백서

I

사이버 AI 시대의 머신 러닝사이버 보안 및 Darktrace 고유 기술에 대한 머신 러닝 접근법 리뷰

백서

백서

1

개요: 사이버 AI 의 새로운 시대 사이버 보안의 새로운 시대가 도래했습니다. 오늘날 복잡한 디지털 환경에서는 기계가 기계에 대항해 싸우고, 고도의 공격자 및 범죄 집단은 어떻게든 정교하고 새로운 방법으로 범행을 자행하려고 합니다. 기업 네트워크에서는 이해관계에 따라 디지털 자산이 통제되고 있으며, 궁극적으로는 조직이 기능하는 능력을 통제하는 전쟁터가 되었습니다.

오늘날의 위험은 고전적인 시나리오의 데이타 도난 또는 웹사이트 해킹 뿐만 아니라 표면 아래에 조용히 도사리고 있습니다. 공격자들은 조용히 예고도 없이 다가오며 관리자가 알아차리지 못하게 데이터를 변경하거나 언제든지 활성화 시킬 수 있는 킬 스위치를 설치하고 있습니다. 사용자 정의 코드를 사용하여 파라미터의 경계선을 한 번만 교차하고 외부로 정보를 보내지 않는 이러한 위협을 찾아내는 것은 거의 불가능합니다.

이러한 새로운 현실에 반하여 레거시 보안 시스템은 실패를 겪고 있으며, 이들 중 다수는 소멸될 위기에 처해 있습니다. 이는 사이버 보안에 대한 기존의 접근법이 사전에 미리 정의된 위협에 기반하기 때문입니다. 알려진 위협만 감지하는 융통성 없는 접근법은 더 이상 생존할 수 없습니다. 새롭고 빠르게 확산되는 공격부터 자유롭게 행동하는 내부자에 이르기까지, 사물인터넷 장치 해킹부터 손상된 공급망에 이르기까지, 위협 환경은 예측할 수 없는 방식으로 진화하고 있으며 이에 사이버 방어에 대한 새로운 접근법이 시급하게 요구되고 있습니다.

사이버 방어를 위한 Darktrace AI 기술은 게임 체인저로써 빠르게 진화하는 위협 환경에 직면하여 지속적으로 회복력을 유지할 수 있도록 합니다.라즈베리 파이 (Raspberry Pi)

우리는 더 이상 사이버 공격의 대상이 데스크톱이나 서버로 국한된 시대에 살고 있지 않습니다. Darktrace 의 머신 러닝은 본격적인 전투가 시작되기 전부터 이에 맞서 싸우고 있습니다.시티 오브 라스베이거스 (City of Las Vegas)

이러한 새로운 패러다임 하에서 AI 기술은 기존에 보지 못했던 사이버 위협을 확인 및 무력화시킬 수 있습니다. 머신 러닝이 사이버 방어의 형태를 전환하는 힘을 가지고 있지만, 다양하고 역동적인 환경 속에서 실제 위협을 실시간으로 탐지하면서 사람의 개입 없이 대규모로 이루어져야 하는 도전 과제는 결코 만만한 일이 아닙니다..

Darktrace 는 다양한 디지털 기업 전반에 걸쳐 사용되고 입증된 최초의 사이버 방어용 AI 를 이용하여, 레거시 시스템만으로는 부족한 사이버 위협을 감지하고 전 세계적으로 자율 대응 분야를 선도하고 있습니다. 기계 학습 및 AI 알고리즘으로 이루어지는 Darktrace 의 '면역 체계' 기술은 전 세계 수천 여개에 이르는 조직에서 널리 이용되고 있습니다.

이 백서는 Darktrace 의 머신 러닝에 대한 접근법을 설명하며 비지도 학습, 지도 학습 및 세계를 선도하는 사이버 AI 기술 뒤에 숨겨진 딥 러닝 간 고유의 상호 작용 측면을 집중 조명합니다.

2

레거시 접근법오늘날의 사이버 위협은 계속해서 진보하고 있습니다. 일부는 자동화되어 빠르게, 또 다른 일부는 느리면서도 은밀하게 일어나고 있습니다. 반면, 네트워크는 나날이 복잡해지고 있습니다.

내외부적으로 연결되는 경우가 많아지면서, 모든 네트워크 활동을 추적하고, 가장 기본적인 보호 수준을 제공하는 파라미터 및 시그니처를 설정하는 일이 갈수록 어려워지고 있습니다. 네트워크 파라미터는 본질적으로 불필요해지는 반면, 사이버 위협은 전혀 예상치 못한 방식으로 진화하고 있습니다.

기존의 전통적인 패러다임을 따르는 방화벽, 엔드포인트 보안과 SIEM 및 샌드박스와 같은 도구 들은 특정 정책을 적용하기 위해 배포되고 알려진 위협에 대한 보호책만 제공합니다.

