2019.08.26

"보안팀의 수동 프로세스 개선이 필요하다" 위협 탐지 및 대응의 과제

Jon Oltsik | CSO
사이버보안팀은 맞서 싸우고 있으며, 여전히 수동 프로세스에 의존한다. 한편 공격 표면은 계속 커지고 있기 때문에 프로세스 개선이 절실한 상황이다. 
 
ⓒ Getty Images Bank 

사이버 위협을 신속하게 탐지하고 이에 대응하는 것은 사이버보안의 골치꺼리와 값비싼 데이터 유출 간의 차이로 나타날 수 있다. 따라서 위협 탐지 및 대응(threat detection and response)은 주요 비즈니스 요구 사항이 된다. 

이를 감안할 때, 위협 탐지 및 대응은 스위스 시계처럼 효율적으로 실행되는 고도로 조정된 프로세스가 중요하다고 생각할 것이다. 하지만 불행히도 이는 현실과 거리가 멀다. 

ESG 리서치에 따르면, 위협 탐지 및 대응에는 수많은 문제가 있다. 372명의 기업 사이버보안 및 IT 전문가에게 질문한 결과, 기업의 위협 탐지 및 대응에는 다음과 같은 5가지 주요 문제가 있다.   

- 36%는 조직의 사이버보안팀이 전략 또는 프로세스 개선에 시간이 충분하지 않고 우선 순위가 높거나 긴급한 문제를 해결하는 데 대부분의 시간을 소비한다고 응답했다. 다시 말해 SOC(Security Operations Center)팀은 지속적인 전투 모드에 있다. 이는 아무것도 개선되지 않는 자체 영속적인 사이클 속에서 직원들의 극도의 피로와 높은 마모율로 이어진다.
 
- 30%는 조직이 새로운 네트워크/클라우드 기반 호스트, 애플리케이션 및 사용자를 추가해 사이버보안 팀이 인프라 규모를 따라가기가 어려워졌다고 응답했다. 이는 공격 영역이 확장되는 전형적인 사례이며, 거의 모든 조직이 워크로드를 퍼블릭 클라우드로 옮기고 SaaS 애플리케이션을 수용하며, IoT 장치를 배포하고 있기 때문에 공격 영역의 확장은 계속될 것으로 보인다. 

- 30%는 네트워크에 하나 또는 여러 개의 사각지대(blind spots)가 있다고 응답했다. 사이버보안 문제와 관련해 오래된 “측정할 수 없는 것을 관리할 수 없다”는 문제가 있었다. 

- 26%는 위협 탐지 및 대응이 수동 프로세스에 의해 고정되거나 유지 능력을 방해한다고 응답했다. 

- 24%는 조직에 위협 인텔리전스를 운영할 수 있는 도구와 프로세스가 없기 때문에 자사의 온프레미스 보안 사고와 해커 세계에서 일어나는 상황과 비교하기가 사실상 어렵다고 말했다. 사이버 대적(cyber-adversary) 전술, 기술 및 절차(TTPs)에 대한 현재 지식이 없으면 조직은 누가 공격하고 있는지, 이런 공격이 어떻게 수행되는지, 왜 공격 대상이 됐는지를 알 수 없다. 

 
보안은 프로세스다

이런 상황을 해결하는 것은 모든 조직에 있어 최우선 과제여야 한다. 예를 들어 여기에는 보안 모니터링, 위협 인텔리전스 분석과 같은 기술 요구사항이 있지만, 무엇보다 브루스 슈나이어의 “보안은 제품이 아니라 프로세스”라는 유명한 격언을 되새겨야 한다. 

CISO는 브루스의 조언에 귀를 기울이고 조직의 위협 탐지 및 대응 프로세스의 현재 상태를 평가해야 한다. 데이터에 따르면, 이런 많은 보안 프로세스는 수동이기 때문에 문제가 될 수 있다. 이 외에도 다음과 같은 질문을 통해 스스로를 평가해 볼 필요가 있다. 

- 이런 프로세스가 공식화되고 문서화되는가? 
- 모범 사례 지침(예를 들어, 사고 처리에 대한 NIST 지침)을 준수하는가? 
- 이런 프로세스와 관련해 실행서(Runbook)가 있는가? 
- 잘 확립된 프로세스를 자동화하려는 지속적인 노력이 있는가? 

물론 이런 평가를 통해 사람과 기술 요구사항을 파악할 수 있지만, 위협 탐지 및 대응 프로세스 요구사항을 해결하는 것이 좋다. 그리고 이는 비즈니스 크리티컬한 영역이기 때문에 CISO는 경영진과 이사회에 위협 탐지 및 대응 개선을 측정하는 데 사용되는 요구사항, 변경 사항, 측정 항목에 대한 정보를 제공해야 한다. editor@itworld.co.kr 


2019.08.26

"보안팀의 수동 프로세스 개선이 필요하다" 위협 탐지 및 대응의 과제

Jon Oltsik | CSO
사이버보안팀은 맞서 싸우고 있으며, 여전히 수동 프로세스에 의존한다. 한편 공격 표면은 계속 커지고 있기 때문에 프로세스 개선이 절실한 상황이다. 
 
