데이터브릭스 지니의 보안 탐지 시간 단축과 운영 효율화

주장보안 분석가는 파편화된 시스템에서 데이터를 수집하는 데 과도한 시간을 소비합니다. 이러한 데이터 통합 문제는 보안 운영 센터의 조사 속도와 효율성을 저해하는 핵심 원인입니다.

팩트보안 운영 센터의 성과 지표인 평균 탐지 시간과 평균 대응 시간은 지난 10년간 정교해졌습니다. 그러나 분석가는 여전히 분석 자체보다 여러 소스에서 로그를 추출하고 데이터를 결합하는 작업에 많은 시간을 할애합니다.

교차검증기존의 보안 정보 및 이벤트 관리 시스템과 보안 오케스트레이션 자동화 대응 도구는 워크플로우를 개선했습니다. 하지만 시스템 간의 데이터 통합 문제를 근본적으로 해결하지 못해 분석가가 직접 통합 계층 역할을 수행해야 하는 한계가 존재합니다.

팩트데이터브릭스의 지니는 레이크워치 내에서 에이전트 기반 인터페이스 역할을 수행합니다. 이 도구는 앤스로픽의 클로드 모델을 활용하여 보안, 정보기술, 비즈니스 데이터를 수초 내에 상관 분석합니다.

주장보안 분석가는 복잡한 구조화 질의 언어나 전용 검색 언어를 학습할 필요 없이 자연어를 사용하여 조사를 수행합니다. 지니는 분석가가 수 페타바이트의 데이터를 즉시 검색하고 요약하며 교차 참조하도록 돕습니다.

팩트2018년에는 취약점 공개부터 실제 공격까지 평균 2년 이상이 소요되었습니다. 현재는 그 기간이 1.3일로 단축되어 기존의 레거시 시스템으로는 대응이 불가능한 상황입니다.

교차검증많은 기업이 보안 데이터의 75퍼센트를 처리 비용 문제로 폐기하는 보안 세금을 지불합니다. 인간 분석가만으로는 인공지능 에이전트를 활용한 공격자의 속도를 따라잡는 데 한계가 있습니다.

팩트데이터브릭스는 지니를 통해 보안 데이터 레이크를 통합하여 보안 정보 및 이벤트 관리, 엔드포인트 탐지 및 대응, 네트워크 탐지 및 대응, 아이덴티티 및 접근 관리 등 모든 보안 텔레메트리를 단일 환경에서 쿼리합니다. 이는 분석가가 수동으로 데이터를 결합하는 병목 현상을 제거합니다.

주장보안 위협에 대응하기 위해서는 인간 중심의 수동 대응에서 기계 속도의 자동화된 방어로 전환해야 합니다. 레이크워치는 방어 에이전트 군집을 배치하여 탐지, 분류, 조사를 데이터가 위치한 곳에서 즉시 수행합니다.

팩트지니는 사용자, 장치, 애플리케이션 컨텍스트를 이벤트 데이터와 함께 자동으로 제공합니다. 또한 분석가의 권한 수준에 따라 데이터 접근을 제어하여 거버넌스를 유지하면서도 조사 능력을 확장합니다.

출처데이터브릭스 공식 블로그(https://www.databricks.com/blog/mean-time-detect-data-access-problem)를 통해 해당 내용을 교차 검증했습니다.