인공지능과안의 활용을통하여 통찰력 · © 2017 IBM Corporation 윤영훈팀장 IBM Security 인공지능과안의 접목,활용을통하여 스피드,정확성,통찰력

© 2017 IBM Corporation

윤영훈 팀장IBM Security

인공지능과 보안의접목,활용을 통하여스피드,정확성,통찰력확보하기

9 Nov 2017


인공지능의 역사

History of AI

Alan Turing:Church-Turing

thesis, 디지털 컴퓨터를 사용하여공식적인 추론의 과정을시뮬레이션 함으로써 전자 두뇌를구축 할 수 있는 가능성을 설명

1956, John McCarthy, Marvin

Minsky, Allen Newell, Arthur

Samuel and Herbert Simon at

Dartmouth Uinv.

1960 년대에는 미국 국방부의투자와 전세계적으로 많은연구소가 설립되었으나 지나친낙관론이 복잡한 문제에 직면하자실망으로 변함.

1940s-1970s

https://en.wikipedia.org/wiki/Artificial intelligence

인간 전문가의 지식과 분석기술을 시뮬레이션한 Expert Systems의 상업적 성공에 힘 입어AI 붐이 다시 살아남. 1985 년 AI 시장은 10 억 달러를 넘어섬.

동시에 일본의 5 세대 컴퓨터프로젝트는 미국과 영국 정부가학술 연구를 위한 기금을복원하도록 고무시킴.

그러나 1987 년 LISP Machine 시장이 붕괴됨에 따라 AI는 다시한 번 평판을 잃고 두 번째로 오래지속되는 냉각기에 접어듬.

1980s

1) 컴퓨팅파워의 증가, 2) 수학적방법과 과학적표준에대한 새로운 시도3) 특정 문제해결을 지향, AI는 물류, 데이터 마이닝, 의료진단 및 기타 분야에 사용되기시작함.

1997 년 IBM Deep Blue는 세계체스 챔피언과의 대결에서 승리한최초의 컴퓨터 체스 게임시스템으로 기록됨.

1990s

인터넷, 모바일, 클라우드는심층적 인 학습, 기계 학습 및인식의 발전을 주도하는 훨씬많은 양의 데이터 및 컴퓨팅리소스에 대한 액세스를 가능하게함. IBM Watson은 2 명의 Jeopardy 챔피언을 큰 차이로 물리침. Siri는 지능형 개인 비서를 스마트폰에 제공

2016 년 3 월, AlphaGo는이세돌9단과의 바둑대결에서 승리

2010s

https://en.wikipedia.org/wiki/Artificial

© 2017 IBM Corporation 3Page

AlgorithmsData

(Knowledge)

Computing

Power

Natural Language Understanding

Speech RecognitionImage Recognition

Machine Learning(supervised/unsupervised)Support Vector Machine

Deep LearningNeural Network

Bayesian Network

Genetic AlgorithmsGraph Theory

Structured DataNumerical Data

Unstructured DataText, Image

Speech, Video

Curated Data(Knowledge)

Machine Generated DataSensor Data

‘True North’

1960-2010Storage Density 10*8

Computing Efficiency 10*11

1995-2015Wireless bandwidth 10*7

인공지능 발전의 동력

https://cognitoys.com/


AI vs IA

AI is Artificial Intelligence,

or intelligence in machines

(smart machines)

IA is Intelligence Augmentation, or

people thinking and working together with smart machines.

IA is what we calls “Cognitive Computing”


MAN vs. MACHINE

체스 챔피언게리 카스파로프

딥블루

체스전용 슈퍼컴, 하이드라대학생2명 + 노트북3대


코그니티브 컴퓨팅의 기반 – 이해, 추론, 학습

이해 (Understanding)

코그니티브 시스템은 사람과 같이 이해를하는데, 자연어, 즉 기술된 단어, 음성이나때로는 보여지는 것에 대해 이해함

추론 (Reasoning)

코그니티브 시스템은 정보를 이해할 뿐만아니라 기저에 있는 맥락을 이해할 수 있음

이러한 추론 능력은 지속적으로 나아질 수

있음

이는 어릴 적 산수 문제를 풀다가 수학을접하고 최종적으로는 기하학, 대수학 등의더 어려운 수학 문제를 푸는 것과 같음

학습 (Learning)