이러한 도구들이 조직의 전반적인 방어 태세에 나름의 역할을 하고는 있지만, 사이버 위협이 빠르게 진화하는 새로운 시대에서는 충분하지 않습니다. 네트워크가 확장되고, 고도화된 위협이 쉽게 이러한 통제를 우회함에 따라 일부는 더 이상 사용되지 않고 있습니다.

레거시 접근법의 한계 � 파라미터 통제는 시그니처, 규칙 및 휴리스틱에 의존적입니다. 진입점에서 공격을 차단하지 못하는 경우에는 주변 통제가 실패로 돌아가고 그 다음 조치를 취할 수 없습니다.

� 엔드포인트 보안은 시그니처 및 이전에 확인되었던 공격 탐지에만 의존하며, 보이지 않는 새로운 위협에는 제대로 대처하지 못합니다.

� 샌드박스는 최신 공격에 취약합니다. 최신 공격은 샌드박스가 가상의 공간에 있는 것을 인식하고 악성 활동 실행을 지연함으로써 샌드박스를 우회해서 침투합니다.

� 로그 및 SIEM 데이터베이스는 데이터를 전체 조직에 걸쳐 일관성 있게 수집하고 보안 팀의 위협 예측과 일치시키기 위해 과도한 수작업을 요구합니다. 또한 여기에 리소스가 집중되는 것 뿐만 아니라, 실력 있는 분석가가 없다면 보안팀은 잘못될 수 있는 모든 일의 가능성을 상상하는 것에 의존 할 수 밖에 없습니다.

� 일명 '행위 분석'은 새로이 발생하는 위협을 탐지 하지 못합니다. 특정 위치 또는 장치가 어떻게 행동'해야' 하는지, 그런 다음 어떻게 이상 활동을 찾는지에 대한 규칙을 기반으로 한 패러다임에 의존합니다. 이러한 접근법으로는 현대 비즈니스의 복잡성을 수용할 수 있는 확장성을 기대할 수가 없습니다.

결국, 레거시 시스템은 현대의 비즈니스 복잡성과 공격자 혁신에 의해 뒤로 밀려나게 되었으며, 다음과 같은 근본적인 제약 사항에 시달리게 되었습니다.

� 기존의 모든 공격에 대해 알고 있어야 합니다.

� 고객의 비즈니스 및 비즈니스별 규칙을 완벽하게 이해해야 합니다.

� 새로운 공격에 관한 고품질의 정보를 공유하는 완벽한 방식이 필요합니다.

� 향후 모든 공격 및 소프트웨어 약점이 어떤 형태일지 추측해야 합니다.

� 위의 내용 일체를 규칙 또는 통용되는 시그니처로 바꿀 수 있어야 합니다.

가장 중요한 점은, 레거시 도구가 솔루션을 제공할 수 있으려면 그 전에 일단 희생자가 필요하다는 것입니다. 예측이 불가능하고 빠르게 움직이는 공격의 시대에서 이러한 접근법은 결함이 많습니다.

행위 분석행위 분석은 상관관계에 의존하는 기법입니다. 예를 들어, 외부 포트 스캔 후 외부 시스템에서 일련의 로그인 시도가 실패하는 경우에는 상관 엔진이 해당 활동을 미심쩍은 것으로 판단할 수 있습니다.

그러나 대형 시스템에는 항상 어느 정도의 상관관계가 존재하고 있다는 사실이 치명적인 문제점으로 작용합니다. 더욱이 두 변수 간 상관관계는 인과 관계를 나타내는 것도 아니기 때문에, 시스템이 이 점을 이해하지 못한다면 거짓 상관관계가 필연적으로 발생합니다.

알려진 위협만을 찾아내도록 프로그래밍된 기존의 도구는 더 이상 충분하지 않습니다.헤리티지 에듀케이션 펀드 (Heritage Education Fund)

백서

3

최신 머신 러닝지도 학습현 시대에서 말하는 데이터 확산이란, 단지 비생산적이라는 의미가 아니라, 일반적인 기업 네트워크 내에서 분 단위로 생산되는 방대한 양의 정보를 인간이 꼼꼼하게 살펴볼 수 없음을 의미합니다.

머신 러닝은 복잡한 알고리즘 및 생산된 결과를 해석하는 데 아주 중요한 프레임워크가 요구되므로 개발 및 전달이 까다롭습니다. 제대로 적용되는 경우 이러한 접근법은 기계를 활용하여 논리적이고 확률을 기반으로 한 의사 결정을 내리면서, 사람들로 구성된 팀의 역량을 높이고 이전에는 상상할 수 없었던 통찰을 드러낼 수 있습니다.

