소프트웨어 및 하드웨어에 대한 보안 권장 사항은 지난 수십 년 동안 반복적으로 업데이트되었지만 여전히 시간의 테스트를 견디고 1980년대와 마찬가지로 항상 동일한 중요한 역할을 수행하는 몇 가지 기본 보안 권장 사항이 있습니다.
우리 모두가 알고 있는 한 가지는 데이터 보안 산업이 1990년대와 2000년대 초반의 원래 "과시 공격"에서 이후의 "금전적" 공격으로 진화하면서 지난 30년 동안 급속한 발전을 거듭해 왔다는 것입니다. "핵티비스트(hacktivist)" 공격부터 정부, 기업, 공공 인프라를 표적으로 삼는 현재의 더욱 파괴적인 국가 차원의 해킹 캠페인까지 다양합니다.
이러한 위협이 확대되고 발전함에 따라 기업의 보안 요구 사항도 증가하기 시작합니다. 우리는 바이러스 백신 소프트웨어 및 방화벽부터 데이터 손실 방지 및 로그 관리, 차세대 SIEM(보안 정보 및 이벤트 관리) 및 위협 인텔리전스에 이르기까지 현재 네트워크 문제를 해결하는 데 도움이 되는 많은 새로운 기술의 출현을 목격하고 있습니다. 보안 딜레마.
지난 몇 년 동안 우리는 기본적인 클라이언트-서버 솔루션, 네트워크 중심, 서버 중심, 워크로드 중심, 클라우드 중심, 파일 중심, 심지어는 블록 중심까지 경험해 왔습니다. 센터에서는 다양한 보안 제안을 제공합니다.
그러나 나타났다가 사라진 많은 제안 중에서 우리는 시간이 지나도 변함없는 몇 가지 기본 보안 개념을 발견했습니다. 다음은 시간의 시험을 성공적으로 견뎌온 5가지 보안 개념입니다.
1. 돈이 전부는 아닙니다.
수년 동안 기업은 수동적인 방식으로 지능형 악성 코드 및 사이버 범죄자와 싸워 왔습니다. 보안 문제와 규제 요구 사항도 소극적으로 대응하고 있습니다. 기업은 새로운 기술을 구매하기 위해 돈을 지출하고 이러한 기술을 관리하기 위해 더 많은 직원과 파트너를 고용하는 방법만 알고 있습니다. 보안 팀은 회사가 어떤 자산을 소유하고 있는지 전혀 알 수 없었고 인프라가 비대해지고 관리하기 어려웠기 때문에 이러한 접근 방식은 궁극적으로 기업 보안 위기를 초래했습니다.
이러한 대응적 보안 전략은 비용을 낭비할 뿐만 아니라 종종 서로 조화롭게 작동하지 않는 IT 인프라의 포인트 솔루션이 뒤죽박죽되는 결과를 낳습니다. 이로 인해 기업이 성공적으로 구축했다고 생각했던 네트워크 기반에 균열이 발생하여 사이버 범죄자가 접근할 수 있는 기회가 생기는 경우가 많습니다. 사실은 더 많은 안전 지출이 항상 더 적은 안전 사고로 이어지는 것은 아니라는 것을 보여줍니다.
조직은 보안 지출에 접근하는 방식을 재고해야 합니다. 모든 신제품을 구매하기 전에 기업은 최고의 기술에 대한 필요성과 보안 인프라 구축에 대한 중요성을 신중하게 평가해야 합니다. 점점 더 정교해지는 사이버 범죄에 대처하기 위해 조직은 보안 인프라와 운영을 대응적이고 다루기 힘든 제품 중심에서 계획되고 예측 가능하며 최적화와 조정에 중점을 둔 보안 인프라와 운영으로 전환해야 합니다.
2. 사람은 가장 약한 고리입니다
보안 옹호자들은 수년 동안 "내부자 위협"의 위험성에 대해 경고해 왔습니다. 회사 데이터를 훔치려는 악의적인 직원과 기타 내부자는 기밀 회사 시스템 및 서버에 무단으로 액세스하고 악성 코드를 실행하여 회사 네트워크를 손상시킵니다. 물론 직원이 의도치 않지만 마찬가지로 피해를 주는 방식으로 실수로 기밀 데이터를 클라우드에 저장하는 등 예상치 못한 상황도 있습니다.
현재 이러한 내부자 위협을 악화시킬 수 있는 세 번째 요인은 바로 이러한 복잡한 인프라를 관리하기 위한 충분한 리소스를 고용하는 것을 극도로 어렵게 만드는 사이버 보안 기술의 만성적 부족입니다. 이로 인해 IT팀은 번아웃(업무의 압박으로 개인이 겪는 신체적, 정신적 피로와 탈진 상태)에 시달리게 되고, 이는 결국 보안 방어의 허점으로 이어진다. 이는 신중하게 배포된 사이버 공격이 아니라 잘못된 구성, 패치되지 않은 시스템 및 기타 기본적인 위생 요인을 포함한 단순한 인적 오류로 인해 많은 데이터 침해가 발생하는 이유를 설명합니다.
