Agentic SOAR은 AI를 사용하여 위협을 자율적으로 평가하고, 정보에 입각한 결정을 내리고, 사람의 개입 없이 실시간으로 대응을 시작하는 보안 오케스트레이션, 자동화 및 대응 기술입니다.
목차
기존 SOAR은 SOC(보안 운영 센터)의 워크로드를 줄이도록 설계되었습니다. 사전 구축된 플레이북을 기반으로 대응을 시작하는 자동화를 사용하여 보안 정보 및 이벤트 관리(SIEM), 엔드포인트 보안 및 기타 보안 도구와 통합됩니다. SOAR의 자동화는 효율성을 향상시켰지만 보안팀에게도 다음과 같은 문제를 일으켰습니다.
- 높은 경보량, 오탐 및 분석가 시간을 줄이는 분류 요구 사항
- 노동 집약적인 플레이북 유지보수
- 새로운 공격에 동적으로 대응할 수 없음
에이전틱 SOAR은 기존 SOAR을 뛰어넘습니다. 이를 통해 조직은 정적인 플레이북에서 상황별 이해를 기반으로 지능적인 결정을 내리는 동적 자율 시스템으로 이동할 수 있습니다. 이는 위협을 조사하고 분류하며 인간의 개입 없이 적절한 억제 대응을 선택합니다.
에이전틱 SOAR이 보안 운영을 혁신하는 방법
언급한 바와 같이 기존 SOAR의 한계 중 하나는 새로운 위협에 대응하기 위해 수동 업데이트가 필요한 정적 플레이북에서 작동한다는 것입니다. 이를 통해 추론이나 의사 결정이 필요한 복잡한 시나리오에서 그 효과를 줄일 수 있습니다. 기존 SOAR을 사용하는 경우에도 분석가는 특히 조사, 분류 또는 엣지 사례와 관련하여 개입해야 합니다.
에이전틱 SOAR은 합리적인 조사를 사용하여 위협을 분석 및 분류하고 의사 결정을 내리며 사람의 개입 없이 적응합니다. 경고는 먼저 인간 분석가가 아닌 AI 에이전트에게 전달됩니다. 에이전트는 대규모 언어 모델(LLM), 이력 및 행동 컨텍스트, 위협 인텔리전스 피드와 같은 외부 데이터 및 일련의 테스트를 사용하여 경보의 심각도를 분류합니다. 그런 다음 결과 및 추론에 대한 읽기 쉽고 상세한 보고서를 생성합니다. 그 시점에서만 분석가가 결과를 검토하는 데 관여해야 합니다. 또한 에이전트 SOAR은 수동 개입 없이 해결 조치를 취할 수 있습니다.
에이전틱 SOAR의 주요 기능
에이전틱 SOAR을 차별화하는 것은 자율성과 정교한 추론입니다. 시스템은 다음을 특징으로 합니다.
- 학습 및 추론—시스템은 모든 이벤트에서 지속적으로 학습하도록 설계되어 상황별 메모리를 제공합니다. 머신러닝과 LLM을 사용하여 로직을 구축하고 의사 결정 프로세스를 설명합니다.
- Autonomous Triage—AI는 맥락적 이해를 적용하고 동적 조사를 수행하며 여러 소스의 데이터를 종합하여 결론을 도출하고 조치를 구현하거나 권장하여 위협을 분석하고 우선 순위를 지정합니다.
- 실시간 위협 대응—Agentic SOAR은 밝혀낸 데이터를 기반으로 실시간으로 대응 프로토콜을 동적으로 생성하고 변경합니다.
- 통합—Agentic SOAR은 조직의 기존 보안 솔루션과 통합되어 EDR(엔드포인트 탐지 및 대응), SIEM 및 클라우드 플랫폼과 같은 도구와 원활하게 상호 작용합니다.
- 여러 에이전트—각 AI 에이전트는 인텔리전스 수집 및 위험 평가부터 공유 및 협업에 이르기까지 조사, 분류 또는 대응의 특정 단계에 대한 교육을 받습니다.
- 사용자 친화적인 인터페이스—자연어 처리를 사용하면 분석가가 상담원의 추론을 쉽게 이해할 수 있습니다.
에이전틱 SOAR의 장점
기존 SOAR은 SOC에 큰 발전을 가져왔지만 제약이 있습니다. 이에 비해 에이전틱 SOAR의 이점은 다음과 같습니다.
- 신속한 대응 시간 - 평균 탐지 시간 및 평균 대응 시간이 크게 개선되었습니다.
- 위험 감소 - 위협을 정확하게 식별 및 분류하고 그렇지 않으면 놓칠 수 있는 잠재적 위협을 더 정확하게 탐지합니다.
- 생산성 및 사기 향상—애널리스트 시간이 경보 관리에서 전략적 고려 사항으로 전환되어 운영 및 인적 자원 최적화
- 확장성 - 새로운 리소스 없이도 새로운 공격에 대응하고 증가하는 공격 표면을 관리하는 기능입니다.
- 지속적인 학습 - 지속적인 지식 습득, 조직 및 산업에 특화된 지식 기반 구축.
에이전틱 SOAR 구현 모범 사례
모든 신기술과 마찬가지로 에이전틱 SOAR을 구현하는 데 장애물이 있습니다. AI는 의사 결정, 조치, 거버넌스, 감독 및 신뢰성을 제어하기 때문에 고유한 문제를 야기할 수 있습니다. AI는 대량의 민감한 데이터에 액세스할 필요가 있기 때문에 보안과 개인정보 보호도 우려됩니다. 에이전틱 SOAR을 레거시 시스템과 통합하는 데 문제가 있을 수도 있습니다.
