 SIEM 및 EPP/EDR 비용을 통합하여 엔드포인트 위협 방지, 자동화된 대응, 모든 위협 조사에 유용한 심층적인 원격 분석을 제공합니다. |
|
위협 탐지 분석 기술 기반 분석을 통해 수집된 모든 데이터에 전문 분석 및 행동 기반 탐지를 적용합니다. |
공격 표면 가시성 및 조치 내장된 ASM 기능을 통해 내부 엔드포인트 및 발견된 인터넷 연결 자산에 대한 취약성 알림을 포함하여 자산 인벤토리를 전체적으로 파악할 수 있습니다. |
|
자동화된 조사 및 대응 자동화된 기능과 지능형 인라인 플레이북을 통해 많은 작업을 자동 실행하고 분석가에게 사람의 조치가 필요한 작업을 완료하는 데 필요한 인텔리전스와 지침을 제공합니다. |
사용자 및 엔터티 행동 분석 머신 러닝과 행동 분석을 사용하여 사용자, 머신, 엔터티를 프로파일링하고 손상된 계정이나 악의적인 내부자가 의심되는 행동을 식별하여 경고하는 전문적인 ID 분석을 제공합니다. |
|
플레이북 및 오케스트레이션 강력한 SOAR(보안 오케스트레이션, 자동화 및 대응) 모듈 및 마켓플레이스와 함께 사용할 플레이북을 만들고 오케스트레이션합니다. |
네트워크 및 클라우드 분석 방화벽 이벤트, 클라우드 서비스 공급자 로그, 클라우드 보안 제품 알림 등 네트워크 및 클라우드 데이터의 이상 징후를 전문 분석으로 감지하고 경고합니다. |
|
Cortex 노출 관리 엔터프라이즈와 클라우드를 아우르는 AI 기반 우선순위 지정 및 자동화된 수정으로 취약성 노이즈를 최대 99%까지 줄입니다. |
Cortex 이메일 보안 업계 최고의 AI 기반 탐지 및 대응을 확장하여 가장 지능적인 이메일 기반 위협을 차단합니다. |
|
관리, 보고 및 규정 준수 중앙 집중식 관리 기능으로 운영이 간소화됩니다. 규정 준수, 데이터 수집, 인시던트 동향, SOC 성능 지표 등에 대한 보고를 지원하는 강력한 그래픽 보고 기능을 지원합니다. |
|
Cortex XSIAM의 최신 진화는 사후 대응적 사고 대응과 사전 예방적 보안 태세 관리를 통합하여 혁신적인 발전을 이루었습니다. XSIAM 3.0은 오늘날 기업에 영향을 미치는 가장 중요한 두 가지 위험 영역을 해결하기 위해 기능을 확장했습니다.
엔터프라이즈와 클라우드를 아우르는 AI 기반 우선순위 지정 및 자동화된 해결로 취약성 노이즈를 최대 99%까지 줄입니다. 취약점 관리에 대한 이러한 파괴적인 접근 방식은 무기화된 익스플로잇이 활발하게 발생하고 제어 기능이 없는 취약점에 집중하여 중요한 0.01%의 위협에 우선순위를 지정할 수 있도록 합니다.
Cortex 노출 관리를 사용하면 다음을 수행할 수 있습니다.
업계 최고의 탐지 및 대응 기능과 결합된 LLM 기반 분석으로 지능형 피싱 시도와 이메일 기반 공격을 차단하세요. 이메일은 2030년까지 50억 명의 사용자에게 도달할 것으로 예상되는 주요 커뮤니케이션 도구이며 전체 보안 사고의 1/4을 차지할 것으로 예상되는 만큼, 이 기능은 다음과 같은 기능을 제공합니다:
이러한 기능을 전 세계에서 가장 까다로운 수백 개의 SOC 환경을 성공적으로 보호해 온 통합 데이터, AI, 자동화 플랫폼에 통합함으로써 XSIAM 3.0은 보안 운영을 사후 대응형 사고 대응에서 현재와 미래의 모든 위협 벡터를 처리할 수 있는 사전 예방적 사이버 방어로 전환합니다.
업계 최고의 사이버 보안 전문가가 기술 전문 지식, 전문 서비스, 운영 프로세스를 적용하여 배포를 최적화하고 보안 투자를 극대화할 수 있도록 지원합니다.
그림 8: 글로벌 고객 서비스에서는 XSIAM을 위한 다양한 지원 및 서비스 옵션을 제공합니다.
XSIAM 배포 서비스를 통해 Cortex XSIAM 기능의 채택을 확대하고 가치 실현 시간을 단축할 수 있습니다.
주요 이점:
SOC 혁신 서비스는 조직이 보안 운영 센터를 구축 및 개선하여 보안 사고에 신속하고 효율적으로 대응하고 프로세스를 쉽게 자동화할 수 있는 프레임워크를 제공합니다.
주요 이점:
프리미엄 고객 성공은 지속적인 안내, 원활한 조정 및 프리미엄 기술 지원을 제공합니다.
주요 이점:
이러한 서비스에 대한 자세한 내용은 서비스 영업팀에 문의하세요.
최신 XSIAM 리소스에 액세스하세요.
XSIAM 제품 페이지 방문하기
XSIAM이란 무엇인가요?
XSIAM 개인 데모 요청하기
15분 분량의 동영상에서 XSIAM의 작동 방식 보기
來自真實 Cortex XSIAM 客戶的實際結果
