2013.10.25

빅 데이터 보안 분석 솔루션의 4대 요소 '알고리즘, 시각화, 컨텍스트, 자동화'

Joltsik | Network World
개발업체들은 기업의 보안과 운용 효율성을 위해 반드시 알고리즘, 시각화, 컨텍스트, 자동화(AVCA) 영역에 초점을 맞춰야 한다.

ESG 리서치에 따르면 44%의 조직에서 현재 수준의 보안 데이터 수집과 분석이 '빅데이터'의 영역이라고 분류하고 있으며, 또 다른 44%의 조직에서는 향후 2년 내에 '빅데이터'의 영역으로 분류될 것이라고 보고 있다(여기서 빅데이터 보안 분석은, 보안 데이터의 크기가 너무 커져서 이전의 보안 분석 도구로 다룰 수 없는 수준을 의미한다).

따라서, 기업들은 몇 년 안에 어떤 형태의 빅데이터 보안 분석 제품 혹은 솔루션을 도입할 옮겨갈 가능성이 높다. 이것은, 많은 기업의 보안 책임자들이 새로운 제품 사이에서 과대 포장된 제품을 가려내기 위해 엄청난 혼란을 겪어야 한다는 말이다.

필자는 이 혼란을 돕기 위해 블로그에 빅데이터 보안 분석에 관해 자주 묻는 질문들을 정리해왔다. 이것은 이 분야의 이해를 돕기 위한 기본적인 정보를 제공하지만, 제품 자체에 대해서는 그렇지 못하다.

물론 모든 제품들이 대용량의 유연한 질의 처리 기능을 제공한다. 그렇다면 어떤 것이 제품을 특별하게 만드는가?

축약을 좋아하는 우리 분야의 특성에 맞게, 필자는 보안 관련자들이 다음과 같은 AVCA(algorithms, Visualization, Context, and Automation)를 고려하기를 권유한다.

알고리즘(Algorithm)
빅데이터 보안 분석에서 알고리즘은 자동 혹은 수동 분석의 차이를 나타낸다. 알고리즘이 있다면, 분석가들은 지능적인 기술의 도움을 받을 수 있을 것이다.

만약 없다면, 분석가들은 점점 많아지는 데이터를 스스로 처리해야만 한다. 빅데이터 분석 알고리즘은 높은 정확도를 위해 데이터, 처리 능력, 커스텀 규칙(custom rules)을 혼합해야 한다.

예를 들어 기계 학습(21CT, LogRhythm, SilverTail 등)과 행동 이상 탐지(Click Security, Lancope, Netskope, Solera Networks 등)이 있다. 또한 많은 조직에서 스플렁크(Splunk)를 알고리즘의 기반으로 삼고 있다.

시각화(Visualization)
보안 분야에서 데이터 시각화는 매우 초보적인 수준이고, 파이 차트, 그래프, 엑셀의 피봇 테이블이 지배적으로 사용되고 있다. 시각화 기술은 최근 많은 관심을 받고 있으며, 주로 미국 국립 연구소 혹은 학술 연구기관을 중심으로 점점 연구가 확산되는 추세다.

이에 더하여, 애틀란타 조지아에서 매년 개최되는 VizSec 학회(www.vizsec.org)는 사이버보안을 위한 데이터 시각화의 연구와 확산을 핵심 목표로 설정하고 있다.

시간이 지나면서, 보안 책임자들은 이 분야에서 새로운 기기와 함께, 태블릿과 같은 데이터 조작, 패턴 매칭을 위한 3D 그래픽스, 위험 점수 분석, 데이터 피봇과 같은 큰 변화들을 기대하고 있다. 이 분야에는 렉시스넥시스(LexisNexis), 헥시스 사이버 솔루션즈(Hexis Cyber Solutions)와 나루스(Narus)같은 개발업체들이 기억할 만 하다.

