위험 점수화 및 분류 프레임워크

개요

당신이 Panther AI로 알러트를 분류할 때당신은 다음을 보게 됩니다 위험 분류 점수.

Panther의 위험 점수 시스템은 의사 베이즈(log-오즈 비율) 접근 방식을 사용하여 보안 이벤트를 평가하며, 위험한 지표와 정상 지표를 결합해 -1(정상)에서 +1(위험)까지 정규화된 점수를 생성합니다.

핵심 방법론

시스템은 이진 판단을 내리는 대신 위험 및 정상 지표를 명시적으로 나열하도록 요구합니다. 각 지표는 기본 점수를 부여받고 신뢰도, 컨텍스트 및 시간 관련성을 반영하는 세 가지 곱셈 가중치가 적용됩니다.

지표 점수 척도

위험 지표 는 1-10 척도에서 양수 점수를 받습니다:

• 치명적 (8-10): 적극적인 악용, 성공적인 침해, 데이터 유출

• 높음 (6-7): 알려진 취약점 대상화, 권한 상승 시도, 측면 이동

• 중간 (4-5): 정찰, 스캐닝, 의심스러운 패턴, 정책 위반

• 낮음 (1-3): 경미한 이상, 구성 편차, 정보성 발견

정상 지표 는 -1에서 -10 척도에서 음수 점수를 받습니다:

• 강한 완화 (-8 ~ -10): 완전 차단, 성공적인 탐지, 검증된 오탐

• 중간 완화 (-4 ~ -7): 부분 차단, 예상된 동작, 승인된 활동

• 약한 완화 (-1 ~ -3): 제한된 통제, 합법성 불확실, 불완전한 데이터

가중치 요소

각 지표의 기본 점수는 세 가지 곱셈 요소(모두 0.0에서 1.0 범위)로 조정됩니다:

1. 증거 신뢰도: 데이터 소스의 신뢰성 및 분석 깊이

2. 컨텍스트 가중치: 자산 중요도, 환경 유형(운영 환경 대 샌드박스), 비즈니스 영향

3. 시간적 관련성: 활동이 얼마나 최근인지

   • 지난 24시간: 1.0

   • 1-7일: 0.8

   • 7-30일: 0.6

   • 30일 초과: 0.3

수학적 공식

시스템은 가중 점수를 두 개의 합계로 집계합니다:

ABIS (Aggregate Benign Indicators Score) = Σ(Score × Confidence × Context × Temporal) ARIS (Aggregate Risk Indicators Score) = Σ(Score × Confidence × Context × Temporal)

이들은 최종 점수로 결합됩니다:

CRS (Composite Risk Score) = (ARIS + ABIS) / (ARIS - ABIS)

이 정규화 공식은 다음과 같은 결과를 생성합니다:

• CRS = 0: 완벽히 균형(위험 증거와 정상 증거가 동일)

• CRS > 0: 높은 위험(위험 증거가 우세)

• CRS < 0: 낮은 위험(정상 증거가 우세)

분류 임계값

복합 위험 점수에 따라 이벤트는 다음과 같이 분류됩니다:

• 위험: CRS가 양의 임계값을 초과

• 정상(Benign): CRS가 음의 임계값 아래로 떨어짐

• 결론 도출 불가: CRS가 임계값 사이에 위치

이론적 기반

이 방법론은 확립된 위험 평가 프레임워크에서 차용합니다:

• CVSS v3.1: 기본, 시간적 및 환경 메트릭의 곱셈 가중치

• FAIR (Factor Analysis of Information Risk): 위협 빈도, 취약성 및 손실 규모 요소 결합

• 베이지안 위험 점수: 이진 분류를 위한 로그-오즈 비율 사용

• OCTAVE 접근법: 증거 기반 위험 관리

주요 장점

이 접근법은 분석가에게 이진의 "좋음/나쁨" 판단을 피하도록 요구합니다:

• 지지 및 반박 증거를 명시적으로 문서화하기

• 데이터 품질에 기반한 신뢰도 수준 할당하기

• 환경적 컨텍스트(자산 중요도, 비즈니스 중요성) 고려하기

• 과거 패턴보다 최근 활동에 더 높은 가중치 부여하기

이는 엄격한 증거 기반 추론을 강제하고 단일 지표나 가정에 과도하게 의존하는 것을 방지합니다. 시간적 감소는 오래된 지표가 인위적으로 위험 점수를 부풀리지 않도록 하고, 컨텍스트 가중치는 중요 운영 시스템에 대한 공격과 개발 샌드박스 내 활동을 적절히 구분할 수 있게 합니다.