최초이자 유일한 AI 기반 보안 분석 솔루션으로 진화하는 Elastic Security

Elastic Security는 현대 보안팀의 과제를 해결할 수 있는 최초이자 유일한 AI 기반 보안 분석 솔루션입니다. 검색 증강 생성(RAG)이 포함된 Elasticsearch AI 플랫폼을 기반으로 구축되었습니다. RAG는 대규모 언어 모델(LLM)이 주어진 질문에 답하는 데 필요한 모든 적절한 컨텍스트를 확보하여 맞춤 생산된 답변을 제공할 수 있는 궁극적인 수단입니다. 정확한 컨텍스트가 없거나 컨텍스트를 검색하고 가져올 수 있는 효율적이고 빠르고 강력한 방법이 없다면 LLM은 학습된 공개 데이터와 다른 점이 없습니다. 또한 RAG는 시간과 비용이 많이 드는 작업, 특히 시시각각 변하는 보안 분석 플랫폼 내에서 발견되는 데이터에 대해 지속적으로 LLM을 재교육할 필요가 없습니다. 

Elastic Security에는 시장의 다른 모든 솔루션과 차별화되는 세 가지 기본 원칙이 있습니다.

탐지 엔지니어가 콘텐츠를 작성하거나, 분석가가 경고를 분류하거나, 인시던트 대응 담당자가 인시던트를 해결하기 전에, 보안팀에는 환경에 대한 가시성이 필요합니다. CIS Top 18이 수십 년 동안 가시성을 최우선 과제로 삼아 선두를 달리는 데에는 이유가 있습니다. 보이지 않는 것은 보호할 수 없습니다. 

안타깝게도 데이터 볼륨의 기하급수적인 증가로 인해 완전한 가시성에 대한 필요성이 도전을 받고 있습니다. 특히 클라우드로의 전환도 이에 한몫하고 있습니다. 보안팀은 어쩔 수 없이 보호해야 하는 데이터의 가치가 아닌 예산 및 기술적 한계에 따라 결정을 내려야 했습니다. 많은 기업이 정보를 활성 시스템에서 저렴한 데이터 스토리지로 빠르게 이동시키고 필요한 경우 필요할 때 액세스할 수 있는 데이터 레이크 접근 방식을 채택했습니다. 

데이터 레이크는 정보 저장의 경제적 문제를 해결할 수 있지만, 조직의 피해와 손실을 막을 수 있을 만큼 빠르게 정보에 액세스해야 하는 운영상의 문제를 해결하지 못합니다. Log4j 공격을 떠올려 볼 때, 많은 회사들이 자기 조직이 영향을 받는지 확인하느라 어려움을 겪었습니다. 프로즌 저장 공간에 데이터가 있는 팀의 경우, 프로즌 데이터의 일부를 '해동'하고 검색한 다음 이 프로세스를 반복하면서 기간을 추측하고 확인해야 했습니다. 팀들은 저장된 데이터를 전부 해동하여 확인하기 전까지는 상황을 확실하게 파악할 수 없었습니다. 이는 시간이 아주 많이 걸리는 작업입니다. 데이터 레이크는 저렴할 뿐만 아니라 검색 가능해야 합니다.

데이터에는 중력이 있습니다. 

분산 네트워크에서 데이터를 이동하려면 비용이 많이 듭니다. 특히 클라우드에서 여러 지역이나 클라우드 서비스 제공자를 통해 데이터를 이동하고 추가 데이터 전송 서비스(DTS) 요금을 지불하는 경우 더욱 그렇습니다. 이는 엄청난 양의 하드웨어와 엔지니어가 필요한 모놀리식 정보 사본을 구축하는 데 드는 비용이나 해당 작업이 데이터 개인정보 보호 규정으로 인해 특정 지역에서는 불가능하다는 사실조차 고려하지 않은 수치입니다. 

Elastic을 사용하면 데이터가 생성되거나 수집되는 곳 근처에 데이터를 보관할 수 있습니다. 분산형 데이터 메시 아키텍처를 통해 사용자는 주요 클라우드 서비스 제공자 및/또는 온프레미스에 시스템을 보관한 다음 하나의 시스템을 보안 운영이 이루어지는 기본 SIEM으로 지정할 수 있습니다. 이 솔루션은 분석가에게 하나의 중앙 집중식 SIEM으로 표시되어 연결된 시스템 전반의 검색을 간소화합니다. 보안 분석가는 메인 시스템을 떠나지 않고 여러 분산된 보안 클러스터에서 탐지, 머신 러닝 모델, 위협 헌팅, 알림 분류, 사고 대응 또는 기타 사용 사례를 실행할 수 있습니다.

