View
0
Download
0
Category
Preview:
Citation preview
© 2017 IBM Corporation
윤영훈 팀장IBM Security
인공지능과 보안의접목,활용을 통하여스피드,정확성,통찰력확보하기
9 Nov 2017
© 2017 IBM Corporation
인공지능의 역사
History of AI
Alan Turing:Church-Turing
thesis, 디지털 컴퓨터를 사용하여공식적인 추론의 과정을시뮬레이션 함으로써 전자 두뇌를구축 할 수 있는 가능성을 설명
1956, John McCarthy, Marvin
Minsky, Allen Newell, Arthur
Samuel and Herbert Simon at
Dartmouth Uinv.
1960 년대에는 미국 국방부의투자와 전세계적으로 많은연구소가 설립되었으나 지나친낙관론이 복잡한 문제에 직면하자실망으로 변함.
1940s-1970s
https://en.wikipedia.org/wiki/Artificial intelligence
인간 전문가의 지식과 분석기술을 시뮬레이션한 Expert Systems의 상업적 성공에 힘 입어AI 붐이 다시 살아남. 1985 년 AI 시장은 10 억 달러를 넘어섬.
동시에 일본의 5 세대 컴퓨터프로젝트는 미국과 영국 정부가학술 연구를 위한 기금을복원하도록 고무시킴.
그러나 1987 년 LISP Machine 시장이 붕괴됨에 따라 AI는 다시한 번 평판을 잃고 두 번째로 오래지속되는 냉각기에 접어듬.
1980s
1) 컴퓨팅파워의 증가, 2) 수학적방법과 과학적표준에대한 새로운 시도3) 특정 문제해결을 지향, AI는 물류, 데이터 마이닝, 의료진단 및 기타 분야에 사용되기시작함.
1997 년 IBM Deep Blue는 세계체스 챔피언과의 대결에서 승리한최초의 컴퓨터 체스 게임시스템으로 기록됨.
1990s
인터넷, 모바일, 클라우드는심층적 인 학습, 기계 학습 및인식의 발전을 주도하는 훨씬많은 양의 데이터 및 컴퓨팅리소스에 대한 액세스를 가능하게함. IBM Watson은 2 명의 Jeopardy 챔피언을 큰 차이로 물리침. Siri는 지능형 개인 비서를 스마트폰에 제공
2016 년 3 월, AlphaGo는이세돌9단과의 바둑대결에서 승리
2010s
© 2017 IBM Corporation 3Page
AlgorithmsData
(Knowledge)
Computing
Power
Natural Language Understanding
Speech RecognitionImage Recognition
Machine Learning(supervised/unsupervised)Support Vector Machine
Deep LearningNeural Network
Bayesian Network
Genetic AlgorithmsGraph Theory
Structured DataNumerical Data
Unstructured DataText, Image
Speech, Video
Curated Data(Knowledge)
Machine Generated DataSensor Data
‘True North’
1960-2010Storage Density 10*8
Computing Efficiency 10*11
1995-2015Wireless bandwidth 10*7
인공지능 발전의 동력
© 2017 IBM Corporation
AI vs IA
AI is Artificial Intelligence,
or intelligence in machines
(smart machines)
IA is Intelligence Augmentation, or
people thinking and working together with smart machines.
