SentinelOne은 설립 초기부터 인공 지능 (AI)을 사이버 보안에 대한 접근 방식의 핵심에 배치했습니다. 사이버 보안의 세계에서 항상 공격자와 방어자의 치열한 경쟁이 펼쳐지고 있다는 것은 우리 모두가 아는 사실입니다. 그리고 작년 말에 ChatGPT가 등장한 이래, 공격자에 의한 ChatGPT나 대규모 언어 모델(LLM)을 사용한 사이버 공격의 시도가 여러 번 진행되고 있습니다.
가장 최근의 시도는 작성자가 “Black Mamba”라고 이름 붙인 생성 AI를 사용하여 생성 된 다형성 맬웨어였습니다. 그리고 이제 보안 솔루션이 이러한 종류의 AI를 이용한 맬웨어에 대해 얼마나 대처할 수 있는지를 묻고 있습니다. BlackMamba와 같은 개념 증명(PoC)은 근본적으로 혁신된 도구나 사이버 보안에 대한 접근이 없으면 조직이 무방비가 되어 버리는 것과 같은 완전히 새로운 종류의 위협이 될까요? AI 위협은 과도하게 홍보되었으며 공격자의 TTP와 같은 일반적인 개발 방법 중 하나에 불과하며 현재 사이버 보안에 대한 이해와 프레임 워크의 범위 내에서 해결할 수 있습니다. 그것은 무엇입니까?
AI에 의해 생성된 소프트웨어의 능력에 대한 우려는 AI 기술 자체가 위협인지 우려에까지 발전하고 있습니다. 만약 그렇다면, 사회 전체가 어떻게 AI 테크놀로지에 대응해야 할까요?
여기에서는 BlackMamba 등의 PoC나 ChatGPT 등의 LLM에 의해 제기된 질문과 일반적인 질문을 이용해 설명합니다.
「BlackMamba」란?
BlackMamba의 작성자에 따르면 BlackMamba는 Proof of Concept(PoC/개념 증명) 맬웨어이며 무해한 실행 파일을 이용하여 런타임 시 높은 지명도를 가진 AI(OpenAI)에 액세스하고 감염된 사용자의 키 스트로크를 훔치는 것을 목표로하는 다형성 악성 코드를 반환합니다.
AI의 사용은 제작자의 경험으로부터 탐지 회피에 필요한 두 가지 과제를 극복하는 것을 목표로 합니다. 첫 번째는 비정상적인 C2가 아닌 “무해한” 원격 소스에서 페이로드를 얻음으로써 BlackMamba 트래픽이 악의적 인 것으로 간주되지 않도록 하는 것입니다. 두 번째는 매번 고유의 맬웨어 페이로드를 전달할 수 있는 생성 AI를 활용하여 보안 솔루션이 속여서 반환된 코드가 악의적인 것으로 인식되지 않도록 하는 것이었습니다.
BlackMamba는 Python의 exec() 함수를 사용하여 무해한 프로그램의 AI에서 동적으로 생성된 코드를 실행합니다. 악의적인 폴리모픽 부분은 메모리에 남아 있기 때문에 BlackMamba 제작자는 기존 EDR 솔루션으로는 감지할 수 없을 수 있다고 주장합니다.
BlackMamba와 유사한 AI가 생성한 악성코드 감지
바로 위의 과제는 사이버 보안 커뮤니티에서 잘 이해됩니다. Pastebin, Dropbox, Microsoft Azure, AWS 및 기타 클라우드 인프라와 같은 무해한 채널이 합법적 인 네트워크 서비스 노이즈 중에 악의적 인 트래픽을 숨기려는 것과 같은 이유로 과거에 악용 되는 것을 보았습니다.
폴리모픽 맬웨어도 새로운 것이 아닙니다. 이것은 업계가 전통적인 AV 솔루션에서 SentinelOne과 같은 차세대 AI 기반 솔루션으로 전환하는 것을 뒷받침하는 요인 중 하나입니다.
악성 코드를 메모리에 격리하는 것과 관련하여 말하면, 악성코드를 구축하기 위한 새로운 접근법은 아닙니다. 코드나 데이터를 디스크에 기록하지 않기 때문에 이러한 일련의 동작을 모니터링하는 보안 조치를 피할 수 있다는 생각은 오랫동안 공격자에게 매력적이었습니다. 그러나 최신 보안 공급업체는 이 전술을 잘 알고 있습니다. SentinelOne 및 다른 많은 EDR/XDR을 제공하는 기업은 보호된 시스템에서 이러한 동작에 필요한 가시성을 갖추고 있습니다. 악의적 인 코드를 가상 메모리 (폴리 모픽이든 아니든간에)로 제한하면 뛰어난 엔드 포인트 보안 솔루션을 피할 수 없습니다.
그렇다면 AI에 의해 생성된 악성코드는 AI를 이용한 보안 소프트웨어를 무너뜨릴 수 있는가? SentinelOne에서는 ChatGPT에서 생성한 맬웨어를 테스트하기로 결정했습니다.
AI는 새로운 종류의 위협을 초래합니까?
ChatGPT4 및 기타 업데이트된 모델을 사용할 수 있다는 점을 감안할 때, 지금 화제인 BlackMamba는 다음 달이나 다음 주에도 확실히 다른 AI 생성 PoC를 대체할 것입니다. 그렇다면 AI가 생성하는 악성코드와 공격에 대해 어떤 우려 사항으로 조직을 파악해야 합니까?
