보안운영
블로그ㅣ기업들이 직면할 수 있는 ‘공격 표면’ 과제 5가지
공격 표면이 커지고 복잡해지면서 보안과 소프트웨어 개발 간 격차가 확대되고, 취약점이 증가하며, 보안 조사가 느려지고 있다. ESG(Enterprise Strategy Group)의 최신 보고서에 따르면, 2년 전보다 보안 운영이 더 어려워졌다고 답한 기업이 절반 이상(52%)에 달했다. 그 이유로는 진화하는 위험과 위협 환경(41%), 커지는 공격 표면(38%), 경고 볼륨과 복잡성(37%), 퍼블릭 클라우드 서비스 사용 증가(34%)가 꼽혔다. 여기서 주목해야 할 것은 바로 증가하는 공격 표면이다. 모자이크 브라우저(웹 브라우저의 시조)를 사용하기 시작한 이후로 공격 표면은 꾸준하게 증가해왔지만 지난 몇 년 동안은 더욱더 그랬다. 아마존, 코로나19 사태 또는 디지털 트랜스포메이션 등으로 인해 기업들은 IT 시스템을 서드파티에 연결하고, 원격근무자를 지원하며, 클라우드 네이티브 애플리케이션을 개발하고, 기록적인 수의 SaaS 서비스를 사용하고 있다. 일반적으로 기업들은 인터넷과 연결된 수만 개의 자산을 쓴다. 점점 더 커지는 공격 표면이 오래된 보안 운영 관행을 위협하고 있다. 그렇다면 실제로 어떤 영향을 미치고 있을까? ESG는 보안 전문가 376명에게 이 질문을 던졌다. 보안 전문가들이 말한 문제는 다음과 같다. 개발자와 더 긴밀한 관계가 필요하다. 이는 기업들이 더 많은 클라우드 네이티브 애플리케이션을 개발하고 새 기능을 프로덕션 애플리케이션에 지속적으로 푸시하면서 나타난 소프트웨어 개발과 보안 간의 격차를 의미한다. 서버리스 기능을 사용하고 있는가? 안전하지 않은 API에 연결하겠는가? 오픈 S3 버킷에 민감한 데이터를 남겨두겠는가? 많은 경우, 보안팀은 이러한 질문의 답을 모른다. 보안/개발자 간극을 메우는 것은 모든 CISO에게 최우선 순위가 돼야 한다. 현 도구 및 프로세스의 재평가로 이어진다. 이는 보안 운영팀을 계속 괴롭히는 또 ...
2020년 주시해야 할 5가지 보안 운영 및 분석 트렌드
ESG의 조사 결과에 따르면, 더 응집력 있는 보안 기술 아키텍처를 구현하기 위해 이질적인 보안 분석 및 운영 도구를 적극적으로 통합하는 기업의 비율이 36%에 이른다. 또, 보안 분석과 운영 도구 통합에 어느 정도 적극적으로 접근하고 있다고 답한 비율도 48%에 달했다. 이런 데이터는 필자(ESG 소속)가 지난 3년간 컨설팅을 하고 글을 쓴 보안 운영 및 분석 플랫폼 아키텍처(security operations and analytics platform architecture, SOAPA)를 설명한다. 포인트 도구들을 혼합해 사용하는 방법으로는 현재의 보안 요구사항, 데이터 볼륨, 프로세스 자동화 등에 보조를 맞출 수 없다. 이에 CISO들이 이런 니즈를 충족하기 위해 통합된 SOAPA 솔루션을 구축하거나 구입하고 있다. 필자는 보안 운영 센터(security operation centers, SOC)를 혁신하는 조직이 증가하면서, 2020년이 SOAPA에 아주 중요한 한 해가 될 것으로 판단하고 있다. 다음은 필자가 주시할 SOAPA의 발전상 가운데 일부를 정리한 내용이다. 1. 원스톱 SOAPA 숍 보안 분석 및 운영 기술 벤더들은 기존 제품 포트폴리오를 보완하기 위해 계속해서 인수합병 활동에 박차를 가할 전망이다. 이는 새로운 트렌드가 아니다. 2019년, 마이크로 포커스는 인터세트(Interset)를, 팔로알토 네트웍스는 데미스토(Demisto)를, 수모 로직(Sumo Logic)은 JASK를 인수했다. 내년에도 프로세스 자동화와 고급 분석 등의 분야에서 M&A 활동이 활발할 것으로 예상된다. 그러나 주요 SIEM이 애노멀리(Anomali)와 스레트커넥트(ThreatConnect), 스레트쿼티언트(ThreatQuotient) 같은 위협 지능 플랫폼 하나 이상을 인수할 것으로 내다본다. 유사하게 어웨이크 시큐리티(Awake Security), 코어라이트(Corelight), 벡트라 네트웍스(Vectra Networks)...