가장 널리 적용되는 유형의 머신 러닝은 지도 학습으로써 다수의 상업 및 산업 부문에서 분류를 목적으로 이용되고 있습니다. 그 예는 다음과 같습니다:

� 결제 처리 기업은 최첨단 머신 러닝 기법을 이용하여 실시간으로 부당 결제를 확인할 수 있는 모델을 만들 수 있습니다.

� 온라인 비디오 서비스는 알고리즘을 이용하여 고객의 선호 사항을 이해하고 구독자에게 맞춤형 추천 사항을 제공합니다.

� 광고 회사는 브라우징 이력 분석을 활용하여 광고 배치를 결정하고, 마케터 단독으로는 성공할 공산이 크지 않았을 목표 의사 결정을 내릴 수 있습니다.

� 차량 내부에 설치된 컴퓨터는 방대한 양의 데이터를 생산하며, 엔지니어는 이러한 데이터 분석을 통해 고객이 실제로 차량을 어떻게 사용하는지 더욱 잘 이해하고, 향후 일어날 수 있는 부품 고장을 예측할 수 있습니다.

� 의료 분야의 경우, 데이터 수집 절차는 환자의 상태를 유심히 모니터링하고 문제점을 조기에 강조하여 심각한 상황으로 발전하는 위험을 감소시킬 수 있음을 의미합니다.

지도 학습은 사전에 분류된 데이터를 사용하며, 기계는 이 데이터를 활용하여 분류 시스템을 학습합니다. 행동을 잘 이해하고 분류 결정이 쉬운 경우에는 해당 시스템의 출력값이 아주 정확할 것입니다. 예를 들어, 몇 몇 경우에는 최첨단 이미지 분류 시스템이 사람의 능력을 능가하기도 합니다. 실제로 통계적 접근법을 통해 실생활에서 오류 및 노이즈를 다루는 법을 학습할 수 있다는 면에서 볼 때, 지도 학습은 굉장한 힘을 갖습니다.

따라서 지도 학습 시스템은 이전 지식을 기반으로 명쾌한 해답을 가장 잘 제공해 줄 수 있습니다. 예를 들어, 우리는 알려진 랜섬웨어의 예시를 시스템에 굉장히 많이 제공할 수 있고, 이 시스템은 해당 맬웨어에 대한 일반적인 지표를 학습하고 향후 유사한 공격을 감지할 수 있게 됩니다.

이와 유사하게, 일련의 이미지 내에서 '고양이'와 '개'를 구분하고자 하는 경우에는 지도 학습이 대단히 효과적인데, 이는 시스템 훈련을 위해 입력할 수 있는 알려진 고양이와 개의 사진 수가 이미 충분하여 새로운 유형의 고양이와 개가 새롭게 나타나는 일이 잘 없기 때문입니다.

그러나 지도 학습에서는 모델 파라미터가 훈련 데이터에 맞춰 너무 세밀하게 조정되는 과적합 (Overfitting) 문제가 흔히 나타납니다. 기계는 카테고리의 본질을 배우는 대신, 특정한 예시만을 학습합니다. 예를 들어, 셰퍼드를 분류 하도록 학습할 수 있지만, ‘개’라는 범주에 귀속되도록 하는 특징을 인식하지 못합니다.

딥 러닝 (Deep Learning)딥 러닝은 다층 형태의 상호 연결된 수학 과정을 활용하여 비선형 의사 결정 엔진을 만드는 지도 학습의 보편적인 부분만 추린 부분 집합입니다. 딥 러닝은 대체로 여타 다른 지도 학습 접근법을 능가하는 경향이 있는데, 이는 사람이 데이터가 무엇으로 구성되어 있는지 시스템에 알릴 필요가 없는 세계에 대한 훨씬 더 복잡한 표현이나 믿음을 다룰 수 있기 때문입니다.

이처럼 강력한 표현에는 대가가 따를 수밖에 없는데, 딥 러닝의 수학적 엔진 훈련이 가능하려면 각기 다른 자릿수의 계산력이 필요합니다.

딥 러닝은 입력 데이터, 예상 출력값 예시 및 알고리즘의 성공 여부를 자동으로 측정하는 방식을 충분히 이용할 수 있는 모든 컴퓨팅 전반에 걸쳐 기존의 알고리즘 접근법을 점점 더 많이 대체할 것으로 예상됩니다.

4

Darktrace 고유의 머신 러닝 접근법 조합지도 학습의 힘이 강력하기는 하지만, Darktrace 는 최초로 자기 학습 사이버 방어 플랫폼을 만들겠다는 비전으로 설립되었습니다. 지도 학습 대신에 비지도 학습은 이전에 볼 수 없었던 새로운 위협을 시스템이 발견할 수 있도록 하여, 본질적으로 불완전한 훈련 데이터 세트에만 의존하지 않았습니다. 기존의 공격과 관련한 데이터가 반드시 미래의 공격에 대한 보호막이 될 수 있는 것이 아닙니다.

