Beyond Recovery: 돈에 대한 이야기

2b부: Beyond Recovery: 문제 탐구에서는 보안과 관련하여 해결해야 할 핵심 문제를 자세히 살펴보고, 종종 간과되지만 보안 트렌드와 관련된 필수 요소를 강조하기로 하겠습니다.

1백만 달러의 예산을 가지고 CFO에게 연락하여 복구 솔루션을 요청한다고 상상해 보십시오. 최선의 노력과 기존의 보안 지출에도 불구하고 침해를 예방하는 것은 불가능하므로 결국 불가피하게 공격을 받았을 때 피해를 최소화해야 한다는 주장입니다.

큰 소리로 말하든 그렇지 않든, 제 CFO는 몇 가지 질문을 할 수 있습니다. 의심 많은 사람은 복구 솔루션이 여전히 필요한 경우 매년 보안에 이미 할당된 5백만 달러로 정확히 무엇을 하고 있는지 궁금해할 수 있습니다.

이는 조직을 안전하게 유지하는 업무를 수행할 수 있는 우리의 능력과 기존 투자로 해온 일에 대한 회의론을 야기할 수 있으며, 이는 결코 좋은 일이 아닙니다.

보안 위반 가능성 평가

그런 다음 그들은 그렇게 심하게 침해당할 확률이 얼마나 되냐고 물어볼 수 있습니다. 특정 연도에 대해 10%라는 대략적인 답변을 제공할 수 있습니다.

무슨 일이 일어날 확률이 10%(그들은 당신이 이미 예방했어야 한다고 생각할 수 있음)이고, 이 새로운 지출이 더 효과적일 것이라는 보장이 없다면, CFO는 그 돈을 마케팅에 투자하는 것이 비즈니스에 더 구체적인 수익을 가져다 줄 것이라고 생각하지 않을까요?

저는 아닙니다. 비즈니스가 부여된다면 그 일은 제가 할 일이며, 아무리 보안에 대한 두려움과 분노를 불러일으켜도 좋든 나쁘든 그것을 바꿀 수는 없습니다.

이제 동일한 솔루션에 대해 동일한 1백만 달러를 요청했지만 각각과 관련된 다운타임을 줄여 주어진 사고 시나리오의 비용을 줄일 수 있는 것이 목표라고 말했다고 상상해 보십시오.

즉, 이로 이어질 수 있는 문제를 관리하는 데 필요한 리소스가 줄어들고, 업스트림의 프로세스 문제를 해결하는 데 리소스를 확보하여 비즈니스가 매년 도입하고 수행하는 위험의 양을 줄일 수 있습니다.

이는 결국 위험을 운영하는 데 필요한 리소스의 양을 줄일 수 있다는 것을 의미하며, 이는 내가 짊어지고 있는 위험이 점점 줄어들기 때문입니다. 지출이 완화되는 문제로 이어지는 근본 원인을 해결했기 때문에 해당 금액이 매년 누적 50만 달러 적은 지출이라면 연간 보안 지출을 현재 5백만 달러에서 450만 달러, 400만 달러, 그 다음에는 연간 350만 달러로 줄였습니다.

즉, 무형의 위험에 대해 이야기하기보다는, 향후 3년 동안 총 3백만 달러(50만 달러 + 1백만 달러 + 150만 달러)를 절약할 수 있는 1백만 달러에 이르는 투자를 요청하고 있습니다. 생각할 필요도 없습니다. 저는 위험 감소에 대해 언급조차 하지 않았는데, 이는 실제로 첫 번째 시나리오보다 더 클 것입니다. 왜냐하면 우리는 잘못될 수 있는 것을 줄였을 것이기 때문입니다. 즉, 사고가 발생할 가능성이 적고 사고가 발생했을 때 더 제한적일 수 있습니다.

따라서 복구를 보다 적극적인 작업의 우선 순위를 정하기 위한 안전망으로 사용함으로써 위반으로 인해 최종 수치가 감소할 수 있다는 주장에서 조직 효율성을 높여 수익을 높일 수 있다는 주장으로 주장을 변경했습니다.

다른 솔루션에 금융 논리 적용

동일한 종류의 금융 논리를 다른 보안 솔루션에도 사용할 수 있습니다. 예를 들어, 취약성 스캐닝 플랫폼에 대한 투자는 지적한 바와 같이 CVE를 찾아 수정하는 대신 그 원인이 무엇인지 스스로에게 물어볼 수 있는 메커니즘으로 제시될 수 있습니다. 그런 다음 계속해서 취약점을 유발하는 원인(또는 패치가 누락된 경우 자동으로 배포할 수 없음)을 추적하여 시간이 지남에 따라 개입이 필요한 문제의 수를 줄입니다.

개별 취약점을 단순히 '수정'하는 것이 아니라, 각각의 취약점을 하나의 끈으로 보고 이러한 취약점이 누적되는 원인을 찾아내야 합니다. 이것이 바로 이전 기사에서 항공 예시에서 보았던 시간 경과에 따른 사고의 하향 곡선의 시작입니다.

복구의 경우와 다른 점은 소방 자원이 투입되어 이러한 적극적인 노력에 할당될 수 있도록 기댈 수 있는 안전망을 제공한다는 것입니다. 제 경험에 비추어 볼 때, 현재 그렇게 할 수 없는 것이 현재의 보안 죽음의 소용돌이를 극복하는 데 가장 큰 장애물이기 때문에 이는 매우 중요합니다.

그렇기 때문에 복구 기능은 조직의 공격에 대한 취약성을 개선하고 그 과정에서 수익을 개선하는 데 큰 원동력이자 변화를 가속화하는 역할을 합니다. 그리고 그것은 상황이 나빠질 때 우리를 구해줄 것이라고 믿기 시작하기 전입니다. 단순히 위험에 대해 이야기하는 것 이상의 비즈니스 지원을 받기 위해 이를 기반으로 구축할 수 있는 몇 가지 정말 흥미로운 재무 모델이 있습니다.