기업에 필요한 것은 '더 많은' 것이 아니라 '올바른' 것, 즉 올바른 보안 전략, 올바른 인프라, 올바른 보안 정책 및 절차입니다. 사이버 보안 포트폴리오를 최적화하는 것은 보안을 더욱 단순하고, 관리하기 쉽고, 비용을 낮추기 위해 기업이 취해야 하는 첫 번째 단계입니다. 이를 통해 보안 전문가의 부담을 덜고 보다 보호적이고 비즈니스 친화적인 작업에 우선순위를 부여할 수 있습니다.
3. 직원은 1차 방어선이 될 수 있습니다
직원은 회사에 심각한 보안 위험을 초래할 수 있지만 사이버 범죄에 대한 회사의 1차 방어선이 될 수도 있습니다. 이러한 역할을 달성하도록 돕는 가장 효과적인 방법은 직원의 보안 인식과 안전한 온라인 행동을 장려하고 보상하는 강력한 사이버 보안 문화를 조성하는 것입니다.
직원이 회사 네트워크 및 데이터 유지 관리의 중요성을 이해하면 자신의 책임을 다하고 회사 정책을 준수하려는 경향이 더 커질 것입니다. 따라서 직원들에게 랜섬웨어, 피싱 등 사이버 범죄의 공격 방법과 전술, 위협 발견 시 대응 방법을 알려주는 사이버 보안 교육 및 훈련 프로그램을 구성하는 것이 중요합니다.
또한 직원이 온라인 활동을 관리하는 방법을 명확하게 설명하고 회사 네트워크, 소프트웨어 및 장치에 대한 "허용 가능한" 액세스와 "허용되지 않는" 액세스를 정의하는 것도 마찬가지로 중요합니다. 사이버 보안 행동 관행을 장려하고 직원 참여를 유도하기 위해 기업은 보상 프로그램 개발, 월간 지식 콘테스트 개최 또는 게임화 프로젝트 시작을 고려할 수 있습니다.
인식, 교육, 명확한 보안 정책을 기반으로 강력한 사이버 보안 문화를 구축하려면 많은 시간과 노력이 필요하지만 최종 결과는 모든 초기 투자가 그만한 가치가 있음을 확실히 증명할 것입니다.
4. 취약점 수정의 역할은 무시할 수 없습니다
차세대 사이버 보안 도구 시대에 취약점 수정은 사소한 작업처럼 보일 수 있지만 강력한 사이버 보안 계획에 필수라는 것은 부인할 수 없습니다. (meltdown) 및 Spectre(spectre) 취약점 사고를 통해 이 사실이 확인되었습니다. Meltdown/Specter 취약점을 수정하는 데 필요한 노력의 수준은 이전에 널리 퍼진 취약점 수정 노력에 비해 기하급수적으로 증가할 가능성이 높습니다.
취약점 해결 노력의 차이를 만드는 요인으로는 필요한 패치 수, 올바른 시스템에 올바른 패치를 배치하는 복잡성, 영향을 받는 시스템 및 애플리케이션에 대한 패치의 성능 및 안정성 영향을 이해하는 데 필요한 복잡성 등이 있습니다. 테스트 등 패치 관리 문제는 기업이 오래된 장비를 업데이트할 수 없기 때문에 더욱 악화됩니다. 오래된 시스템의 수리는 최신 시스템보다 어렵기 때문입니다.
신제품 업데이트가 빠르게 반복되는 시대에 기업은 기본적인 문제에 집중하고 기본 보안 기술 및 프로세스(예: 취약성 수정)를 최상의 위치에 배치하여 위험을 최소화하고 인프라 안전을 유지함으로써 현재의 혼란을 명확하게 해야 합니다.
5. 보안은 비즈니스 문제입니다
최고 정보 책임자(CIO)와 최고 정보 보안 책임자(CISO)는 역사적으로 고위 경영진 및 이사회 직위에 오르는 데 어려움을 겪었습니다. 그 주된 이유 중 하나는 다른 경영진과 이사회 구성원이 이해할 수 있는 방식으로 비즈니스를 명확하게 설명할 수 없기 때문입니다. 보안 지출을 회사의 전반적인 위험 프로필과 연관시킬 수도 없습니다. 결과적으로 보안 입력이 거의 또는 전혀 없이 전략적 결정이 내려지기 때문에 비즈니스 운영의 효율성을 보장하는 데 어려움을 겪습니다.
이 문제는 수년간 존재해 왔지만, 많은 기업에서 보안은 아직 미성숙한 영역입니다. 안전 관리자는 시각적 데이터와 핵심 성과 지표를 사용하여 이해 가능하고 의미 있는 방식으로 운영에 대한 보고를 시작해야 합니다. 다른 사업부와 일관된 방식으로 보안 운영 예산을 책정하고 측정하면 보안 관리자가 비즈니스 전략 및 계획에서 보다 중요한 역할을 수행하는 동시에 기업이 보안 투자를 위험 프로필에 정확하게 연결할 수 있습니다.
이 외에도 "비즈니스 언어"를 구사할 수 있는 능력은 보안 관리자가 최고 경영진과 이사회 자리를 확보하는 데 도움이 되는 가장 중요한 요소가 될 것입니다.