전직 해커가 들려주는 사이버 인사이트, 2a부

Beyond Recovery: Exploring the Problem(문제 탐색) - 2/5부

Beyond Recovery 시리즈의 2부에 오신 것을 환영합니다. 여기에서 우리가 해결하려는 문제에 대해 자세히 설명하도록 하겠습니다.

근본 원인 이해

올바른 결과에 도달하고 문제에 대한 올바른 해결책을 찾기 위해서는 문제 자체를 완전히 이해하는 것이 중요하다는 데 모두 동의할 수 있다고 생각합니다. 스토리지 및 복구 기능(또는 다른 많은 보안 기술)의 진정한 가치를 활용하는 방법에 대해 이야기하기 전에 실제 문제를 가장 잘 해결하기 위해 실제 문제를 이해하는 것이 중요합니다.

지난 몇 년 동안 필자가 관찰한 흥미로운 사실은 여러 보안 전문가들에게 보안의 가장 근본적인 문제가 무엇이라고 생각하는지 물어보면 매우 다른 대답으로 대답한다는 것입니다. 그것들은 일반적으로 모두 유효한 문제이지만 근본적인 문제는 거의 드뭅니다. 즉, 다른 원인으로 인해 발생한 문제를 설명하지만 일반적으로 실제 원인을 다루기 위해 범위를 확장하지 않습니다. 따라서 보안 문제가 계속 커지기만 하는 것은 놀라운 일이 아닙니다.

하지만 한 걸음 물러서서 오늘날의 보안 업계를 살펴보도록 하겠습니다. "업계 전문가"로서 저는 기술의 새로운 동향, 새로운 취약점, 범죄 조직의 운영 방식의 새로운 역학 관계 등에 대해 끊임없이 질문을 받습니다.

저는 이 중 어느 것도 특별히 관련이 있다고 생각하지 않습니다. 그렇지 않기 때문입니다.

저는 "보안 산업"에 대해 별로 관심이 없기 때문에 그다지 좋은 "업계 전문가"가 아닙니다. 저는 기업이 성과를 내는 것에 관심이 있습니다. 기업은 위의 사항을 모두 신경 쓰기 때문에 보안에 자금을 지원하지 않습니다. 그들은 위험을 줄이는 측면에서 투자 수익을 얻기 위해 보안에 자금을 투입하고 있습니다.

블로그 읽기: NIST의 사이버 보안 프레임워크 실행에 옮기기

보안 지출과 보안 결과 비교

그래서, 그것을 지표로 삼아, 우리는 어떻게 하고 있습니까 ??

지난 20년 동안 정보 보안에 대한 지출이 지속적으로 증가했습니다. 이 지출은 절대적인 측면뿐만 아니라 IT 및 전체 예산의 비율로도 기하급수적으로 증가했습니다.

사고 또는 남용 위험 감소는 존재하지 않습니다.

사실, 상황은 더 나빠졌고 계속 악화되고 있습니다. 흥미로운 점은 매년 발견되는 취약점의 수가 증가하고 있으며, 우리가 모든 취약점을 수정할 수 없다는 사실 때문에 우리가 가지고 있는 취약점의 수가 기하급수적으로 증가한다는 것입니다.

이것에 대해 흥미로운 점은 무엇입니까? "위험 관리" 여부와 관계없이 조직에 얼마나 많은 취약점이 존재하는지에 대한 추세는 매년 침해로 인한 피해와 거의 유사하다는 사실입니다.

생각해보면 분명히 지속 가능하지 않습니다. 보안 관행과 기술이 많은 공격을 막았다고 주장할 수 있지만, 공격자가 조직을 손상시키는 다른 방법을 이용하고 최종 결과가 동일하다면 비즈니스가 의미하는 바는 무엇일까요?

Virtual Storage Platform One이 위험 및 보안 위협 완화를 포함하여 미션 크리티컬 애플리케이션을 위한 견고한 데이터 중심을 제공하는 방법에 대해 알아보십시오.

보안 항복의 놀라운 추세

이러한 성공의 부족은 정보 보안에 대한 몇 가지 유명한 인용문으로 이어졌습니다.