사이버보안의 개념과 종류, 그리고 일자리
사이버보안(Cybersecurity)은 컴퓨터와 네트워크, 데이터를 악의적인 전자적 공격으로부터 보호하는 전반적인 활동이다. 실제 세상에서 건물이나 다른 사물에 대한 액세스를 제어하는 보다 전통적인 보안 활동인 물리적 보안과 비교가 되는 활동이다. 첨단 기술에 바탕을 둔 물리적 보안업체도 많고, 조직도에 물리적 보안과 사이버보안이 결합되어 있는 경우도 있지만, 사이버보안은 사유지 침입이나 절도가 아닌 악의적 로그인과 코드로부터 자산을 보호하는 것에 초점이 맞춰진 활동이다. 사이버보안의 종류 사이버보안은 여러 특정 분야의 활동을 포괄하는 광범위한 개념이다. 분류 방법은 많다. 예를 들어, 카스퍼스키 랩의 분류 체계가 있고, 마인드코어도 이런 체계를 갖고 있다. 하지만 다음과 같이 분류하는 경우가 가장 많다. - 네트워크 보안(Network security)은 승인되지 않은 상태에서 기업 네트워크를 침입하는 것을 막거나 방지하는 활동이다. - 애플리케이션 보안(Application security)은 애플리케이션 코드의 취약점을 찾아서 수정해 앱을 더 안전하게 만드는 보안 활동이다. - 데이터 보안으로도 부르는 정보 보안(Information security)은 저장 상태나 머신 간 전송 상태에서 승인되지 않은 액세스나 조작으로부터 데이터를 계속 안전하게 유지하는 활동이다. - OPSEC이라는 약자로 지칭되는 경우가 많은 운영 보안(Operational security)은 영리한 악의적 행위자가 적절히 분석을 하거나 다른 데이터와 결합하는 방법으로 숨겨야 할 ‘큰 그림’을 노출시킬 수 있는 퍼블릭 데이터를 평가, 보호하는 프로세스이다. - 재해 복구(disaster recovery)에도 사이버보안 활동으로 분류될 수 있는 요소들이 있다. 예를 들어, 사이버 공격으로 초래된 광범위한 데이터 손실이나 서비스 중지 상태를 바로잡아 복구하는 기법이 여기에 해당된다. 이런 사이버보안 활동들로 역시 특정한 개념을 갖고 있는 사이버보안 위협을 다룬다. 사...
