피드로 돌아가기
Your security tool should tell users what to change, not just what's wrong
Dev.toDev.to
Security

Predicate AST 역산 기반의 Counterfactual Reasoning으로 Triage 시간 최소화

Your security tool should tell users what to change, not just what's wrong

Bala Paranj2026년 4월 23일9advanced

AI 요약

Context

기존 보안 도구의 REMEDIATION 필드가 제공하는 일반적인 가이드라인만으로는 구체적인 설정 변경 지점을 파악하기 어려운 한계 존재. 엔지니어가 콘솔에서 수동으로 원인을 분석하고 수정안을 찾는 과정에서 발생하는 불필요한 Triage 시간 낭비 발생.

Technical Solution

  • Predicate AST(Abstract Syntax Tree) 기반의 구조적 룰 설계를 통한 기계적 분석 체계 구축
  • Operator Inverter 로직을 적용하여 검출 조건(Predicate)을 반전시킨 Counterfactual Fix 자동 생성
  • Property Registry를 통한 스키마 경로의 Human-readable Label 매핑으로 가독성 확보
  • Observed-value Lookup을 통해 실제 환경의 설정값과 수정 필요 값을 1:1로 대조하는 DELTA 섹션 구현
  • 단순 조언(Advice)이 아닌, 특정 값 변경 시 탐지가 사라짐을 증명하는 기계적 사실(Mechanical Fact) 제공
  • 규칙별 개별 가이드 작성 없이 AST Walk만으로 모든 컨트롤에 확장 가능한 설계 적용

실천 포인트

1. 보안/검증 룰 정의 시 단순 스크립트 대신 AST 기반의 구조적 프레임워크 채택 검토

2. '무엇이 잘못되었는가'를 넘어 '어떤 값을 어떻게 바꿔야 하는가'를 제공하는 Delta-based 리포팅 설계

3. 도메인 지식 기반의 수동 가이드라인과 기계적 역산 기반의 수정안을 분리하여 제공

태그

#Predicate#Triage#Counterfactual Reasoning#AST#Security Automation
원문 읽기