이처럼 독특한 접근법을 바탕으로 세계를 선도하는 사이버보안 머신 러닝 시스템을 개발한 Darktrace 는 딥 러닝 기법을 활용하여 Darktrace 의 세계적인 사이버 분석가들이 지닌 특수 도메인 전문 지식을 계속해서 AI 엔진에 접목시키고 있습니다.

수천여 개에 달하는 실제 네트워크 환경에 광범위하게 배포된 이 새로운 기법은 점점 더 강력해지고 있으며, 신경망을 공급하고 비지도 학습의 힘을 더욱 보강하고 있습니다.

머신 러닝 & 사이버 보안사이버 보안에 대한 기존의 접근법은 이전에 알려진 공격과 유사한 활동 확인, 즉, 알려진 사실 (known knowns) 을 기반으로 합니다. 이는 알려진 악성 행위 데이터베이스가 생성되는 시그니처 기반 접근법으로 수행됩니다. 새로운 활동은 데이터베이스와 상호 참조되며, 일치하는 해당 활동은 위협으로 표시됩니다.

이러한 솔루션은 때때로 지도 학습을 기반으로 하는 방법을 이용하기도 하며, 이를 통해 시그니처 출력값을 분류할 수 있습니다. 이러한 지도 학습 접근법을 이용하는 시스템에는 각 입력값마다 구분되는 종류 중 하나로 분류되어 표시되는 훈련 데이터 세트가 제공됩니다.

정보 보안이라는 맥락에서 보았을 때, 시스템은 이전에 이미 보았던 행동 관련 데이터베이스를 이용하여 훈련되고, 이때 각 행동은 악성 또는 양성 활동으로 표시됩니다.

그 후 새로운 활동을 분석하여 악성 종류와 좀 더 일치하는지, 양성 종류와 좀 더 일치하는지 확인합니다. 또한, 이러한 사항을 충분히 평가하여 악성 활동일 가능성이 높은 것은 다시 위협으로 표시합니다.

전체적으로 지도 학습에 의존하는 시스템에는 다음과 같은 근본적인 약점이 있습니다:

� 이전에 보았던 행동에서 많이 벗어난 악성 행동은 악성으로 분류될 수 없으므로 감지되지 못한 채 통과됩니다.

� 사람이 직접 많은 양의 입력값을 훈련 데이터에 표시해야 합니다.

� 데이터가 잘못 표시되거나 또는 사람의 편견이 개입하게 되면 시스템이 새로운 활동을 정확하게 분류할 수 없습니다.

머신 러닝은 사이버 보안 산업에 있어 커다란 기회입니다. 새로운 머신 러닝 방법은 방대한 양의 수치적 분석을 가능하게 하며 이를 통해 위협 감지의 정확도를 상당 부분 개선시키며 네트워크 가시성을 향상시킬 수 있습니다. 또한, 기계 시스템은 진행 중인 위협에 대항하여 반격하는 방법 및 적절한 시기를 이해할 만큼 충분히 지능적이어서, 자율 대응이라는 새로운 시대의 도래를 알리고 있습니다.

Darktrace 를 통해, 사이버 보안에서 이야기만 되던 AI 가 실제화된 기술로 바뀌었습니다.오범 (Ovum)

백서

5

비지도 학습Darktrace의 비지도 학습은 상당히 중요한데, 지도 학습 접근법과는 달리 정답이 표시된 (Labeled) 훈련 데이타를 필요로 하지 않습니다. 대신, 사람이 직접 입력값을 입력하지 않아도 데이터상에서 주요 패턴 및 동향을 파악할 수 있습니다. 따라서 비지도 학습은 프로그래머가 이미 알고 있거나, 상상할 수 없는 단계까지 컴퓨터 프로세싱이 이루어지며, 이전에 알려지지 않았던 관계를 발견할 수 있습니다.

Darktrace 는 고유한 비지도 학습 알고리즘을 이용하여 방대한 네트워크 데이터를 분석하며, 보여지는 증거를 바탕으로 수십억 회에 달하는 확률 기반 계산을 수행합니다. 위협이라고 분류된 과거의 기존 지식에 의존하지 않고, 독자적으로 데이터를 분류하고 주목할 만한 패턴을 감지합니다. 이를 통해 장치, 사용자 또는 독립된 그룹과 관련하여 네트워크 전반에 걸쳐 ‘정상적인’ 행동에 대한 이해를 형성하고, 계속적으로 진화하는 ‘생활 패턴 (Pattern of Life)’ 에서 위협으로 발전 할 수 있는 변화를 탐지합니다.

