COHORT: 에뮬레이션된 토폴로지 상의 공격적 재현을 통한 방어 강화용 협업 오케스트레이션

기업 네트워크에서 관찰된 공격자(adversary)를 완화하는 작업은 일반적으로 전문가의 작업이 수주씩 소요됩니다. 분석가는 해당 공격자에 맞춤화된 완화책을 도출하고, 운영 환경을 망가뜨리지 않으면서 이를 검증하며, 특정 공격을 차단하는지 확인합니다. 이 절차는 전문가의 판단에 의존하며, 운영 네트워크(production network)를 대상으로 안전하게 실행할 수 없습니다. COHORT는 배포 가능한 완화책을 위해 이 절차를 자동화하는 최초의 엔드투엔드(end-to-end) 프레임워크입니다. 역할이 분해된 멀티 에이전트 LLM 워크플로우는 후보를 제안하고, 이를 실제 장치 명령어로 구현하며, 비판 루프(critique loop)를 통해 이를 정교화합니다. 이 모든 과정은 실제 벤더 펌웨어(방화벽, 스위치, 라우터)가 실행되는 고충실도 GNS3 에뮬레이터 상에서 이루어집니다. 각 후보는 공격적 재현(offensive replay)을 통해 평가됩니다. 이는 이전의 시뮬레이션, 하이브리드 및 구성 생성(configuration-generation) 작업에서 사용된 보상 신호(reward-signal)나 전문가 판단 대리 지표 대신, 완화되지 않은 기준점(baseline)과 쌍을 이루어 비교하기 위해 완화된 네트워크에서 원래의 공격자를 재실행하는 방식입니다. 재현을 보완하기 위해 두 가지 추가 점검이 수행됩니다. 연결성 회귀 점검(connectivity-regression check, LAN ping 및 인터넷 HTTP 프로브)은 정당한 LAN 또는 인터넷 연결을 방해하는 완화책을 거부하며, 누적 평가(cumulative evaluation)는 승인된 완화책을 지속적인 상태(persistent state)에 쌓아 복합적인 효과를 드러냅니다. 세 가지 토폴로지와 네 가지 공격 시나리오(랜섬웨어, 측면 이동(lateral movement), DNS 데이터 유출(DNS exfiltration), 데이터 절도)에 걸쳐, 생성된 완화책의 46.7%가 재현 하에서 공격을 차단하는 동시에 연결성을 유지했으며, 이는 동일한 모델과 도구 액세스를 사용하는 싱글 에이전트(single-agent) 기준점보다 4.4배 높은 비율입니다. 프레임워크를 설명하는 데모 영상은 공개된 결과물과 함께 제공됩니다.