당연히 복구 솔루션이 더 효과적이고 보장되며 신뢰할 수 있을수록 부작용의 영향을 더 많이 줄이고 장기적으로 위험을 줄이며 수익을 높이는 데 더 많은 리소스를 다시 할당할 수 있습니다. 이는 엄청난 전략적 힘의 배가입니다.

사실, 조금 더 나아가 보겠습니다. 지금까지는 근본 원인에 대한 보다 전략적인 접근 방식을 통해 보안(소방) 노력과 비용을 줄이는 방법에 대해 이야기했지만, 위험 관리 접근 방식과 품질 관리 접근 방식을 추구할 때 결과 측면에서 훨씬 더 많은 것이 있습니다.

근본 원인 해결

이전에 거의 모든 보안 문제가 품질 문제라는 점에 대해 언급했습니다. 우리가 언급하지 않은 것은 모든 품질 문제가 보안 문제는 아니라는 것입니다(예: 잘못된 코드는 느리거나 불안정할 수 있지만 다른 방법으로는 악용할 수 없습니다). 그러나 그것들은 종종 동일한 근본 원인을 가지고 있습니다.

구체적인 예를 들어 보겠습니다. 보안 팀이 매년 수천 개의 취약점이 환경에 유입되는 상황을 파악하느라 압도되며, 그 중 대부분은 엔지니어링 부서의 잘못된 관행으로 인해 발생한다고 상상해 보십시오.

개발자를 교육하고, 더 나은 심사를 받고, 더 나은 관행/프로세스를 채택하는 등의 사례를 만들어 문제의 근본 원인을 해결합니다. 그 결과 생성되는 취약점의 수가 크게 감소하여 보안 OpEx 감소 측면에서 이미 ROI를 창출하고 있습니다.

저는 이와 같은 상황에 한 번 직면했고 큰 성공을 거두었습니다. 하지만 그게 전부가 아닙니다. 코드 및 컴퓨팅 인스턴스에서 취약성을 유발하는 품질 문제를 해결함으로써 애플리케이션은 더 안정적이고 빠르며 고객 기능 요청에 맞게 더 쉽게 개조할 수 있게 되었습니다(수익성이 더 높아짐).

문제 해결에 소요되는 시간과 리소스가 감소하였고, 조직 전체에서 내부 시스템을 사용하는 사람들의 생산성이 향상되었으며, 플랫폼을 유지하는 데 어려움을 겪어 지친 사이트 신뢰성 엔지니어가 더 이상 떠나지 않았습니다(채용에 드는 비용을 절약하고 실제 비즈니스에 영향을 미치는 대규모 인력 부족을 피할 수 있음).

마지막으로, 고객은 (SaaS) 제품을 더 잘 사용하여 유지율/갱신률을 향상하였고 직원 사기도 높아졌습니다.

그리고 큰 사건이 있었습니다. 클라우드 컴퓨팅 비용은 30%까지 감소했는 데 이는 전체 보안 기능에 대한 비용을 지불하는 데 충분한 금액입니다.

몬태나의 옐로스톤 국립공원에 늑대를 재도입하는 것에 대해 찾아볼 수 있는 몇 가지 비디오가 있습니다. 원래 의도는 엘크 개체수를 통제하는 것이었지만 늑대의 존재는 존재하는 종, 식물의 유형, 심지어 강의 흐름까지 모든 것을 바꾸어 놓았고, 아무도 예측할 수 없는 방식으로 생태계의 균형을 크게 회복했습니다. 품질 기능으로서의 보안은 매우 유사한 것을 달성하지만 그렇게 할 수 있는 리소스를 확보할 수 있는 경우에만 달성할 수 있습니다. 그리고 안전망이 좋을수록 (소방보다) 더 많은 진전을 이룰 수 있습니다.

그리고 Hitachi Vantara는 세계에서 가장 빠른 복구 솔루션을 보유하고 있습니다.

솔루션 요약 읽기: 세계에서 가장 빠른 랜섬웨어 복구opens in a new tab

변경할 수 없는 스냅샷에서opens in a new tab.

이러한 모든 긍정적인 영향은 비즈니스 가치를 갖게 될 것입니다. 저는 모든 보안 전문가들이 두 가지 일을 하도록 권장합니다. 첫째, 단순히 리스크를 관리하는 것 그 이상을 생각해야 합니다. 문제를 일으키는 IT 및 비즈니스 문제를 해결하여 비용을 절감할 수 있는 방법에 대해 생각해 보십시오. 둘째, 근본 원인/품질 중심의 접근 방식이 비즈니스에 어떤 다른 이점을 제공할 수 있는지 생각해 보십시오. 각자는 비즈니스에 가치를 보여주고 프로그램을 추진하기 위해 우리의 위치를 높일 수 있도록 지원을 얻는 데 도움이 되는 가능한 재무 모델을 갖게 될 것입니다.

다음 회차에서는 스토리지 및 복구 기능이 가장 어려운 장애물인 레거시 시스템과 기술 부채를 해결하는 데 어떻게 도움이 될 수 있는지 살펴보겠습니다.

2a부 읽기: Beyond Recovery: 문제 탐색 

추가 자료

• 웨비나: 랜섬웨어 공격을 두려워하지 말고 대비하라
• INSIGHTS 기사: AI 및 하이브리드 클라우드 시대에 침해할 수 없는 데이터 인프라 구축
  
• 블로그: NIST의 사이버 보안 프레임워크 실행에 옮기기