ⓒ Getty Images Bank 

사이버 위협을 신속하게 탐지하고 이에 대응하는 것은 사이버보안의 골치꺼리와 값비싼 데이터 유출 간의 차이로 나타날 수 있다. 따라서 위협 탐지 및 대응(threat detection and response)은 주요 비즈니스 요구 사항이 된다. 

이를 감안할 때, 위협 탐지 및 대응은 스위스 시계처럼 효율적으로 실행되는 고도로 조정된 프로세스가 중요하다고 생각할 것이다. 하지만 불행히도 이는 현실과 거리가 멀다. 

ESG 리서치에 따르면, 위협 탐지 및 대응에는 수많은 문제가 있다. 372명의 기업 사이버보안 및 IT 전문가에게 질문한 결과, 기업의 위협 탐지 및 대응에는 다음과 같은 5가지 주요 문제가 있다.   

- 36%는 조직의 사이버보안팀이 전략 또는 프로세스 개선에 시간이 충분하지 않고 우선 순위가 높거나 긴급한 문제를 해결하는 데 대부분의 시간을 소비한다고 응답했다. 다시 말해 SOC(Security Operations Center)팀은 지속적인 전투 모드에 있다. 이는 아무것도 개선되지 않는 자체 영속적인 사이클 속에서 직원들의 극도의 피로와 높은 마모율로 이어진다.
 
- 30%는 조직이 새로운 네트워크/클라우드 기반 호스트, 애플리케이션 및 사용자를 추가해 사이버보안 팀이 인프라 규모를 따라가기가 어려워졌다고 응답했다. 이는 공격 영역이 확장되는 전형적인 사례이며, 거의 모든 조직이 워크로드를 퍼블릭 클라우드로 옮기고 SaaS 애플리케이션을 수용하며, IoT 장치를 배포하고 있기 때문에 공격 영역의 확장은 계속될 것으로 보인다. 

- 30%는 네트워크에 하나 또는 여러 개의 사각지대(blind spots)가 있다고 응답했다. 사이버보안 문제와 관련해 오래된 “측정할 수 없는 것을 관리할 수 없다”는 문제가 있었다. 

- 26%는 위협 탐지 및 대응이 수동 프로세스에 의해 고정되거나 유지 능력을 방해한다고 응답했다. 

- 24%는 조직에 위협 인텔리전스를 운영할 수 있는 도구와 프로세스가 없기 때문에 자사의 온프레미스 보안 사고와 해커 세계에서 일어나는 상황과 비교하기가 사실상 어렵다고 말했다. 사이버 대적(cyber-adversary) 전술, 기술 및 절차(TTPs)에 대한 현재 지식이 없으면 조직은 누가 공격하고 있는지, 이런 공격이 어떻게 수행되는지, 왜 공격 대상이 됐는지를 알 수 없다. 

 
보안은 프로세스다

이런 상황을 해결하는 것은 모든 조직에 있어 최우선 과제여야 한다. 예를 들어 여기에는 보안 모니터링, 위협 인텔리전스 분석과 같은 기술 요구사항이 있지만, 무엇보다 브루스 슈나이어의 “보안은 제품이 아니라 프로세스”라는 유명한 격언을 되새겨야 한다. 

CISO는 브루스의 조언에 귀를 기울이고 조직의 위협 탐지 및 대응 프로세스의 현재 상태를 평가해야 한다. 데이터에 따르면, 이런 많은 보안 프로세스는 수동이기 때문에 문제가 될 수 있다. 이 외에도 다음과 같은 질문을 통해 스스로를 평가해 볼 필요가 있다. 

- 이런 프로세스가 공식화되고 문서화되는가? 
- 모범 사례 지침(예를 들어, 사고 처리에 대한 NIST 지침)을 준수하는가? 
- 이런 프로세스와 관련해 실행서(Runbook)가 있는가? 
- 잘 확립된 프로세스를 자동화하려는 지속적인 노력이 있는가? 

물론 이런 평가를 통해 사람과 기술 요구사항을 파악할 수 있지만, 위협 탐지 및 대응 프로세스 요구사항을 해결하는 것이 좋다. 그리고 이는 비즈니스 크리티컬한 영역이기 때문에 CISO는 경영진과 이사회에 위협 탐지 및 대응 개선을 측정하는 데 사용되는 요구사항, 변경 사항, 측정 항목에 대한 정보를 제공해야 한다. editor@itworld.co.kr 


X