search
Knowledge BaseRelease NotesRequest Demo

리스크 스코어링 및 분류 프레임워크

hashtag
개요

당신이 Panther AI로 알러트를 트리아주할 때, 다음과 같은 위험 분류 점수를 보게 됩니다.

Panther의 위험 점수 시스템은 의사-베이지안 로그 오즈 비율 접근법을 사용하여 보안 이벤트를 평가하며, 위험 지표와 무해한 지표를 모두 결합해 -1(무해)부터 +1(위험)까지의 범위를 갖는 정규화된 점수를 산출합니다.

hashtag
핵심 방법론

이 시스템은 이진 판단을 내리는 대신, 위험 지표와 무해한 지표를 모두 명시적으로 열거해야 합니다. 각 지표는 기본 점수를 받으며, 이후 신뢰도, 맥락, 시간적 관련성을 반영하기 위해 세 가지 곱셈 가중치가 적용됩니다.

hashtag
지표 점수 척도

위험 지표 는 1-10 척도에서 양의 점수를 받습니다:

  • 치명적(8-10): 활성 악용, 성공적인 침해, 데이터 유출

  • 높음(6-7): 알려진 취약점이 표적이 됨, 권한 상승 시도, 측면 이동

  • 중간(4-5): 정찰, 스캔, 의심스러운 패턴, 정책 위반

  • 낮음(1-3): 경미한 이상, 구성 드리프트, 정보성 발견

무해한 지표 는 -1에서 -10 척도에서 음의 점수를 받습니다:

  • 강한 완화(-8 ~ -10): 완전 차단, 성공적인 디택션, 확인된 오탐

  • 보통 수준의 완화(-4 ~ -7): 부분 차단, 예상된 동작, 승인된 활동

  • 약한 완화(-1 ~ -3): 제한된 통제, 불확실한 적법성, 불완전한 데이터

hashtag
가중치 요소

각 지표의 기본 점수는 세 가지 곱셈 요소(모두 0.0~1.0 범위)로 조정됩니다:

  1. 증거 신뢰도: 데이터 소스의 신뢰성과 분석 깊이

  2. 맥락 가중치: 자산 중요도, 환경 유형(운영 vs. 샌드박스), 비즈니스 영향

  3. 시간적 관련성: 활동이 얼마나 최근에 발생했는지

    • 지난 24시간: 1.0

    • 1-7일: 0.8

    • 7-30일: 0.6

    • 30일 초과: 0.3

hashtag
수학적 공식

시스템은 가중 점수를 두 개의 합계로 집계합니다:

ABIS(총 무해 지표 점수) = Σ(점수 × 신뢰도 × 맥락 × 시간) ARIS(총 위험 지표 점수) = Σ(점수 × 신뢰도 × 맥락 × 시간)

이 값들은 최종 점수로 결합됩니다:

CRS(복합 위험 점수) = (ARIS + ABIS) / (ARIS - ABIS)

이 정규화 공식은 다음과 같은 결과를 생성합니다:

  • CRS = 0: 완벽하게 균형됨(위험 및 무해 증거가 동일함)

  • CRS > 0: 높은 위험(위험 증거가 우세함)

  • CRS < 0: 낮은 위험(무해 증거가 우세함)

hashtag
분류 임계값

복합 위험 점수를 기준으로 이벤트는 다음과 같이 분류됩니다:

  • 위험: CRS가 양의 임계값을 초과함

  • 무해: CRS가 음의 임계값보다 낮음

  • 판단 불가: CRS가 임계값 사이에 있음

hashtag
이론적 기반

이 방법론은 확립된 위험 평가 프레임워크에서 비롯됩니다:

  • CVSS v3.1: 기본, 시간적, 환경적 지표의 곱셈 가중치

  • FAIR(정보 위험의 요인 분석): 위협 빈도, 취약성, 손실 규모 요인을 결합

  • 베이지안 위험 점수: 이진 분류를 위해 로그 오즈 비율을 사용

  • OCTAVE 접근법: 증거 기반 위험 관리

hashtag
주요 장점

이 접근법은 분석가가 다음을 수행하도록 요구함으로써 이진 "좋음/나쁨" 판단을 피합니다:

  • 지지하는 증거와 반대하는 증거를 모두 명시적으로 문서화

  • 데이터 품질에 따라 신뢰도 수준 할당

  • 환경 맥락(자산 중요도, 비즈니스 중요도) 고려

  • 과거 패턴보다 최근 활동에 더 큰 가중치 부여

이는 엄격하고 증거 기반의 추론을 강제하고 단일 지표나 가정에 대한 과도한 의존을 방지합니다. 시간적 감쇠는 오래된 지표가 위험 점수를 인위적으로 높이지 않도록 보장하며, 맥락 가중치는 중요한 운영 시스템에 대한 공격과 개발 샌드박스에서의 활동을 적절히 구분할 수 있게 합니다.

hashtag
워크플로에서 위험 점수 사용하기

위험 분류 점수는 알러트 대기열의 우선순위를 정하고 분석가의 시간을 가장 중요한 곳에 집중하는 데 도움이 됩니다:

  • 위험(CRS가 0보다 상당히 높음): 즉시 조사가 필요합니다. 위험 지표를 검토하고 인용된 증거와 대조하여 AI의 결과를 확인하세요.

  • 판단 불가(CRS가 0에 가까움): 추가 맥락이 필요합니다. 추가 데이터를 수집하기 위해 후속 프롬프트를 실행하거나, 알러트와 연관된 이벤트를 수동으로 검토하세요.

  • 무해(CRS가 0보다 상당히 낮음): 우선순위를 낮춰도 될 가능성이 높지만, 무해 지표가 환경에 대한 귀하의 이해와 일치하는지 확인하기 위해 검토하세요.

위험 점수는 최종 판결이 아니라 우선순위 결정을 위한 출발점입니다. 점수에 기여한 개별 지표(위험 및 무해 모두)를 항상 검토하고, Panther AI가 제공한 인용 을 사용하여 기본 데이터를 검증하세요.

이전Panther AI 워크플로 예시다음예약 AI 프롬프트(베타)

마지막 업데이트

도움이 되었나요?