Darktrace 머신 러닝의 핵심 원칙 � ‘현재’ 네트워크의 정상적인 활동을 학습합니다. 즉, 이전의 공격에 대한 지식에 의존하지 않습니다.

� 모든 고유한 장치 및 개인으로 이루어진 현대 비즈니스의 규모, 복잡성 및 다양성을 충족합니다.

� 이에 대한 공격자의 획기적인 방법에 대항합니다. 즉, 일반적이지 않은 활동 일체가 뚜렷하게 드러납니다.

� 확률론적 수학을 활용하여 행동에 관한 가정을 지속적으로 수정합니다.

� 항상 최신 상태를 유지하며 사람이 직접 입력하는 입력값에 의존하지 않습니다.

Darktrace의 비지도 학습이 사이버 보안에 미치는 영향은 획기적입니다. Darktrace 의 사이버 AI 기술은 다양한 위협원으로부터 지금까지 발견되지 않고 알아 차리지 못한 채로 지나가 버린 사이버 위협을 탐지 할 수 있는 능력을 빠르게 입증했습니다. 여기에는 다음 사항이 포함됩니다.

� 내부자 위협 – 악의적 또는 돌발적

� 제로데이 공격 – 이전에는 볼 수 없었던 새로운 공격

� 잠재적 취약점 – 주로 네트워크 가시성의 부재로 인해 발견되지 않은 음성적인 취약점

� 기계적인 속도의 공격 – 굉장히 빠른 속도로 전파 및 변형이 이루어지며, 인력에 의존하는 대응 메커니즘으로는 중단 및 무력화가 사실상 불가능한 랜섬웨어 및 기타 자동 공격

� 감지되지 않은 채 네트워크에 잠복해 있는 조용하고 은밀한 공격

토마스 베이즈 (Thomas Bayes)Darktrace 머신 러닝 접근법은 영국 수학자 토마스 베이즈 (Thomas Bayes, 1702–1761) 의 위대한 업적을 기반으로 하고 있습니다. 베이즈의 조건부 확률 이론은 객체와 개발된 방법 및 우리가 살고 있는 주관적 세상을 서로 연결해 주는 수학적 다리 역할을 합니다. 캠브리지 대학교 출신의 수학자들이 개발한 베이지안 이론에 대한 발전적인 접근법은, 모호한 대량의 데이터가 지니는 참값을 확인할 수 있는 필터를 제공해 줍니다.

Darktrace 는 베이지안 확률을 비지도 학습 접근법의 일부로 이용하여 Darktrace 만의 독특한 기술로 삼아 다음과 같이 활용합니다.

� 이전에 알려지지 않은 관계를 밝혀냅니다.

� 독자적으로 데이터를 분류합니다.

� 정상적인 것으로 간주할 수 있는 행동이 무엇인지 정의하는 강력한 패턴을 탐지합니다.

� 필요시에는 이전의 가정 없이도 통용됩니다.

머신 러닝은 우리가 예측 및 정의할 수 없는 것을 탐지할 수 있습니다. 집채만한 건초더미에서 바늘을 찾는 것과도 같습니다.스틸케이스 (Steelcase)

6

클러스터링 장치정상적인 행동을 모델링 하기 위해서, 하나의 디바이스의 행동은 네트워크상에 다른 유사한 디바이스들의 맥락과 함께 분석 됩니다. Darktrace 는 비지도 학습의 기능을 활용하여 알고리즘적으로 의미있는 디바이스들을 식별 및 클러스터링하며, 이는 작은 규모의 네트워크에서도 수동으로는 불가능한 작업입니다.

네트워크 내 전체적인 관계 이미지를 생성하기 위해 Darktrace 는 매트릭스 기반 클러스터링, 밀도 기반 클러스터링 및 계층적 클러스터링 기법을 포함한 다양한 클러스터링 방법을 이용합니다. 결과적으로 생성된 클러스터는 이후 모델링에 개별 장치의 규범 행동을 알리는 데 이용됩니다.

네트워크 토폴로지네트워크는 서로 다른 요소의 개별의 합 그 이상을 나타내며, 각기 다른 요소들이 관계를 맺으면서 형성하는 의미를 포함합니다. Darktrace는 다양한 수학적 방법을 이용하여 네트워크 토폴로지의 여러 측면을 모델링하며, 이를 통해 위협을 나타내는 미묘한 변화를 추적할 수 있습니다.