"해킹을 당한 기업과 앞으로 해킹을 당할 기업, 두 가지 유형의 기업만 존재합니다." - Robert S Mueller III, FBI 국장

그리고 더 일반적으로 살펴보면, "가정이 문제가 아니라 시기가 문제입니다."

비즈니스 관점에서 볼 때, 이러한 추세는 정보 및 데이터 보안에 대한 지출의 비용 효율성이 주목을 받도록 하고 있습니다.

또한 탄력성의 맥락에서 회복이 아마도 최우선 과제가 되어야 한다는 사고의 전환을 가져왔습니다. 따라서 보안 도구에 대한 지출이 정체되어 있음에도 불구하고 기업은 복구 기능에 투자하고 있습니다(상황을 고려하면 현명한 처사라고 말하고 싶습니다).

그것은 논리적인 사고입니다. 만약 우리가 피해를 성공적으로 멈출 수 없다면, 우리는 빨리 회복하고 잘 회복할 수 있는 능력에 집중해야 합니다.

하지만 생각해보면 이는 상당히 놀라운 일입니다. 이는 보안 팀이 사이버 범죄자에게 항복한다는 신호입니다. "우리가 할 수 있는 일을 하겠지만, 결국 우리는 집이 무너질 것이고 다시 구축해야 한다는 것을 알고 있습니다."

잘못된 접근 방식: 보안을 제대로 갖추지 못하는 이유

하지만 다른 방법이 있다면 어떨까요? 보안의 개념을 완전히 이해하지 못한 채 진행해 왔다면 즉 우리의 접근 방식에 결함이 있었고, 이것이 비효율적이고 투자 수익률이 낮은 이유였다면 어떻게 될까요?

제가 25년 동안 일하면서 경험한 몇 가지 깨달음을 여러분과 나누고 싶습니다. 이러한 간단한 개념은 제 생각을 형성했고, 다른 사람들이 거의 달성하지 못한 일, 즉 시간이 지남에 따라 영구적으로 위험을 줄이는 동시에 보안 지출을 지속적으로 줄이고 조직의 수익을 순 증가시키는 일을 할 수 있게 해주었습니다. 예, 실제로는 그 반대인 비용 센터가 아닌 내부 보안 기능입니다.

1. 보안은 보안 팀만의 일이 아닙니다.

보안은 배를 떠 있게 하는 것과 같습니다. 배는 항상 누수가 발생합니다. 선체에 가해지는 엄청난 수압은 물이 가장 작은 균열, 누수, 뱃머리에 부딪히는 파도 등을 찾는다는 것을 의미합니다. 하지만 괜찮습니다. 선박에는 이러한 원치 않는 침입을 처리할 수 있는 빌지 펌프가 있습니다. 일반적인 보안 기능과 약간 비슷합니다.

선박이 선체의 틈, 밀봉 불량, 파이프 누수 등으로 인해 분당 수천 갤런의 물이 새고 있다면 빌지 펌프가 여러분을 구할 수 없으며 더 많은 것을 구입하더라도 별 소용이 없습니다. 배를 떠 있게 하는 것은 펌프의 일이 아니라 배의 일이기 때문에 괜찮습니다. 전체 선박 작업의 설계는 진입을 최소한으로 유지하도록 설계되었으며 빌지 펌프의 역할은 관리 가능한 양을 처리하는 것입니다.

기존의 IT 보안 기능만으로도 조직을 안전하게 보호할 수 있을 것으로 기대하는 것은 아파트 건물에 빌지 펌프를 넣고 대서양에 떨어뜨린 다음 물에 뜨기를 기대하는 것과 같습니다.

2. 리스크 관리만 하는 것은 좋지 않습니다.

귀사가 항공기 제조업체이고 새 모델을 사용 중이며 누군가가 동체의 중요한 볼트(원하는 경우 랜딩 기어 교체 등)가 비행 중에 풀릴 수 있음을 발견했다고 상상해 보십시오.