IA is what we calls “Cognitive Computing”
© 2017 IBM Corporation
MAN vs. MACHINE
체스 챔피언게리 카스파로프
딥블루
체스전용 슈퍼컴, 하이드라대학생2명 + 노트북3대
© 2017 IBM Corporation
코그니티브 컴퓨팅의 기반 – 이해, 추론, 학습
이해 (Understanding)
코그니티브 시스템은 사람과 같이 이해를하는데, 자연어, 즉 기술된 단어, 음성이나때로는 보여지는 것에 대해 이해함
추론 (Reasoning)
코그니티브 시스템은 정보를 이해할 뿐만아니라 기저에 있는 맥락을 이해할 수 있음
이러한 추론 능력은 지속적으로 나아질 수
있음
이는 어릴 적 산수 문제를 풀다가 수학을접하고 최종적으로는 기하학, 대수학 등의더 어려운 수학 문제를 푸는 것과 같음
학습 (Learning)
학습은 중단되지 않으며 기술적인측면에서의 코그니티브 시스템은 시간이지남에 따라 점점 더 가치를 지니게 됨
코그니티브 시스템은 전문가를 지향하는데, 전문가의 본질이라 함은 정답을 맞추는것에만 있지 않고, 추론을 통해 결론에도달한 과정을 명확하게 제시할 수 있음을의미함
© 2017 IBM Corporation
머신러닝 기반 데이터접근 이상행위 분석
• Anomaly hours flagged
red or yellow
• Click bubble for Outlier view
© 2017 IBM Corporation
User Behavior Analytics
SHARED UNDER NDA
Behavioral profiling Predictive analytics
Business context Threat Intelligence
위험한 사용자 식별계정 탈취, 불만을품은직원,
멜웨어방지조치
간소화된 사건 조사위험한사용자 행동및 활동 내역에대한즉각적인통찰력
빠른 가치 실현사용자행위 분석 앱의신속한구현 및기 수집된보안관제시스템 데이터활용
내장된 분석 기능사용자행위의 Baseline 및 이상 분석을사용하여수십 명의사용자 활동분석
© 2017 IBM Corporation
Watson for Cyber Security
Billions ofData Elements
X-Force Exchange
Trusted partner feed
Other threat feeds
Open source
Breach replies
Attack write-ups
Best practices
Course of action
Research
Websites
Blogs
News
Massive Corpus
of Security Knowledge
Millions ofDocuments
STRUCTURED DATA UNSTRUCTURED DATA WEB CRAWLER
5-10 updates / hour! 100K updates / week!
2.3M security documents 10B+ security data elements 80k+ documents read per day
Watson for Cyber SecuritySEE THE BIG PICTURE
“QRadar Advisor enables us to truly
understand our risk and the needed
actions to mitigate a threat.”
ACT WITH SPEED & CONFIDENCE
“The QRadar Advisor results in the enhanced
context graph is a BIG savings in time versus
manual research.”
© 2017 IBM Corporation
QRadar Advisor in Action
1. Offenses
5. Research results
Knowledge
graph
4. Performs threat
research and
develops expertise
3. Observables2. Gains local context
and forms threat
research strategy
Offensecontext
Deviceactivities
Equivalencyrelationships
6. Applies the intelligence
gathered to investigate
and qualify the incident
QRadar
Analyzed Security
Events
© 2017 IBM Corporation
Watson이 적용된 어플리케이션 취약점 분석
▪ 98.91% 오탐감소
▪ “예기치 않은 공격 시나리오” 최소화
▪ 복수의 취약점을 해결할 수 있는수정 권고 제공
개발 초기 그리고 반복적인 취약점분석은 교정 비용 절감
지적 분석과 기계학습을 적용한 분석
학습된결과
• 스캔 결과의 자동화 분석/검토
• 보안 전문가에 의하여 훈련됨
취약점 분석 결과
Real-World Applications
ScanFindings
IFAVulnerabilities
Fix Groups
Application 1 12k 1k 35
Application 2 247k 1.2k 103
Application 3 746k 483 42
© 2017 IBM Corporation
Endpoint 보안에 인공지능의 접목
Follow Through Actions
Automatically generated Insights provided contextually to Administrator
Data Sources: MaaS360 data captured from device and aggregated for customer & community; Third Party Sources – Structured & Unstructured
✓ 생산성 및 보호 향상을 위한 실행 가능한 통찰력 제공
✓ 컨텍스트 기반 베스트 프랙티스 및 권장 사항 사용 가능
✓ 벤치 마크, 모범 사례 및 새로운 기능을 기반으로 향상된 방법의 발견
© 2017 IBM Corporation
사례 - Sogeti Luxembourg
Business challenge Cognitive transformation Benefits & results
• 사이버위협을막는열쇠는공격자보다앞서있는것입니다. 보안데이터분석가가상황을보다빨리파악할수있게되면더빨리최상의판단을내리고보안위협에대응하기위한최선의방법을사용할수있습니다.