IDG 블로그 | SOAPA와 SOAR, 차이점을 아시나요
SOAPA(Security Operations and Analytics Platform Architecture)와 SOAR(Security Orchestration, Automation, and Response)은 동일하게 보이지만 이 용어들은 많이 다르다. SOAR 도구는 SOAPA의 구성 요소 가운데 하나다. SOAPA는 다음과 같은 내용을 특징으로 하는 상향식 아키텍처다. - 공통 분산 데이터 서비스(Common distributed data service) SOAPA는 대량의 배치 및 스트리밍 데이터를 위한 공통 데이터 파이프 라인을 만든다. 이런 방식으로 SOAPA는 실시간 위협 탐지에서 수개월 또는 수년에 걸친 장기적인 보안 데이터 조사에 이르기까지 분석을 위한 방대한 양의 보안 데이터를 수용할 수 있다. - 소프트웨어 서비스 및 통합 계층(Software services and integration layer) 이 계층은 보안 데이터와 데이터를 사용하는 분석 엔진을 연결하는 역할을 한다. 간단히 말해 소프트웨어 서비스 및 통합 계층은 보안 데이터를 원하는 시기에 원하는 형식으로 분석 엔진에 제공한다. - 분석 계층(Analytics layer) 보안 데이터는 엔드포인트 프로세스, 네트워크 행위, 위협 인텔리전스 패턴, 또는 이런 모든 영역을 한 번에 모니터링하는 다양한 보안 도구를 통해 조사된다. SOAPA 분석 계층은 모든 보안 데이터를 효율적으로 모니터링하고 분석하도록 설계되어 SOC 팀이 위협 탐지, 문제 파악, 실행의 우선 순위를 빠르게 정할 수 있도록 한다. - 보안 운영 플랫폼 계층(Security operations platform layer) 보안 분석 과정에서 문제를 발견하면 치료 작업을 보안 운영 플랫폼 계층으로 이관할 수 있다. SOAPA의 최상위 계층은 프로그래밍이 가능하며, 조사를 위한 데이터 수집, 네트워크 연결...
사이버보안 전문가들이 얘기하는 기업들의 보안 속사정
보안이 이사회의 주요 이슈가 되었음에도 불구하고 아직도 많은 조직이 사이버보안 문제를 다루는 것에 대해 어려움을 겪고 있다. <과도기 사이버 보안 분석과 운영>이라는 ESG 연구 보고서는 소속 기관의 보안 운영 프로세스와 직접적으로 관련되어 있는 412인의 사이버 보안 및 IT 전문가들을 대상으로 한 설문 조사를 바탕으로 작성되었다. 이 설문 조사의 일환으로, 응답자들은 여러 가지 문장을 보고 거기에 대해 동의하는지 아닌 지를 선택했다. 설문 조사에서 물어본 질문 가운데 기업들의 보안 속사정을 알아볼 수 있는 내용은 다음과 같다. - '비즈니스 경영진들이 보안 분석과 운영 개선에 대해 사이버보안 팀에게 압력을 가하고 있다.' 응답자의 73%가 이 문장에 강력하게 동의 또는 동의했다. 사이버 보안이 이사회의 주요 관심사라는 증거가 바로 여기에 있다. 좋은 소식은 조사 대상 기관의 81%는 보안 운영 예산을 늘릴 계획이어서 최소한 문제 해결에 돈을 아끼지는 않을 것이라는 사실이다. 반면 나쁜 소식이라면 사이버 보안 팀은 이제 가시적이고 측정 가능한 결과물과 ROI를 보장해야 한다는 것이다. - '우리 기업의 보안 분석과 운영은 소수의 핵심 인물들에 의해 좌우되고 있다.' 설문 응답자의 72%가 강력하게 동의 또는 동의했다. 이는 참으로 위험한 일이다! 몇몇 주요 SOC 관계자들이 보안 운영 프로세스를 좌지우지할 수 있다는 것은 전 세계적 사이버 보안 관련 인재 부족 상황을 고려했을 때 아주 위험한 접근이다. 사고 대응 경험이 많은 전문가가 해당 조직을 그만둘 경우 이를 대체할 인력을 구하지 못해 큰 어려움에 봉착할 수 있다. CISO는 정식 보안 운영 프로세스를 도입하고 주니어 SOC 직원의 교육을 통해 이런 위기 상황을 빠르게 해결해야 할 것이다. - '보안 분석과 운영 효율성이 제한된 이유는 다수의 독립적인 툴에 기반하고 있기 때문이다.' 설문 응답자의 66%가 강력하게 ...
추천기사