컨텍스트(Context)
악성코드에 대한 대응체계가 마련되지 않은 시스템을 공격한다면 이는 긴급 상황일 것이다. 그러나, 미리 대비된 시스템을 향한다면, 이는 심각한 상황이라 볼 수 없다.

시간이 지나면서, 빅데이터 보안 분석은 위협 탐지/ 포렌식(forensic) 기능을 사이버 공격에 대한 지속적인 모니터링과 결합할 것이다.

맥아피는 이런 계획은 맥카피 시큐리티 매니저(McAfee Security Manager, Nitro)와 ePO를 결합함으로써 진행할 것이다. RSA는 동일한 일을 빅데이터 보안 분석과 아처(Archer)를 연결해 수행할 것이다. HP 또한 동일 선상을 걸어갈 것이다.

자동화(Automation)
자동화는 IDS에서 IPS로 전환한 것과 마찬가지로 시간이 걸릴 것이고, 보안 관련자들은 항상 잘못된 탐지에 대해 고민하고 있다.

그럼에도 불구하고, 보안 자동화에 대한 요구는 점점 증가하고 있으며, 이는 더 이상 미룰 수 없는 수준이다.

시스코(Cisco)는 그들의 네트워크 인프라인 SDN과 클라우드 기반 빅데이터 보안 지능 시스템을 사용할 것이다. 체크포인트(Check Point)와 팔로알토 네트웍스(Palo Alto Networks)와 같은 다른 네트워크 보안 전문 업체 또한 이러한 길을 택할 것이다.

IBM도 적극적으로 이 분야에 대응하고 있는데, 그들의 네트워크 보안 포트폴리오(ISS)와 트러스티어(Trusteer), 큐레이더(QRadar), IBM 시큐리티 인텔리전스, 엑스포스(X-force)를 통합하고 있다.

빅데이터 보안 분석 제품을 검토하고 있는 보안 담당자들은 AVCA를 요구조건으로 검토해야만 한다. 공급업체 측면에서 본다면, AVCA는 성공으로 향하는 필수 요소가 될 것이다. editor@itworld.co.kr



2013.10.25

빅 데이터 보안 분석 솔루션의 4대 요소 '알고리즘, 시각화, 컨텍스트, 자동화'

Joltsik | Network World
개발업체들은 기업의 보안과 운용 효율성을 위해 반드시 알고리즘, 시각화, 컨텍스트, 자동화(AVCA) 영역에 초점을 맞춰야 한다.

ESG 리서치에 따르면 44%의 조직에서 현재 수준의 보안 데이터 수집과 분석이 '빅데이터'의 영역이라고 분류하고 있으며, 또 다른 44%의 조직에서는 향후 2년 내에 '빅데이터'의 영역으로 분류될 것이라고 보고 있다(여기서 빅데이터 보안 분석은, 보안 데이터의 크기가 너무 커져서 이전의 보안 분석 도구로 다룰 수 없는 수준을 의미한다).

따라서, 기업들은 몇 년 안에 어떤 형태의 빅데이터 보안 분석 제품 혹은 솔루션을 도입할 옮겨갈 가능성이 높다. 이것은, 많은 기업의 보안 책임자들이 새로운 제품 사이에서 과대 포장된 제품을 가려내기 위해 엄청난 혼란을 겪어야 한다는 말이다.

필자는 이 혼란을 돕기 위해 블로그에 빅데이터 보안 분석에 관해 자주 묻는 질문들을 정리해왔다. 이것은 이 분야의 이해를 돕기 위한 기본적인 정보를 제공하지만, 제품 자체에 대해서는 그렇지 못하다.

물론 모든 제품들이 대용량의 유연한 질의 처리 기능을 제공한다. 그렇다면 어떤 것이 제품을 특별하게 만드는가?

축약을 좋아하는 우리 분야의 특성에 맞게, 필자는 보안 관련자들이 다음과 같은 AVCA(algorithms, Visualization, Context, and Automation)를 고려하기를 권유한다.