학습은 중단되지 않으며 기술적인측면에서의 코그니티브 시스템은 시간이지남에 따라 점점 더 가치를 지니게 됨

코그니티브 시스템은 전문가를 지향하는데, 전문가의 본질이라 함은 정답을 맞추는것에만 있지 않고, 추론을 통해 결론에도달한 과정을 명확하게 제시할 수 있음을의미함


머신러닝 기반 데이터접근 이상행위 분석

• Anomaly hours flagged

red or yellow

• Click bubble for Outlier view


User Behavior Analytics

SHARED UNDER NDA

Behavioral profiling Predictive analytics

Business context Threat Intelligence

위험한 사용자 식별계정 탈취, 불만을품은직원,

멜웨어방지조치

간소화된 사건 조사위험한사용자 행동및 활동 내역에대한즉각적인통찰력

빠른 가치 실현사용자행위 분석 앱의신속한구현 및기 수집된보안관제시스템 데이터활용

내장된 분석 기능사용자행위의 Baseline 및 이상 분석을사용하여수십 명의사용자 활동분석


Watson for Cyber Security

Billions ofData Elements

X-Force Exchange

Trusted partner feed

Other threat feeds

Open source

Breach replies

Attack write-ups

Best practices

Course of action

Research

Websites

Blogs

News

Massive Corpus

of Security Knowledge

Millions ofDocuments

STRUCTURED DATA UNSTRUCTURED DATA WEB CRAWLER

5-10 updates / hour! 100K updates / week!

2.3M security documents 10B+ security data elements 80k+ documents read per day

Watson for Cyber SecuritySEE THE BIG PICTURE

“QRadar Advisor enables us to truly

understand our risk and the needed

actions to mitigate a threat.”

ACT WITH SPEED & CONFIDENCE

“The QRadar Advisor results in the enhanced

context graph is a BIG savings in time versus

manual research.”


QRadar Advisor in Action

1. Offenses

5. Research results

Knowledge

graph

4. Performs threat

research and

develops expertise

3. Observables2. Gains local context

and forms threat

research strategy

Offensecontext

Deviceactivities

Equivalencyrelationships

6. Applies the intelligence

gathered to investigate

and qualify the incident

QRadar

Analyzed Security

Events


Watson이 적용된 어플리케이션 취약점 분석

▪ 98.91% 오탐감소

▪ “예기치 않은 공격 시나리오” 최소화

▪ 복수의 취약점을 해결할 수 있는수정 권고 제공

개발 초기 그리고 반복적인 취약점분석은 교정 비용 절감

지적 분석과 기계학습을 적용한 분석

학습된결과

• 스캔 결과의 자동화 분석/검토

• 보안 전문가에 의하여 훈련됨

취약점 분석 결과

Real-World Applications

ScanFindings

IFAVulnerabilities

Fix Groups

Application 1 12k 1k 35

Application 2 247k 1.2k 103

Application 3 746k 483 42


Endpoint 보안에 인공지능의 접목

Follow Through Actions

Automatically generated Insights provided contextually to Administrator

Data Sources: MaaS360 data captured from device and aggregated for customer & community; Third Party Sources – Structured & Unstructured

✓ 생산성 및 보호 향상을 위한 실행 가능한 통찰력 제공

✓ 컨텍스트 기반 베스트 프랙티스 및 권장 사항 사용 가능

✓ 벤치 마크, 모범 사례 및 새로운 기능을 기반으로 향상된 방법의 발견


사례 - Sogeti Luxembourg

Business challenge Cognitive transformation Benefits & results

• 사이버위협을막는열쇠는공격자보다앞서있는것입니다. 보안데이터분석가가상황을보다빨리파악할수있게되면더빨리최상의판단을내리고보안위협에대응하기위한최선의방법을사용할수있습니다.

