Beyond Recovery: 문제 탐구 - 2/2부

"Part 2a: Beyond Recovery: 문제 탐구에서 저는 보안과 관련하여 우리가 실제로 해결하려고 하거나 해결해야 하는 문제에 대해 자세히 설명하기 시작했습니다." 

Beyond Recovery: 문제 탐구 - 2/2부

종종 무시되지만 걱정스러운 보안 추세 이면에 있는 중요한 이유에 대한 심층 분석의 두 번째 부분에 다시 오신 것을 환영합니다. 이번 회차에서는 여러분의 사고를 형성하기 위해 몇 가지 개념을 더 소개하고 상황을 역전시키는 방법에 대해 자세히 알아보고자 합니다. 바로 이 시점이 바로 변화의 강력한 원동력으로서 스토리지 및 복구의 활용되지 않은 잠재력이 드러나기 시작하는 순간입니다.

이전에 의미 있는 보안 결과를 달성하기 위해 명심해야 할 세 가지 핵심 개념에 대해 설명했습니다.

1. 보안은 보안 팀만의 일이 아니다(비즈니스 프로세스를 형성해야 함)

2. 위험 관리는 나쁜 생각이다(품질 관리는 취약성을 지속 가능하게 줄이는 유일한 방법임).

3. 취약점은 품질 문제이다(수정하면 비즈니스에 긍정적인 영향을 미칠 수 있음)

보안은 모두의 책임

계속하기 위해 이 목록에 두 가지 개념을 더 추가하고 싶습니다.

4. 보안은 IT 기능이 아니다

이 점은 보안이 "보안팀의 일"이 아니라는 첫 번째 요점과 여러 면에서 관련이 있습니다. 그러나 그것은 다른 관점에서 도출된 것입니다. 안전하게 운영되도록 보장하는 것은 비즈니스의 몫일 수 있지만, 비즈니스의 모든 부분이 그렇게 운영되도록 돕는 것이 보안팀의 일입니다.

보안 기능이 IT 직능 부서 내에서만 관리해야 한다는 것은 더 이상 용납되지 않습니다. 모든 부서가 비즈니스에 위험을 초래하지 않도록 좋은 모습이 무엇인지 정의할 수 있도록 적극 지원해야 합니다.

이는 보안 프로그램이 궁극적으로 비즈니스 프로세스를 체계적으로 거쳐야 함을 의미합니다. 첫째, 비즈니스가 필요한 것보다 더 많은 위험을 생성하지 않도록 가능한 경우 이를 재구성하고, 둘째, 보안 부서가 다른 부서에 존재하는 비즈니스 위험을 인식하여 이를 맹목하지 않고 예측하고 완화할 수 있도록 합니다.

전통적인 범위에서 보안 부서가 담당하지 않은 범위를 벗어나 더 많은 위반 사례가 발생하므로 점점 떠 중요합니다. 법무 부서, 영업 데이터, HR 등의 헬프데스크 프로세스와 관련된 문제로 인해 민감한 데이터 또는 자격 증명 노출이 초래됩니다.

우리는 비즈니스에서 어떤 일이 발생하는지 파악하고, 위험을 줄이기 위해 이러한 프로세스를 최대한 간소화하며, 이에 따라 보안 운영을 구현하여 잔류 위험을 포착해야 합니다.

블로그 읽기: NIST의 사이버 보안 프레임워크 실행에 옮기기

5. 자신의 위협은 자신의 책임

보안 공급업체가 가장 자주 반복하는 주장 중 하나는 진화하고 성장하는 위협 환경에 대한 것입니다.

조직에 해를 끼치려는 행위자가 급격히 증가하고 있다는 것은 부인할 수 없는 사실입니다. 하지만 그 이유는 무엇 때문일까요?

현실은 그들이 악용하는 것에 취약할 때만 위협이 된다는 것입니다. 저는 최근에 작년 복잡한 침해 사고의 99% 이상이 사용 가능한 패치 및 수정 사항이 있는 알려진 취약점과 관련이 있으며, 이 중 약 3분의 2가 18개월 이전에 게시된 수정 사항이라는 기사를 읽었습니다.

사실 우리는 정원에 곡물이 담긴 커다란 캔버스 포대를 키울 때 쥐를 키우는 것과 같은 방식으로 위협 생태계의 성장에 대한 책임이 있습니다. 해결책은 10,000개의 쥐덫을 사는 것이 아니라 곡물을 노출시키지 않는 것일 수 있습니다. 또한 금속 깡통에 담긴 곡물 자루는 쥐를 유인하지 못하지만, 10,000개의 쥐덫으로 둘러싸인 상자는 여전히 유인할 수 있으며, 결국 일부 쥐는 통과할 수 있다는 점을 지적할 수 있습니다.