Elastic의 분산 데이터 메시 아키텍처는 수년간의 데이터를 저렴하게 저장할 수 있습니다. 다음 질문은 정보에 액세스하는 속도에 관한 것입니다. Elastic은 이 분야에서도 시장을 선도합니다. Elastic Security는 이전에는 불가능했던 일을 가능하면서도 간단하게 만듭니다. Elastic Security는 Randstad Netherlands 및 Texas A&M과 같은 조직에 밀리초 검색을 지원한 실적으로 증명되는 속도와 규모로 신규 사용자를 정기적으로 놀라게 합니다. Elastic은 검색 가능한 스냅샷이라는 독점 기능을 사용하여모든 정보를 복원하지 않고도 S3와 같은 프로즌 데이터를 몇 초 만에 검색할 수 있습니다. 이를 통해 수개월 및 수년간의 데이터에서도 매우 빠르고 저렴하게 보안 분석을 실행할 수 있습니다. 

느리고 어려운 데이터 레이크 대신, Elastic의 분산 데이터 메시를 사용하여 보안팀을 운영하세요. 다음에 "이런 일이 발생했습니까?"라는 질문을 받으면 완전한 확신을 갖고 대답할 수 있습니다.

Elastic Security는 조직이 사이버 보안 위험을 평가하고 줄이는 데 있어 매우 중요한 개방성과 투명성을 위해 오랫동안 노력해 왔습니다. 기술을 채택한다는 것은 그 기술을 제공하는 조직을 신뢰하는 것이며, 이러한 신뢰는 비밀을 유지한다고 해서 얻을 수 있는 것이 아닙니다. 

앞서 "[개방형 보안]이란 보안 공급업체가 공개적으로 작업을 진행하고, 코드, 탐지 규칙 및 아티팩트를 공유하여 침입 및 악용으로부터 진정으로 시스템을 보호하는 방법을 더 심층적으로 이해할 수 있다는 것을 의미합니다."라고 말한 바 있습니다. 이러한 개방성은 이타적이면서도 이기적입니다. 밀물은 모든 배를 들어올리기 때문이다. 기업 예산이 있는 사람만 사이버 보안을 누려서는 안 됩니다. 세계 누구나 사이버 공격의 피해자가 될 수 있습니다. 즉, 전 세계 모든 사람이 엔터프라이즈급 사이버 보안에 액세스할 수 있어야 합니다. 증가하는 공격의 물결을 막으려면 보안을 민주화해야 합니다. 

오픈 데이터 스키마는 Elastic Security의 토대 중 일부입니다. 데이터는 표준화된 오픈 소스 스키마인 Elastic Common Schema(ECS) 또는 다른 스키마 통합 중 하나를 통해 원하는 대로 사용할 수 있습니다. ECS는 "한 번 작성하면 어디서든 실행" 탐지 규칙을 지원하여 팀이 탐지 로직을 변경하지 않고도 새로운 데이터 소스를 쉽게 온보딩할 수 있는 유연성을 제공합니다. ECS는 취약성, 위협 인텔리전스 및 이메일 로그와 같은 새로운 유형의 보안 데이터를 지원하기 위해 지속적으로 발전해 왔으며 수많은 공급업체와 조직에서 채택하고 있습니다. 추진력을 더하기 위해 최근 ECS로 OTel Semantic Convention에 기여했습니다. 

또한 Elastic은 스키마를 사용하는 조직이 Elastic Security의 강력한 분석을 활용할 수 있도록 신규 및 오랫동안 정립된 스키마를 계속 지원합니다. 예를 들어, Amazon Security Lake에서 OCSF에 데이터를 매핑하여 저장하는 경우, 이를 ECS로 변환할 수 있도록 사전 빌드된 OCSF 통합을 제공합니다. 이와 비슷하게, 이벤트 포맷(CEF)에 막대한 투자를 한 경우, CEF에서 ECS로의 통합도 가능합니다. Elastic은 개방성이라는 아이디어를 기반으로 설립되었으며 앞으로도 이를 계속해서 추구하고자 합니다.

Elastic Security는 민주화된 엔터프라이즈급 보안으로 전 세계의 데이터를 공격으로부터 보호하겠다는 하나의 사명을 가지고 있습니다. 이 미션에는 기존 보안 에코시스템에 엔드투엔드 워크플로우를 지원하거나 심층적인 보안 툴을 사용할 여유가 없거나 접근이 어려운 기업을 위해 이러한 기능을 기본 제공하는 것이 포함됩니다. Elastic은 단 하나의 솔루션만 구축, 제공, 판매합니다. 바로 다양한 옵션과 기본 제공 기능을 제공하는 Elastic Security입니다. 일반적인 고객은 다음과 같은 방식으로 Elastic과 함께 성장합니다.

• 첫 단계는 분석: 기존 SIEM을 AI 기반 보안 분석 솔루션으로 교체하면 검증된 SOC 워크플로우의 더 빠른 버전을 구현하고 보안 조직에 새로운 프로세스를 강화할 수 있습니다.

• 확장된 보호로 확장: CrowdStrike, SentinelOne, Microsoft Defender, Wiz 등의 원시 이벤트를 Elastic에 추가하여 확장된 탐지 및 대응을 즉시 받을 수 있습니다. 

• 기본 보호로 보강 및/또는 교체: Elastic의 기본 보호를 사용하여 레거시 포인트 솔루션으로 보강 및/또는 교체합니다.