• Cognitive Technology를이용한보안솔루션을 활용하여 위협의식별, 분석 및 해결을 가속화하는시범 프로그램에 참여

• 보안 데이터 분석에 대한인공지능 기술의 잠재적영향을 테스트하기 위해 Sogeti

Luxembourg는대형 보험고객과 협력하여 실제환경에서 Watson 플랫폼으로IBM QRadar Advisor를테스트하는 베타 프로그램을진행

• 이 플랫폼은 사이버 보안기술을 위한 IBM Watson과IBM QRadar SIEM 기술의보안 이벤트 분석 기능을결합합니다.

• Reduced 위협 조사 및 근본 원인분석주기를 3 시간에서 3 분으로단축

• 오탐 (false positive)을 정확하게식별 할 수 있는 직원의 능력 향상

• SOC 직원이 보안 위협을 신속하게격리하고 대응함으로써 보안 사고의영향을 최소화하도록 지원


사례 – 인공지능과 보안의 접목

•출발점 : 외부 IP 주소에 대한 장기간의 Network Flow연결을 감지하여 경보를 발생

•수동 분석 : 여러 분석가가 자체 분석을 수행했습니다. 다양한 분석방범과 PC 스캔을 수행했으나 악성 활동에대한 결론을 도출하지 못함

•Advisor with Watson 분석: 보안 경보에 대해서 수명주기동안 여러 번 재 조사했습니다. Watson의 통찰력은 악성 IP 및 Botnet C&C와 연결된 도메인 및 관련 URL을 제공하여고객이 이러한 공격으로부터 네트워크상의 감염 활동을나타내는 호스트를 찾도록 함.

Suspicious Low/Slow Activity



Manual investigation time: 60 minutes

Conclusion: True security incident

• Revealed connections from inside the organization to

outside, through DNS protocol.

• However, unsure of the nature of the compromise.

Subsequent Analysis: L2 Experts arrive at similar

conclusion: many IoC on our Threat Intelligence platform,

but unsure of the adversaries.

23 January 2017 – CONFIDENTIAL Watson & QRadar Use Case

SOPRA STERIA CybSec

© Sopra Steria Group, 2017 / Ref.: minutes.docx – Antonin HILY

11/13

Advisor with Watson investigation time: 3 minutes

Conclusion: A number of internal hosts have been

compromised with verified communications with a

recognized Command and Control (C&C) domain.

• Indicators of the compromised hosts

• Indicators of the C&C domain

• Malicious file used to compromise internal systems

Incident Qualification



Ransomware InfectionManual investigation time: 3 hours

Conclusion: Validated ransomware infection

• Confirmed connections from inside the organization to outside

hosts

Subsequent Analysis: L2/3 Experts arrive at similar conclusion

through manual process. Same IoC set determined via

investigation.

Advisor with Watson investigation time: 15 minutes

(12x Improvement)

Conclusion: An internal host has been compromised

with ransomware with verified communications to a

recognized Command and Control (C&C) IP Address.

• Indicators of the compromised hosts

• Indicators of the CnC domain

• Malicious files used to compromise internal systems

Ransomware Infection


인공지능 기반 보안 체계 수립의 고려사항

Understand why

and what you

need

Improve your

approach to data

Verify technology

foundations

Plan deployment

and adoption

Determine need and

value

Assess maturity

Identify where to start

Champion a new

culture

Understand your data

situation

Take a holistic

approach

Have the right team

Invest in data up front

Confirm and prepare

the right IT

environment

Plan your initial

implementation

Don’t underestimate

training the cognitive

system

Incent adoption

Build multidisciplinary

teams

Link insights to action

Plan for continuous improvement

ibm.com/security

securityintelligence.com

xforce.ibmcloud.com

@ibmsecurity

youtube/user/ibmsecuritysolutions

© Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express

or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of,

creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these

materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and / or capabilities referenced in these materials may

change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, and

other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks

or service marks of others.

Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise.

Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or

product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are

designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective.

IBM DOES NOT WARRANT THAT ANYSYSTEMS, PRODUCTS OR SERVICES ARE IMMUNE FROM, OR WILL MAKE YOUR ENTERPRISE IMMUNE FROM, THE MALICIOUS OR ILLEGAL CONDUCT

OF ANY PARTY.

FOLLOW US ON:

THANK YOU