그 중 한 가지 접근법은 네트워크 내 중요한 연결 구조를 밝히는 반복 매트릭스 방법을 기반으로 하며, 진보된 페이지 랭킹 알고리즘에도 동일한 방식이 적용됩니다. 이와 더불어 Darktrace 는 통계 물리학 분야에서 혁신적인 모델 애플리케이션을 개발했으며, 이와 함께 Darktrace 는 네트워크의 ‘에너지 환경’ 모델링을 통해 위협의 첫 번째 증상을 나타내는 비정상적인 하부 구조를 나타낼 수 있는 통계 물리학 분야의 혁신적인 모델을 개발했습니다.

기술 개요사이버 방어에 대한 Darktrace 의 혁신적인 접근법은 캠브리지 대학교 수학자들이 개발한 확률론적 방법을 기초로 하고 있습니다. 다수의 비지도 학습, 지도 학습 및 딥 러닝 기법을 베이지안 프레임워크에 적용한 Enterprise Immune System 은 비정상적인 행동을 나타내는 굉장히 많은 수의 잘 들어나 보이지 않는 지표를 통합하여 위협 가능성이라는 뚜렷하고 단일한 측정값을 생산합니다.

각각의 독특한 환경에 대해 Darktrace 는 수백만 개의 서로 상관 관계가 있는 수학적 모델을 만들어 내며, 이는 오탐 없이 진짜 비정상적인 행동을 감지할 수 있도록 하는 연관성을 지닙니다. 규칙 기반 계산과는 달리, 확률론적 수학이 생산하는 결과는 ‘그렇다’ 또는 ‘아니다’로 간단히 범주화 될 수 없으나, 그 대신 역동적인 데이터 환경에 필연적으로 존재하는 모호함을 반영하여 확실성의 정도를 나타냅니다.

위협 순위Enterprise Immune System 은 네트워크 데이터를 특징짓는 미묘하게 다른 증거의 수준을 서로 구분함으로써 그 모호함을 명확하게 설명합니다. Darktrace 의 수학 알고리즘은 단순한 이진법의 '악성' 또는 '양성' 출력값을 생성하는 데 그치지 않고 잠재적인 위협에 대해 각기 다른 정도로 표시되는 출력값을 생성합니다. 이를 통해 시스템 사용자는 엄격한 방식으로 경보 순위와 긴급한 조치가 필요한것들의 우선 순위를 정하는 반면, 규칙 기반 접근법과 관련한 수많은 오탐 문제를 제거합니다.

그 중심에서 Darktrace 는 여러 번 측정한 장치의 네트워크 행동 값을 분석한 내용을 바탕으로 '정상적인' 행동으로 간주되는 것이 무엇인지 수학적으로 특징 지으며 다음 사항을 포함합니다.

� 서버 접근 권한

� 데이터 크기

� 이벤트 발생 시기

� 자격 증명 사용

� 연결 유형, 용량 및 방향성

� 업로드/다운로드 방향성

� 파일 유형

� 관리자 활동

� 리소스 및 정보 요청

백서

7

네트워크 구조역동적으로 진화하는 네트워크의 행동을 모델링하는 데 있어 더욱 중요한 문제점으로는 엄청난 수의 잠재적인 예측 변수를 꼽을 수 있습니다. 입력값 및 출력값이 서로 밀접한 관계가 있는 기능 (프로토콜, 소스 및 목적지 기계, 로그 변경, 규칙 트리거 등)을 포함할 수 있는 기업의 LAN 또는 WAN 내 패킷 트래픽과 호스트 활동을 관측하는 경우, 일관된 형태의 예측 기능을 학습하는 일이 매우 중요합니다.

이와 같은 맥락에서, Darktrace 는 대규모 최첨단 계산 접근법을 이용하여 L1-정규화 기법 (lasso method) 을 기반으로 한 네트워크 연결 모델의 구조를 이해합니다. 이를 통해 Enterprise Immune System은 네트워크의 다른 요소들 사이의 진정한 연관성을 발견 할 수 있습니다. 이는 해결 가능한 최적화 (Convex Optimization) 문제만큼 효율적일 수 있으며 간결한 모델을 산출합니다.

재귀베이지안 추정이러한 다수의 네트워크 행동을 분석한 내용을 조합해서, 네트워크를 구성하는 디바이스 상태를 하나의 종합적인 그림으로 나타내기 위하여, Darktrace 는 재귀 베이지안 추정 (RBE, Recursive Baysian Estimation)을 활용합니다. Darktrace 수학 모델은 시스템에서 새로운 정보를 사용할 수 있게 됨에 따라 RBE 를 이용하여 이를 지속적으로 조정할 수 있습니다. 새로운 데이터를 참작하여 위협 수준을 계속해서 재산정하는 Enterprise Immune System 은 기존의 시그니처 기반 방법에서는 혼란만 보이던 데이터 흐름에서 공격을 나타내는 핵심 패턴을 파악할 수 있습니다.