선도적인 미디어와 일부 보안 공급 업체는 AI를 괴물 프랑켄슈타인 ( “스스로 창조 한 것에 의해 멸망하는 사람”)으로 그렸습니다. 그러나 AI는 다른 기술과 마찬가지로 본질적으로 악이나 선이 아닙니다. 인공지능이 위험한지 여부는 우리가 인공지능을 어떻게 활용하는지에 깊이 관여합니다. BlackMamba와 같은 개념 증명은 AI에 의한 새로운 위험에 노출되지는 않지만, 공격자는 당연히 악용할 수 있는 모든 도구, 기술 및 절차를 찾을 것입니다. 우리는 기술을 공격해서는 안되지만, 지금까지와 같이 악의적인 목적으로 기술을 사용하는 공격자를 억제하고 방지하기 위해 노력해야합니다.
AI가 할 수 있는 일과 할 수 없는 것을 이해
AI 토론에 소용돌이치는 많은 우려는 AI란 무엇이며, AI는 어떤 구조인지를 명확히 할 필요가 있다는 점과 깊이 관련되어 있습니다. AI 시스템 및 ChatGPT와 같은 LLM의 효과는 데이터 세트의 품질과 다양성에 따라 달라집니다. 그리고 모델을 훈련시키는 데 사용되는 데이터 세트는 기능과 제한을 결정합니다.
방어자는 자신의 데이터 세트를 작성하여 경쟁 조건을 평준화할 수 있습니다. 그리고 이것은 SentinelOne이 오랫동안 전문화 한 위협 감지 및 대응 모델의 교육으로 사용할 수 있습니다.
하지만 AI는 무엇이든 할 수 있는 마법의 기술이 아닙니다. 특히 사이버 보안에서 AI가 할 수 있는 일에는 한계가 있습니다. AI 기반 시스템은 방어를 피하는 적대적 공격과 같은 성공적인 공격에 의해 속일 수 있습니다. 또한 AI는 판단을 내릴 수 없으며 데이터 집합이 다양하지 않으면 판단에 바이어스가 발생할 수 있습니다.
따라서 우리는 AI의 한계를 인식하고 포괄적인 보안 전략의 일부로 AI를 사용해야합니다. SentinelOne은 AI를 다른 보안 기술과 인간의 지능과 결합한 다층 접근법을 채택합니다.
인간의 지성은 어떻습니까?
오늘날의 AI 주도의 세계에서는, 최신의 기술적 진보에 얽매이기 쉽고, 인간의 지성의 중요성을 간과하기 쉽습니다. 엄청난 양의 데이터를 분석하고 패턴을 식별하는 AI의 능력이 있어도, 긴박한 중요도는 없더라도 인간의 관계는 여전히 필수적입니다. AI의 능력을 보완하기 위해서는 인간이 추론하고 창조적이고 비판적으로 생각하는 능력이 필요합니다.
공격자와 방어자는 AI를 통해 운영 자동화를 실현하고 있지만 효과적인 보안 대책을 전략화하고 배포하는 AI를 언제 어떻게 사용하여 게임의 우위를 유지할지 결정하는 것은 인간의 지성뿐입니다.
National Cybersecurity Strategy와 같은 최근 이벤트는 비즈니스와 사회를 위협으로부터 보호하는 것이 단일 도구를 사용하거나 주요 인재를 채택하는 것만을 의미합니다. 인공 지능이 장점과 단점에 대해 많은 논쟁을 일으키는 것처럼 인터넷은 사이버 보안을 공급 업체, 고객, 연구자, 법 집행 기관 등 다양한 이해 관계자 간의 협력을 필요로하는 집합적 과제로 만들었습니다.
정보를 공유하고 협력함으로써 AI를 이용한 공격에 견딜 수 있는 보다 강력한 방어 시스템을 구축할 수 있습니다. 성공을 위해서는 경쟁 의식에서 벗어나 협력 정신을 받아들이고, 맬웨어에 관한 전문 지식을 결합하고, 공격자의 사고 방식을 이해함으로써 끊임없이 변화하는 위협 상황에 대처할 수 있는 제품을 AI를 사용 만들어야합니다. 인간의 지성이라고 하는 것은, AI 주도의 방어를 진정으로 효과적으로 시키는 빠뜨릴 수 없는 요소입니다.
결론
사이버 보안은 공격자와 방어자 사이에서 발생합니다. 공격자는 방어를 피하는 새로운 방법을 시도하지만 방어자는 항상 한 걸음 앞서 가려고합니다. 악성 코드에서 AI를 사용하는 것은 이 게임의 변곡점 중 하나입니다. 우리와 같은 보안 벤더는 수십 년 동안 이 게임을 해왔습니다. SentinelOne은 AI의 엄청난 가능성을 이해하고 있으며, AI를 활용하여 10년 이상 고객을 보호해 왔습니다.
우리는 ChatGPT를 포함한 일반 AI와 LLM은 사람들이 좋든 나쁘든 사용할 수 있는 도구일 뿐이라고 생각합니다. 기술을 두려워하는 것이 아니라 방어를 개선하고 방어 측의 기술을 육성하는 데 집중해야합니다.
SentinelOne이 엔드포인트, 클라우드 및 ID 표면 전체에서 조직을 보호하는 방법에 대한 자세한 내용은 문의 또는 데모를 요청하십시오.