이러한 과제를 염두에 두고 에이전틱 SOAR을 구현하기 위한 몇 가지 모범 사례를 소개합니다.
- 평가—현재 요구 사항과 현재 SOAR 성숙도를 결정합니다. 조직의 요구와 입증된 솔루션 결과를 기반으로 접근 방식을 검토합니다. 파일럿 프로그램을 고려하십시오.
- 거버넌스—자율적인 의사 결정에 대한 명확한 감독을 구축합니다. 역할, 책임 및 윤리 지침을 요약합니다.
- Human-in-the-loop—분석가가 지속적으로 참여하고, 검토하고, 모니터링하도록 합니다.
- 보안 및 규정 준수—강력한 암호화, 액세스 제어 및 정기적인 취약성 평가를 도입합니다.
- 테스트 및 검증—효율성을 평가하기 위한 성공 메트릭을 설정합니다. 정기적이고 철저한 테스트 및 검토를 수행합니다.
에이전틱 SOAR로 미래를 준비하십시오.
사이버 범죄자들이 AI를 활용하여 더 정교한 공격을 생성함에 따라 조직은 SOC에서 에이전트 기술의 힘을 수용해야 합니다. 에이전틱 SOAR은 위협 탐지의 정확성을 높이고, 억제 속도를 높이고, 인간에 대한 부담을 줄여 보안 운영을 혁신합니다. 이를 통해 분석가는 위협 탐지, 위험 동향 분석, 광범위한 교차 기능 기술 개발과 같은 전략적 활동에 집중할 수 있습니다.
그러나 보안 팀은 에이전트 또는 인간 솔루션 중에서 선택해야 한다는 측면에서 생각해서는 안 됩니다. 가장 성공적인 조직은 하이브리드 접근 방식을 채택하고 AI를 사용하여 이벤트 관리를 강화하는 동시에 인간을 검토 및 최종 결정을 내리는 사람입니다.
에이전틱 SOAR에 대한 도움은 어디에서 얻을 수 있습니까?
올바른 기술을 사용하는 것은 매우 중요합니다. Trend Vision One™ Agentic SOAR을 통해 팀은 정적 플레이북을 넘어 실시간으로 조사, 분류 및 대응하는 완전한 AI 기반 SOC로 이동할 수 있습니다. AI 기반 조사, 엔드투엔드 SOC 자동화, 연결된 에코시스템 및 자연어 플레이북 생성을 결합하여 수동 워크로드를 줄이고 보안 팀이 경보에 흠뻑 빠지지 않고 전략적 우선순위에 집중할 수 있도록 지원합니다.
Jayce Chang
제품 관리 부사장
Jayce Chang은 보안 운영, XDR 및 에이전트 SIEM/SOAR에 전략적으로 중점을 둔 제품 관리 부사장입니다.
자주 묻는 질문(FAQ)
에이전트란 무엇을 의미합니까?
Agentic은 \"에이전시\"라는 단어에서 비롯됩니다. 이는 행동할 수 있는 힘을 의미합니다. 따라서 에이전틱 SOAR은 독립적으로 작동할 수 있는 SOAR 솔루션을 의미합니다.
에이전틱 행동이란 무엇입니까?
에이전트적 행동은 인간의 개입 없이 의사 결정을 내리고 행동하며 환경 변화에 적응하는 인공 지능 시스템의 능력을 설명합니다.
SOAR은 무엇을 의미합니까?
SOAR은 보안 오케스트레이션, 자동화 및 대응을 의미하며 보안 도구를 통합하고 작업을 자동화하여 보안 운영을 더 효율적으로 만드는 사이버 보안 솔루션을 의미합니다.
SOAR은 무엇을 의미합니까?
SOAR는 ‘Security Orchestration, Automation and Response’의 약어로 보안 오케스트레이션, 자동화 및 대응을 의미합니다.
에이전트적 행동의 예는 무엇입니까?
에이전트 행동의 예로는 사용자 프롬프트 없이 알람을 예약하는 디지털 어시스턴트, 주행 경로를 선택하는 자율 주행 자동차, 또는 트래픽을 라우팅하는 IT 시스템 등이 있습니다.
에이전트 학습의 예는 무엇입니까?
에이전트 학습의 예로는 사용자의 반복된 작업, 회의 및 위치를 인식하고 자동으로 알림을 설정하는 가상 도우미가 있습니다.
상위 3가지 에이전트 프레임워크는 무엇입니까?
많은 에이전트 프레임워크가 있습니다. 가장 자주 언급되는 세 가지는 Microsoft AutoGen, CrewAI 및 LangGraph입니다.
에이전트 워크플로우의 의미는 무엇입니까?
에이전틱 워크플로우는 AI 에이전트가 정보를 자동으로 수집하고, 옵션을 선택하고, 사람의 개입 없이 작업을 시작하는 데 사용하는 프로세스입니다.
에이전트 워크플로우의 예는 무엇입니까?
사이버 보안에서 에이전틱 워크플로의 예로는 AI 에이전트가 보안 경고를 자율적으로 검사하고 다양한 소스의 데이터를 상호 연결한 다음 억제 작업을 선택하고 시작하는 것이 있습니다.
워크플로와 에이전트의 차이점은 무엇입니까?
워크플로우는 미리 결정된 일련의 작업입니다. 에이전트 시스템은 상황에 가장 적합한 작업을 선택할 수 있는 자율 AI로 구성됩니다.