Darktrace & 딥 러닝또한, Darktrace 는 딥 러닝을 이용하여 모델링 프로세스를 강화합니다. 딥 러닝은 신경망으로 알려져 있는 적층 구조의 수학적 프로세스가 연속적으로 상호 작용하는 과정을 이용하는 머신 러닝의 부분 집합으로써, 지능형 시스템에 높은 수준의 통찰을 제공합니다. 다층 신경망은 특정한 위협의 탐지 및 복원을 개선할 수 있습니다. 기타 다른 머신 러닝 방법을 통해서는 추적하기 어려운 DNS 이상의 판별을 예로 들 수 있습니다. Darktrace 의 딥 러닝 시스템은 의심스러운 활동을 훨씬 더 빠르게 확인하려는 목적으로 장치의 모든 DNS 데이터에 점수를 부여합니다.

또한, Darktrace 는 이러한 디바이스들이 어떻게 작동하는지, 흔치 않은 패턴인 일련의 연속적인 위반 사례를 발견하거나, 또는 보다 높은 전체적인 수준에서 이상한 활동을 탐지하기 위해 지도 학습을 어떻게 이용하는지에 대한 이해를 바탕으로 디바이스들을 피어그룹으로 클러스터링 합니다. 예를 들어, 워너크라이 (WannaCry) 랜섬웨어는 Darktrace 가 쉽게 감지할 수 있었는데, 이는 다수의 각기 다른 ‘생활 패턴’ (Pattern of Life) 모델을 위반하기 때문입니다. 지도 학습을 이용하는 Darktrace 는 시간에 따라 사람이 해석한 장치 또는 네트워크에 대한 다양한 위반 행위 과정을 복제할 수 있으며, 따라서 다수의 활동 대신 상관 관계가 있는 경보를 표시합니다.

Darktrace 는 사람이 직접 데이타에 표시값을 붙일 (Labeled) 필요가 없는 환경에 관한 이해도를 한층 더 높이기 위해 지도 학습을 사용하기도 합니다. 예를 들어, 수백만 개의 스마트폰을 관찰함으로써 스마트폰의 종류와는 상관없이 보다 빠르게 새로운 장치를 ‘스마트폰’으로 판별하게 됩니다.

딥 러닝 및 지도 학습 기법을 이용하여 핵심 비지도 학습 알고리즘을 보완하는 Darktrace 는 네트워크 활동에 관한 독특하면서도 맥락 있는 지식을 구성하고, 위협 탐지를 개선하기 위한 글로벌 배포에 관한 통찰력을 통합합니다.

마지막으로, Darktrace는 딥 러닝 기법을 이용하여 조사 작업 흐름상 수행되는 반복적이며 시간이 소요되는 작업을 자동화합니다. 숙련된 사이버 분석가가 위협 시각화 (Threat Visualizer) 와 상호 작용하고, 경보를 분별하며, 제3자 소스를 활용하는 방법을 분석함으로써 이러한 전문가 행동을 분석하고 모사하여 특정한 분석가 기능을 자동화할 수 있습니다. 이를 통해 모든 분석가들이 전문적 수준에서 효율적이며 쉽게 조사를 할 수 있습니다. 또한, 보안 팀은 위험을 관리하고 보다 광범위한 비즈니스 개선에 집중하는 등 가치가 더 큰 전략적 업무에 집중할 수 있습니다.

8

결론우리 세대는 머신 러닝의 혁명을 목격하고 있습니다. 기계가 핵심 부분을 대체하고 있으며 반복적인 작업은 자동화되고 있습니다. 현재는 빅 데이터를 취급하며 대량의 계산이 가능한 기계가, 가치가 낮고 섬세한 작업을 대체하고 있습니다.

네트워크의 범위와 복잡성이 커짐에 따라 공격자가 그 갭을 활용할 수 있는 기회 또한 높아졌습니다. 방화벽은 더 이상 기업 네트워크를 보호하기에 충분하지 않으며, 규칙 기반 도구는 모든 공격 벡터를 따라잡을 수 없습니다. 지속적으로 진화하는 사이버 공격 환경은 우리에게 머신 러닝을 이용하여 환경을 이해하고, 노이즈를 필터링하며, 위협이 탐지된 곳에는 조치를 취하는 등의 탐지 능력 향상을 요구합니다.

캠브리지 대학교 출신 수학자들이 개발한 확률론적 베이지안 수학을 활용하는 Darktrace 는 머신 러닝 및 인공 지능 분야에서 세계를 선도하는 기업입니다. 비지도 학습, 지도 학습 및 딥 러닝 등 고유의 상호 작용은 Enterprise Immune System 에 힘을 보태고 있으며, 이를 통해 Darktrace 는 세계를 선도하는 사이버 방어 분야 AI 기업이 될 수 있었습니다.