사고 위험을 최소화하기 위해 전 세계에 정비소를 설립하고 볼트 점검 및 체결 작업을 수행하여 비즈니스와 차량이 성장함에 따라 해당 작업을 확장하시겠습니까? 아니면 볼트가 헐거워진 이유를 파악하고, 더 나은 설계로 문제를 해결하고, 향후 생산에 사용하고, 이미 현장에 있던 것을 개조하여 다시는 처리할 필요가 없도록 하시겠습니까?

이것이 순수 위험 관리와 품질 관리의 차이점입니다.

널리 다루어지는 실제 사건과의 유사성은 순전히 우연의 일치입니다. 이것은 제가 한동안 이 점을 설명하기 위해 사용해온 이야기이기 때문입니다. 그러나 면밀히 살펴보면 위험 관리와 품질 관리의 차이가 얼마나 중요한지 알 수 있습니다.

그리고 사이버 보안에서 우리는 여전히 거의 전적으로 전자에 초점을 맞추고 있습니다. 한편, 성숙한 업계는 시간이 지남에 따라 사고 건수를 성공적으로 줄였으며 결국 그렇게 하는 데 드는 비용도 줄였습니다. 그런 다음 비용 효율적으로 품질을 관리할 수 없는 잔여 위험만 위험 관리합니다.

그것이 우리가 기존의 방식으로 위험을 관리해야 하는 유일한 장소입니다(빌지 펌프를 다시 생각해 보십시오).

그렇기 때문에 성숙한 업계에서 시간이 지남에 따라 부정적인 결과는 왼쪽 그래프처럼 보이고 보안 산업은 오른쪽 그래프처럼 보입니다.

말할 필요도 없이 이 접근 방식은 나중에 다룰 비즈니스에 큰 재정적 이점도 있습니다.

3. 보안은 품질 문제입니다.

위의 요점이 잘 이해가 되지 않는다면, 이 아이디어를 받아들인 후에는 보안이 대부분 취약점의 악용에 관한 것입니다(단어의 가장 느슨한 해석에서). 그러나 품질 문제나 결함이 아닌 취약점은 무엇입니까?

코드, 구성, 빌드, 디자인, 아키텍처, 프로세스, 컨텍스트 등의 결함으로 인해 악의적인 행위자가 우리를 손상시킬 수 있는 예기치 않거나 원치 않는 이벤트가 발생할 수 있습니다.

이를 깨닫게 되면 다른 업계에서 사용되는 기존의 품질 관리 접근 방식을 적용하여 애초에 많은 위험이 발생하는 것을 방지할 수 있는 방법을 알 수 있습니다. 즉, 시간이 지남에 따라 취약성을 완화하는 데 점점 더 많은 자원을 소비하기 때문이 아니라 애초에 취약성을 생성한 근본 원인을 해결했기 때문에 취약성의 양을 줄일 수 있습니다.

전체론적 접근 방식 취하기

위의 개념을 요약해보면 보안을 유지하기 위해서는 조직의 모든 부분이 보안을 염두에 두고 고려되어야 합니다. 여기에는 비즈니스 전반에 걸친 시스템, 애플리케이션, 프로세스 등이 포함됩니다. 보안의 궁극적인 목표는 비즈니스를 안전하게 수행하기 위해 이러한 모든 작업을 수행하는 방법을 정의하고 가능한 한 위험을 최소화하는 것이어야 합니다.

다음 회차에서는 보안에 접근하는 방법, 이러한 변화를 달성하는 방법, 스토리지 및 복구가 보안을 제공하는 데 있어 엄청난 가속 역할을 할 수 있는 방법에 대해 재고해 볼 수 있는 몇 가지 원칙을 더 소개하겠습니다.

1부 읽기: Beyond Recovery: 기술 그 이상

추가 자료

• 웨비나: 랜섬웨어 공격을 두려워하지 말고 대비하라
• INSIGHTS 기사: AI 및 하이브리드 클라우드 시대에 침해할 수 없는 데이터 인프라 구축
• 블로그: NIST의 사이버 보안 프레임워크 실행에 옮기기