우리는 더 잘할 수 있으며, 그렇게 할 때 우리에게 적용되는 위협이 훨씬 적다는 것을 알게 됩니다. 이는 잔류 위험에 대한 탐지 및 대응을 덜 수행해야 할 뿐만 아니라 그 범위가 더 좁아져 더 정확하게 집중할 수 있음을 의미합니다.

Virtual Storage Platform One이
위험 및 보안 위협 완화를 포함한 미션 크리티컬 애플리케이션을 위한 견고한 데이터 기반을 제공하는 방법을 알아보십시오.

이제 이러한 개념을 요약해 보겠습니다.

공격에 취약하지 않다면 공격을 받을 수 없으며, 계속해서 더 많은 위험을 완화하는 것보다 덜 취약해지기 위해 노력하는 것이 더 쉽고 훨씬 더 지속 가능합니다. 이를 위해서는 취약성으로 이어지는 근본 원인을 해결해야 하며, 자동화된 방식으로 신속하게 해결할 수 없는 능력을 해결해야 합니다.

오늘날 이것이 수행되지 않는 이유는 여러 가지가 있습니다. 무엇보다도, 대부분의 보안 실무자들은 보안 비즈니스의 결과보다는 보안 기술에 초점을 맞추고 있습니다. 우리는 처음부터 그러한 위험을 갖지 않도록 위험의 원인을 해결하기보다는 위험을 관리하기 위해 기술에 의존합니다.

그렇다면 현재 우리가 처한 지속 불가능한 상황에서 어떻게 벗어나 기하급수적인 개선이 이루어질 수 있는 상황으로 나아갈 수 있을까요?

무엇보다도 모든 조직은 이러한 원칙을 존중하는 보안 전략을 필요로 합니다.

"전략"은 보안에서 많이 듣는 단어이지만 실제로는 거의 볼 수 없는 단어입니다. 아니요, 도구 목록을 구입하거나 기술 기능을 구현하는 것은 그 자체로 전략이 아닙니다.

(CEO가 CMO에게 마케팅 전략이 무엇인지 물었을 때 도구 목록만을 열거했다고 상상해 보십시오. 그들은 즉시 해고될 것입니다!)

전략은 현재 상황(많은 보안 부서가 전체 비즈니스는 고사하고 조직의 IT 기능에 대한 가시성이 거의 없기 때문에)과 이상적인 상황 및 전자에서 후자로 전환하기 위한 로드맵을 이해하기 위한 계획이어야 합니다.

여기에는 일반적으로 고위 경영진의 지원을 얻고, 전체적인 변화를 주도하는 데 필요한 구조를 수립하며, 비즈니스에 모든 것을 정당화하기 위한 재무 모델을 제시하고, 각 부서의 운영 방식이 가장 낮게 발생하는 방식을 정의하는 등의 프로그램이 포함됩니다.

이러한 프로그램이 어떤 모습인지는 필자의 저서 '우리가 보안이라고 부르는 것(What We Call Security)opens in a new tab' (역시 Hitachi Vantara의 후원)의 부록에서 확인할 수 있습니다.

이러한 프로그램은 비즈니스 및 IT 프로세스의 품질에 대한 극적인 변화를 이끌어 낼 수 있으며(여기서 보안은 품질의 한 측면임) 조직의 본질적인 보안을 더욱 강화합니다. 나머지를 처리하기 위해 가장 작은 빌지 펌프만 있으면 됩니다.

통제의 환상

하지만 이 접근 방식에는 한두 가지 문제가 있습니다.

첫 번째는 시간입니다. 프로그램을 구축하려면 시간이 필요합니다.

이 문제를 해결할 수 있는 방법은 없으며, 비즈니스 및 IT 프로세스를 재정의하여 본질적으로 더 안전하게 만들고 미래의 프로세스를 훨씬 더 안전하게 만드는 데는 시간이 걸립니다. 저는 고객들에게 조직의 규모와 복잡성에 따라 높은 수준의 성숙도에 도달하는 데 3-5년이 걸릴 것으로 예상한다고 말합니다.

두 번째는 첫 번째인 화재와 관련이 있습니다. 보안을 사전 예방적 품질 주도 접근 방식으로 전환하는 주된 이유 중 하나는 우리가 너무 오랫동안 잘못된 길을 가고 있기 때문에 보안 팀이 대처해야 하는 화재의 수가 너무 많기 때문입니다. 이는 앞서 언급한 전체론적 보안 프로그램과 같은 전략적 이니셔티브에 할당할 수 있는 자원이 있는 경우 매우 적은 비율의 자원만 할당할 수 있음을 의미합니다. 그리고 그렇게 하는 자원은 종종 화재 진압으로 인해 자주 중단되거나 다시 호출됩니다.

