산업 성과: 자금 지원이 충분한 SOC의 분석가들은 데이터를 분석하는 것보다 쿼리하는 데 더 많은 시간을 할애하는 경우가 많습니다. 조사 병목 현상은 전문성 부족이 아니라, 전문성에 필요한 데이터를 취합하는 데 걸리는 시간입니다.
작성자: 테일러 케인
사용 사례
SOC 효율성 및 인시던트 조사 인텔리전스
보안 운영 지표는 지난 10년간 더욱 정교해졌습니다. MTTD, MTTR, 오탐률, 분석가 활용도 — 보안 운영 센터의 운영 성과는 이제 다른 비즈니스 기능과 마찬가지로 엄격하게 측정됩니다. 이러한 지표를 분석하면 일관된 패턴이 나타납니다. 즉, 분석가 시간의 불균형적인 양이 분석보다는 데이터 취합에 사용됩니다.
의심스러운 경고를 조사하는 분석가는 여러 소스에서 로그 데이터를 가져오고, 사용자 ID 기록을 교차 참조하고, 관련 시스템의 자산 정보를 확인하고, 관련 엔터티에 대한 이전 경고를 검토하고, 소스 전반에 걸쳐 타임라인 데이터를 상호 연관시켜야 합니다. 각 데이터 가져오기는 다른 쿼리, 다른 시스템, 다른 구문을 필요로 합니다.
보안 운영 리더들은 이 문제를 해결하기 위해 SIEM 플랫폼, SOAR 자동화 및 위협 인텔리전스 통합에 투자했습니다. 이러한 투자는 실질적인 개선을 가져왔습니다. 그들이 해결하지 못한 것은 근본적인 데이터 파편화 문제입니다. 즉, 조사와 관련된 질문에 대한 신뢰할 수 있는 버전을 얻기 위해 서로 통신하도록 설계되지 않은 시스템 간에 데이터를 조인해야 할 때, 분석가가 통합 계층이 됩니다.
인시던트에 대해 어떤 질문이든 하고 몇 초 안에 답을 얻을 수 있는 레벨 2 분석가는 그림의 각 조각을 얻기 위해 세 가지 시스템을 쿼리해야 하는 분석가보다 5배 더 많은 분석을 수행합니다.
Genie는 Lakewatch 내에서 에이전트 인터페이스 역할을 하며, Anthropic Claude 모델의 고급 추론을 활용하여 에이전트 기반 보안 운영을 제공합니다. Claude의 추론 기능을 통합함으로써 Lakewatch는 보안, IT 및 비즈니스 데이터 전반의 복잡한 신호를 몇 초 만에 상호 연관시킬 수 있습니다. 이를 통해 분석가는 데이터를 검색할 뿐만 아니라 조사의 맥락을 이해하여 수동 워크플로우보다 훨씬 빠르게 고신뢰 위협을 찾아내는 방어 보안 에이전트를 배포할 수 있습니다.
Genie는 Lakewatch 내에서 에이전트 인터페이스 역할을 하며, 분석가가 사람이 개입하는 방식에서 사람이 주도하는 방식으로 전환할 수 있도록 합니다. 복잡한 SQL을 작성하거나 독점 검색 언어를 배우는 대신, 분석가는 Genie를 사용하여 페타바이트 규모의 데이터를 몇 초 만에 탐색, 요약 및 교차 참조할 수 있는 자율 에이전트를 조율합니다.
Genie는 보안 운영 팀이 전체 보안 데이터 환경에서 자연어로 조사 질문을 할 수 있도록 합니다. 분석가는 다음과 같이 질문할 수 있습니다. '지난 7일 동안 사용자 X의 모든 인증 이벤트, 액세스한 시스템, 민감한 데이터 저장소의 관련 파일 액세스 이벤트, EDR의 관련 경고를 보여주세요.' 이러한 조사 종합 결과는 단일 대화형 응답으로 나타납니다.
MTTD를 줄이는 것은 단순한 목표가 아니라 생존 요건입니다. Databricks의 공동 창립자이자 CEO인 Ali Ghodsi가 RSA 기조연설에서 강조했듯이, 우리는 위협 환경에서 엄청난 세속적 변화를 목격하고 있습니다. 제로데이 클록은 2018년에 CVE에서 무기화된 익스플로잇까지 평균 2년 이상이 걸렸음을 보여줍니다. 오늘날 그 기간은 단 1.3일로 단축되었습니다.
이 1.3일의 익스플로잇 기간은 레거시 SIEM의 '아키텍처적 막다른 길'입니다. 최근 데이터에 따르면 평균 침해 탐지 시간이 극적으로 단축되었지만, 이 평균은 가시성 격차로 인해 몇 달 동안 탐지되지 않은 정교한 위협의 '긴 꼬리'를 종종 가립니다. 인간 혼자서는 이러한 무기화 속도를 따라갈 수 없습니다. 우리는 어디든 공격하는 AI 에이전트 무리에 직면해 있으며, 방어자들은 여전히 수동 워크플로우와 데이터의 최대 75%를 버리도록 강요하는 '보안 세금'에 제약을 받고 있습니다.
지표 | 전체 이름 | 정의 | 비즈니스 중요성 |
MTTD | 평균 탐지 시간 | 보안 도구 또는 팀이 잠재적인 보안 인시던트를 식별하는 데 걸리는 평균 시간입니다. | 중요: 높은 MTTD는 공격자가 자유롭게 활동할 수 있는 "가시성 격차"("긴 꼬리" 문제)를 나타냅니다. |
MTTR | 평균 응답 시간 | 경고가 트리거된 시점부터 초기 응답 또는 완화가 시작되는 시점까지의 평균 시간입니다. | SOC 민첩성과 자동화된 플레이북의 효율성을 측정합니다. |
MTTC | 평균 격리 시간 | 위협을 격리하고 네트워크 전반으로 더 확산되는 것을 방지하는 데 걸리는 평균 시간입니다. | "폭발 반경" 및 잠재적인 데이터 유출을 제한하는 주요 지표입니다. |
MTTI | 평균 조사 시간 | 분석가가 경고를 확인하고 근본 원인 및 범위를 결정하는 데 소요되는 평균 시간입니다. | 파편화된 시스템 간의 수동 데이터 조인으로 인해 발생하는 "분석가 병목 현상"을 강조합니다. |
떼를 상대하려면 떼가 필요합니다. Lakewatch와 Genie는 근본적인 변화를 나타냅니다. Lakewatch는 데이터가 있는 곳에서 탐지, 분류 및 조사를 자동으로 수행하는 방어 에이전트 무리를 배포합니다. 우리는 인간 속도의 분류에서 기계 속도의 방어로 전환하고 있으며, 방어자가 기업 전반에 걸쳐 자율 방어를 조율하도록 주도적인 위치에 놓습니다.
DATABRICKS GENIE · 주요 차별점
귀하의 데이터를 위해 구축되고, 귀하의 규칙에 따라 관리되며, 모든 비즈니스 리더에게 응답할 수 있습니다.
Genie가 귀하의 팀을 위해 무엇을 할 수 있는지 확인하십시오
Databricks Genie는 오늘부터 사용할 수 있습니다. 업계 동료들이 이를 사용하여 데이터에 액세스하고 조치하는 방식을 어떻게 재구상하는지 확인하십시오.
(이 글은 AI의 도움을 받아 번역되었습니다. 원문이 궁금하시다면 여기를 클릭해 주세요)
블로그를 구독하고 최신 게시물을 이메일로 받아보세요.