이러한 새로운 패러다임 하에서, Darktrace 는 인력의 투입 없이, 또는 '나빠' 보이는 것에 관한 편견 없이, 다른 시스템에서는 놓치는 사이버 위협을 자율적으로 알아차리고 이에 대해 반격할 수 있는 독자적인 면역 체계를 구성할 수 있도록 합니다.

Darktrace 의 기술은 네트워크 규모를 파악하고 활동 수준을 관찰하며 잠재적인 약점 분야를 감지하려는 보안 팀에게 없어서는 안 될 필수적인 도구가 되었습니다. 약점을 더 이상 수동적으로 찾을 필요가 없으며, 자동 시스템에 의해 표시되고 중요도에 따라 그 순위가 표시됩니다.

머신 러닝 기술은 근본적으로 오늘날의 해커 및 내부자 위협으로부터 시스템을 방어하고, 알려져 있지 않은 사이버 공격을 공식적으로 대응할 방법을 만들어 내는 협력자입니다. 이는 사이버 보안의 중대한 변화 입니다.

Darktrace 안티제나를 이용한 자율 대응Darktrace 의 머신 러닝이 세밀한 수준에서 '생활 패턴' (Pattern of Life) 을 이해하기 때문에, 그에 따라 정상적인 활동에서 벗어난 특정한 이상 행위를 감지할 수 있으며, 또한, 진행 중인 공격에 대해 특유의 유일한 방식으로 자율적이며 적절하게 대응할 수 있습니다.

자율적으로 반격할 수 있는 권한을 최초로 기계에 부여한 Darktrace 안티제나는 면역 체계 내 항체와 같이 작용하여 장치 또는 사용자의 알려진 ‘생활 패턴’ (Pattern of Life) 을 강화하면서 위협을 무력화시킵니다.

Darktrace 의 핵심 비지도 학습 덕분에 안티제나는 스스로 학습할 수 있을 뿐만 아니라, 관찰한 데이터로부터 수동적으로 학습할 수도 있습니다. 예를 들어, Darktrace 안티제나가 자율 대응 조치를 생성하는 경우에는 피드백 강화 루프가 트리거됩니다. 네트워크에서의 결과적 행동이 차례로 분석되어 진단에 활용되고 추가 조치가 안내됩니다. 사람에 의한 강화 학습과는 달리, 해당 프로세스는 사람 운영자가 아닌 기계 자체에 의해 자율적으로 이루어집니다.

결정적으로, Darktrace 안티제나는 가장 비정상적인 사이버 이벤트에만 대응하여 정밀한 조치를 취할 수 있는 정확성이 입증된 비지도 학습을 기반으로 만들어졌습니다. 이러한 방식에 사용되는 머신 러닝은 사람의 능력을 대체하지는 않으나, 궁극적으로는 이를 강화하는 역할을 합니다. 안티제나는 사람보다 더 빠르게 반응하며, 필요한 경우 운영자에게 해당 사안을 캐치업하고 필요시 추가 대책을 취할 수 있는 소중한 시간을 벌어 줍니다.

Darktrace 는 사이버 보안에 대한 우리의 접근법을 완전히 바꾸었습니다. 자율 대응을 통해 저희 팀은 정말로 필요한 곳에 시간과 노력을 집중할 수 있습니다.캄파리 (Campari)

X

Darktrace 정보

Darktrace는 사이버 보안 업계에서 세계 최고 수준의 머신 러닝 회사입니다. 전세계 수천 개의 고객을 보유한 엔터프라이즈 면역 시스템은 실시간으로 사이버 공격을 탐지하고 대응합니다. 스스로 학습하는 머신 러닝은 내부자 위협, 랜섬웨어, 은밀하고 조용한 공격 등의 광범위한 사이버 위협 및 취약점으로부터 클라우드, SaaS, 기업 네트워크, IoT 및 산업 시스템을 보호합니다. 샌프란시스코와 영국의 케임브리지에 본사를 기반으로 한 Darktrace는 전세계에 800명 이상의 직원과 40개의 지사를 두고 있습니다.

연락처

북미: +1 (415) 243 3955

아시아 태평양: +65 6804 5010

대한민국: +82 2 6138 3436korea@darktrace.comdarktrace.com

@darktrace

Darktrace © Copyright 2019 Darktrace Limited. All rights reserved. 다크트레이스 (Darktrace) 는 다크트레이스의 등록 상표입니다. 기업 면역 시스템 (Enterprise Immune System) 및 위협 시각화 (Threat Visualizer) 는 다크트레이스의 등록 상표입니다. 본 문서상의 기타 상표는 해당 소유권자의 자산입니다.