한편으로는 이러한 상황으로 인해 복구 기능이 매우 중요합니다. 각각의 모든 공격을 탐지하고 대응하기 위해 100% 리소스를 투입하고 있음에도 불구하고 (다시 말하지만, 가장 넓은 의미에서) 환경의 취약성 수는 침해가 발생하고 신속하게 복구해야 하는 것은 시간 문제라는 것을 의미합니다.

랜섬웨어 복구 솔루션 페이지를 방문하여 규모에 맞게 신속한 복구 활용 방법에 대해 알아보십시오.

그러나 스토리지 및 복구 솔루션에는 단순히 성공적인 공격으로부터 복구할 수 있는 것보다 훨씬 더 큰 가치 제안이 있습니다. 그것은 바로 "위험 제거"와 재집중입니다.

예를 들어, 1/4의 시간 이내에 시스템과 데이터를 복구할 수 있다면 다운타임으로 인한 침해 비용을 75%까지 효과적으로 줄일 수 있습니다. (덧붙이자면, Hitachi Vantara는 시장에서 가장 빠른 복구 솔루션을 제공하여 이 효과를 배가시킵니다.)

즉, 가설적으로 문제에서 완화 리소스의 최대 75%를 제거하고 동일하거나 더 나은 위험 수치(예: 연간 손실 기대치)를 유지할 수 있습니다.

그런 다음 해당 리소스를 사전 예방적 프로그램에 재할당하여 조직에서 발생하는 위험의 양과 보안이 관리해야 하는 위험을 지속적으로 줄일 수 있습니다.

여담이지만, 이런 생각에서 "결함"을 눈치챈 사람도 있을 것입니다. 복구는 위반 후 데이터의 무결성 및 가용성의 반환을 보장하는 데 도움이 될 수 있지만 일단 공개된 데이터의 기밀성은 복원할 수 없습니다.

이것은 사실이지만 대부분의 조직에서 실제로 이러한 민감한 데이터를 저장하는 시스템의 비율은 얼마나 될까요? 제 경험으로는 보통 10% 미만이며 20%를 넘는 경우는 거의 없습니다. 즉, 모든 화재/위험 요소를 근절하거나 완화하는 데 필요한 리소스 중 일부는 복구가 전체 결과를 여전히 우수한 방식으로 완전히 보호할 수 없는 시스템에 집중할 수 있습니다. 이는 우선 순위 지정 측면에서 더 나은 옵션을 제공합니다.

보다 안전한 조직의 전반적인 결과를 달성하는 것에 대해 전략적으로 생각하는 사람으로서 저는 이것을 "복구의 자유 효과"라고 부릅니다. 그리고 그것은 대단합니다.

이를 통해 보다 안전한 조직을 향한 여정을 단축할 수 있습니다. 위험을 줄이고, 리소스를 확보하고, 애초에 화재를 유발하는 요소에 더 많은 리소스, 시간 및 관심을 집중할 수 있도록 하십시오. 이렇게 하면 프로그램을 구현하는 데 걸리는 시간을 획기적으로 단축(경우에 따라 몇 년까지 단축)할 수 있으며, 위험 감소를 가속화하고 보안 OpEx 절감 효과는 물론 품질 관리 주도 보안의 다른 모든 실질적인 이점(그 중 일부는 다음 기사에서 강조할 예정)을 확인할 수 있는 시점을 앞당길 수 있습니다.

이러한 영향은 복구 솔루션의 전체 비용을 상쇄할 수 있을 만큼 충분히 중요하며, 일부 임의적인 위험에 대한 잠정적인 투자가 아니라 수익에 대한 직접적인 투자가 됩니다. 더 좋은 점은 이러한 투자를 통해 위험을 대폭 줄이고 실제로 복구하기 위해 복구 솔루션이 필요할 가능성을 줄일 수 있다는 것입니다.

비즈니스를 향상하기 위해 그것을 사용하는 것이 훨씬 낫습니다. 이것이 바로 다음 기사에서 살펴볼 내용입니다. 그럼 그때 뵙겠습니다.

1부 읽기: Beyond Recovery: 기술 그 이상

추가 자료

• 웨비나: 랜섬웨어 공격을 두려워하지 말고 대비하라
• INSIGHTS 기사: AI 및 하이브리드 클라우드 시대에 침해할 수 없는 데이터 인프라 구축
• 블로그: NIST의 사이버 보안 프레임워크 실행에 옮기기