알고리즘(Algorithm)
빅데이터 보안 분석에서 알고리즘은 자동 혹은 수동 분석의 차이를 나타낸다. 알고리즘이 있다면, 분석가들은 지능적인 기술의 도움을 받을 수 있을 것이다.

만약 없다면, 분석가들은 점점 많아지는 데이터를 스스로 처리해야만 한다. 빅데이터 분석 알고리즘은 높은 정확도를 위해 데이터, 처리 능력, 커스텀 규칙(custom rules)을 혼합해야 한다.

예를 들어 기계 학습(21CT, LogRhythm, SilverTail 등)과 행동 이상 탐지(Click Security, Lancope, Netskope, Solera Networks 등)이 있다. 또한 많은 조직에서 스플렁크(Splunk)를 알고리즘의 기반으로 삼고 있다.

시각화(Visualization)
보안 분야에서 데이터 시각화는 매우 초보적인 수준이고, 파이 차트, 그래프, 엑셀의 피봇 테이블이 지배적으로 사용되고 있다. 시각화 기술은 최근 많은 관심을 받고 있으며, 주로 미국 국립 연구소 혹은 학술 연구기관을 중심으로 점점 연구가 확산되는 추세다.

이에 더하여, 애틀란타 조지아에서 매년 개최되는 VizSec 학회(www.vizsec.org)는 사이버보안을 위한 데이터 시각화의 연구와 확산을 핵심 목표로 설정하고 있다.

시간이 지나면서, 보안 책임자들은 이 분야에서 새로운 기기와 함께, 태블릿과 같은 데이터 조작, 패턴 매칭을 위한 3D 그래픽스, 위험 점수 분석, 데이터 피봇과 같은 큰 변화들을 기대하고 있다. 이 분야에는 렉시스넥시스(LexisNexis), 헥시스 사이버 솔루션즈(Hexis Cyber Solutions)와 나루스(Narus)같은 개발업체들이 기억할 만 하다.

컨텍스트(Context)
악성코드에 대한 대응체계가 마련되지 않은 시스템을 공격한다면 이는 긴급 상황일 것이다. 그러나, 미리 대비된 시스템을 향한다면, 이는 심각한 상황이라 볼 수 없다.

시간이 지나면서, 빅데이터 보안 분석은 위협 탐지/ 포렌식(forensic) 기능을 사이버 공격에 대한 지속적인 모니터링과 결합할 것이다.

맥아피는 이런 계획은 맥카피 시큐리티 매니저(McAfee Security Manager, Nitro)와 ePO를 결합함으로써 진행할 것이다. RSA는 동일한 일을 빅데이터 보안 분석과 아처(Archer)를 연결해 수행할 것이다. HP 또한 동일 선상을 걸어갈 것이다.

자동화(Automation)
자동화는 IDS에서 IPS로 전환한 것과 마찬가지로 시간이 걸릴 것이고, 보안 관련자들은 항상 잘못된 탐지에 대해 고민하고 있다.

그럼에도 불구하고, 보안 자동화에 대한 요구는 점점 증가하고 있으며, 이는 더 이상 미룰 수 없는 수준이다.

시스코(Cisco)는 그들의 네트워크 인프라인 SDN과 클라우드 기반 빅데이터 보안 지능 시스템을 사용할 것이다. 체크포인트(Check Point)와 팔로알토 네트웍스(Palo Alto Networks)와 같은 다른 네트워크 보안 전문 업체 또한 이러한 길을 택할 것이다.

IBM도 적극적으로 이 분야에 대응하고 있는데, 그들의 네트워크 보안 포트폴리오(ISS)와 트러스티어(Trusteer), 큐레이더(QRadar), IBM 시큐리티 인텔리전스, 엑스포스(X-force)를 통합하고 있다.

빅데이터 보안 분석 제품을 검토하고 있는 보안 담당자들은 AVCA를 요구조건으로 검토해야만 한다. 공급업체 측면에서 본다면, AVCA는 성공으로 향하는 필수 요소가 될 것이다. editor@itworld.co.kr

X