사이버 보안 사고 방지를 위한 다음 단계

사이버 보안 사고 방지를 위한 다음 단계

90년대에는 컴퓨터 보안에 대해 생각할 때, 개별 컴퓨터에 설치된 바이러스 백신 프로그램을 먼저 생각했을지도 모른다. 이러한 사고방식은 오늘날까지 지속되어 왔으며, 기업 수준의 보안 노력도 개별 기기나 호스트에 집중되어 있다.

평균 보안 운영 센터(SOC)는 기기에 엔드포인트 탐지 및 응답(EDR) 소프트웨어를 설치하고 기업 환경 내에서 컴퓨터를 계측하여 활동을 기록하고 분석을 위해 중앙 관리자 또는 보안 사건 및 사건 관리(SIEM) 시스템에 로그를 공유함으로써 많은 에너지를 소비한다.

개별 컴퓨터가 관찰과 보호를 위한 최적의 단위라는 생각은 여전히 끈적거리고 가치가 있지만, 기업 사이버 보안의 다음 큰 단계는 CISO가 관찰과 보호를 위한 더 크고, 더 전체적인 목표인 엔터프라이즈 네트워크 그 자체에 대해 생각할 것을 요구한다.

네트워크 가시성 누락

Gartner의 SOC 가시성 트라이어드에서는, 세 가지 초석이 엔드포인트 가시성, 로그 분석(SIEM), 네트워크 검출 및 대응이다. 이들 중 2개는 SOC에서 널리 배치되고 사용되지만, 네트워크는 보안 분석을 위한 데이터 소스로서 충분히 활용되지 않는 경우가 너무 많다.

SANS Institute의 최근 조사 결과, 전체적으로 사고 대응 상태(IR)와 보안 운영 상태(SecOps)에 대한 결과는 네트워크 가시성이 현대 사이버 보안의 가장 큰 격차임을 강력히 시사한다. 보안 성숙도 곡선을 높이고 데이터 침해로 헤드라인을 장식할 가능성을 줄이려는 조직에게 다음 단계는 명확하다.

이 기사는 SANS IR 조사의 데이터 포인트 중 몇 가지를 강조하여 기업이 IR 및 SecOps 이니셔티브에 네트워크 가시성을 통합하는 중요한 단계를 취해야 하는 이유와 방법을 설명할 것이다.

사고 대응 전문가의 50% 이상 필요하지만 네트워크 데이터에 액세스하는 데 어려움이 있음

사고 대응 전문가들은 네트워크 가시성의 가치를 알고 있지만, 너무 자주 그들은 그것을 이해하지 못한다. 응답자의 절반 이상이 IR을 위한 네트워크 데이터를 원하지만 접속이 어렵거나 불가능하다고 말했다. 이렇게 되면 사건이나 데이터 침해에 관련된 일련의 사건들을 꿰매기가 더 어려워지고, IR팀이 검출에서 봉쇄, 사건 교정조치까지 진전하는 능력을 방해하게 된다.

성공적인 IR에 대한 가장 큰 영향 중 하나는 조직적 사일로와 툴 예산 부족

항상 다가오는 기술 부족 이후, IR 전문가들이 꼽은 가장 큰 장애물 중 두 가지는 새로운 도구에 대한 예산 부족(48%)과 조직 사일로(28%)이었다. 이러한 장애물들은 서로 다른 팀들의 중복된 노력에 예산이 소모되기 때문에 전혀 불필요한 방법으로 서로를 먹여살리고 증폭시킨다. 팀이 사일로와 공유 툴을 분해하면 추가 비용 없이 훨씬 더 뛰어난 운영 효율성을 볼 수 있다.

예를 들어, 많은 조직이 이미 IT 부서에서 네트워크 모니터링 툴을 사용하고 있다. 해당 데이터를 사고 대응 팀과 공유하면 예산에 영향을 미치지 않고 이러한 가시성 차이를 메울 수 있다. 보안 운영, IR 및 네트워크 운영 팀 간의 조직 사일로를 줄이면 예산 불만 및 네트워크 가시성 부족에 대한 안도감을 제공할 수 있다.

이러한 팀이 사용 중인 툴과 데이터셋을 통합하는 것은 미래 지향적인 기업에 대한 요구사항으로 빠르게 변화하고 있지만, 지난 수십 년 동안 분할된 워크플로우와 뚜렷한 팀 문화를 이전하는 것이 항상 쉽지는 않다. EMA Research의 이 전략 보고서에서 오늘날의 기업들이 NetOps와 SecOps 간의 격차를 해소하는 방법에 대해 자세히 알아보십시오.

네트워크 기반 탐지 도구 최고의 만족도 평가

2019년 SANS의 보안 운영 현황 조사에서는 네트워크 기반 탐지 툴이 “모든 엔드포인트에 존재하는 에이전트에 의존하는 호스트 기반 툴”을 앞질렀다. 이는 많은 SecOps 팀이 다른 팀과 공유할 수 있는 네트워크 데이터에 액세스할 수 있음을 강력히 시사한다. SecOps와 IR이 서로 격리된 조직의 경우, 네트워크 가시성 부를 공유할 수 있는 엄청난 기회가 존재한다.

수백 명의 사고 대응 전문가와 사이버 보안 임원들로부터 수집된 데이터를 검토한 후, SANS가 보고서용으로 확인한 주제는 “변경할 때”였으며, 이들이 언급하는 변경은 IR 팀의 네트워크 가시성 채택 가속화였다.

우리는 더 이상 동의할 수 없었다. 실제로, 네트워크 가시성은 기업이 현대 환경을 안전하게 보호하는 데 도움이 되는 Gartner의 프레임워크인 SOC 가시성 3종류의 기본 수준을 형성한다. 네트워크 감지 및 응답(NDR) 옵션과 보안 가시성의 다른 소스를 보완하고 확장하는 방법에 대해 이 개요 블로그에서 알아보십시오.

admin

Leave a Reply

Your email address will not be published. Required fields are marked *