• Cognitive Technology를이용한보안솔루션을 활용하여 위협의식별, 분석 및 해결을 가속화하는시범 프로그램에 참여
• 보안 데이터 분석에 대한인공지능 기술의 잠재적영향을 테스트하기 위해 Sogeti
Luxembourg는대형 보험고객과 협력하여 실제환경에서 Watson 플랫폼으로IBM QRadar Advisor를테스트하는 베타 프로그램을진행
• 이 플랫폼은 사이버 보안기술을 위한 IBM Watson과IBM QRadar SIEM 기술의보안 이벤트 분석 기능을결합합니다.
• Reduced 위협 조사 및 근본 원인분석주기를 3 시간에서 3 분으로단축
• 오탐 (false positive)을 정확하게식별 할 수 있는 직원의 능력 향상
• SOC 직원이 보안 위협을 신속하게격리하고 대응함으로써 보안 사고의영향을 최소화하도록 지원
© 2017 IBM Corporation
사례 – 인공지능과 보안의 접목
•출발점 : 외부 IP 주소에 대한 장기간의 Network Flow연결을 감지하여 경보를 발생
•수동 분석 : 여러 분석가가 자체 분석을 수행했습니다. 다양한 분석방범과 PC 스캔을 수행했으나 악성 활동에대한 결론을 도출하지 못함
•Advisor with Watson 분석: 보안 경보에 대해서 수명주기동안 여러 번 재 조사했습니다. Watson의 통찰력은 악성 IP 및 Botnet C&C와 연결된 도메인 및 관련 URL을 제공하여고객이 이러한 공격으로부터 네트워크상의 감염 활동을나타내는 호스트를 찾도록 함.
Suspicious Low/Slow Activity
© 2017 IBM Corporation
사례 – 인공지능과 보안의 접목
Manual investigation time: 60 minutes
Conclusion: True security incident
• Revealed connections from inside the organization to
outside, through DNS protocol.
• However, unsure of the nature of the compromise.
Subsequent Analysis: L2 Experts arrive at similar
conclusion: many IoC on our Threat Intelligence platform,
but unsure of the adversaries.
23 January 2017 – CONFIDENTIAL Watson & QRadar Use Case
SOPRA STERIA CybSec
© Sopra Steria Group, 2017 / Ref.: minutes.docx – Antonin HILY
11/13
Advisor with Watson investigation time: 3 minutes
Conclusion: A number of internal hosts have been
compromised with verified communications with a
recognized Command and Control (C&C) domain.
• Indicators of the compromised hosts
• Indicators of the C&C domain
• Malicious file used to compromise internal systems
Incident Qualification
© 2017 IBM Corporation
사례 – 인공지능과 보안의 접목
Ransomware InfectionManual investigation time: 3 hours
Conclusion: Validated ransomware infection
• Confirmed connections from inside the organization to outside
hosts
Subsequent Analysis: L2/3 Experts arrive at similar conclusion
through manual process. Same IoC set determined via
investigation.
Advisor with Watson investigation time: 15 minutes
(12x Improvement)
Conclusion: An internal host has been compromised
with ransomware with verified communications to a
recognized Command and Control (C&C) IP Address.
• Indicators of the compromised hosts
• Indicators of the CnC domain
• Malicious files used to compromise internal systems
Ransomware Infection
© 2017 IBM Corporation
인공지능 기반 보안 체계 수립의 고려사항
Understand why
and what you
need
Improve your
approach to data
Verify technology
foundations
Plan deployment
and adoption
Determine need and
value
Assess maturity
Identify where to start
Champion a new
culture
Understand your data
situation
Take a holistic
approach
Have the right team
Invest in data up front
Confirm and prepare
the right IT
environment
Plan your initial
implementation
Don’t underestimate
training the cognitive
system
Incent adoption
Build multidisciplinary
teams
Link insights to action
Plan for continuous improvement
ibm.com/security
securityintelligence.com
xforce.ibmcloud.com
@ibmsecurity
youtube/user/ibmsecuritysolutions
© Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express
or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of,
creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these
materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and / or capabilities referenced in these materials may
change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, and
other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks
or service marks of others.
Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise.
Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or
product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are
designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective.
IBM DOES NOT WARRANT THAT ANYSYSTEMS, PRODUCTS OR SERVICES ARE IMMUNE FROM, OR WILL MAKE YOUR ENTERPRISE IMMUNE FROM, THE MALICIOUS OR ILLEGAL CONDUCT
OF ANY PARTY.
FOLLOW US ON:
THANK YOU
Recommended