차례:
IT 보안을 관리하는 버섯 산업 및 정부의 규정에 따라 규제가 엄격한 환경과 매년 규정 준수 소방 훈련이 이루어졌습니다. 일반 조직에 영향을 미치는 규정의 수는 12 개 이상을 쉽게 초과 할 수 있으며 하루가 갈수록 복잡해집니다. 이로 인해 대부분의 회사는 긴 IT 우선 순위 목록 위에 거버넌스 및 규정 준수 노력에 막대한 양의 리소스를 할당해야합니다. 이러한 노력이 보증됩니까? 아니면 단순히 규정 준수 중심의 보안 접근 방식의 일환으로 확인란 요구 사항입니까?
쓰라린 진실은 감사를 예약 할 수 있지만 사이버 공격을 예약 할 수는 없다는 것입니다. 거의 매일, 우리는 위반이 헤드 라인 뉴스를 만들 때이 사실을 상기시킵니다. 결과적으로 많은 조직은 위험 상태에 대한 통찰력을 얻으려면 단순한 컴플라이언스 평가를 넘어야한다고 결론을 내 렸습니다. 그 결과, 비즈니스 영향뿐만 아니라 위협과 취약점도 고려하고 있습니다. 이 세 가지 요소의 조합 만이 위험에 대한 전체적인 견해를 보장합니다.
준수의 함정
위험 관리에 대한 확인란의 준수 중심 접근 방식을 추구하는 조직은 특정 시점의 보안 만 달성합니다. 이는 회사의 보안 상태가 역동적이고 시간이 지남에 따라 변경되기 때문입니다. 이것은 몇 번이고 입증되었습니다.
최근에 진보적 인 조직은보다 능동적이고 위험에 기반한 보안 접근 방식을 추구하기 시작했습니다. 위험 기반 모델의 목표는 조직의 IT 보안 운영 효율성을 극대화하고 위험 및 규정 준수 상태에 대한 가시성을 제공하는 것입니다. 궁극적 인 목표는 규정 준수를 유지하고 위험을 줄이며 지속적으로 보안을 강화하는 것입니다.
여러 가지 요인으로 인해 조직이 위험 기반 모델로 이동하고 있습니다. 여기에는 다음이 포함되지만 이에 국한되지는 않습니다.
- 새로운 사이버 법률 (예 : 사이버 정보 공유 및 보호법)
- 통화 감사관 (OCC)의 감독 지침
구조에 대한 보안?
취약성 관리는 데이터 유출의 위험을 최소화 할 것으로 일반적으로 믿어집니다. 그러나 취약성을 자신과 관련된 위험의 맥락에 두지 않고 조직은 종종 교정 리소스를 잘못 조정합니다. 종종 그들은 "매우 낮은 성과"만을 다루면서 가장 중요한 위험을 간과합니다.
이는 돈 낭비 일뿐만 아니라 해커가 치명적인 취약점을 악용 할 수있는 더 긴 기회를 제공합니다. 궁극적 인 목표는 공격자가 소프트웨어 결함을 악용해야하는 창을 단축하는 것입니다. 따라서 위협, 접근성, 조직의 규정 준수 상태 및 비즈니스 영향과 같은 요소를 고려하는 보안에 대한 전체적이고 위험 기반 접근 방식으로 취약성 관리를 보완해야합니다. 위협이 취약성에 도달 할 수없는 경우 관련 위험이 줄어들거나 제거됩니다.
유일한 진실로서의 위험
조직의 규정 준수 상태는 위협이 대상에 도달하지 못하도록하는 데 사용할 수있는 보상 제어를 식별하여 IT 보안에서 필수적인 역할을 수행 할 수 있습니다. 2013 년 Verizon 데이터 유출 조사 보고서에 따르면, Verizon과 다른 조직이 전년도에 수행 한 위반 조사에서 얻은 데이터를 분석 한 결과 단순 또는 중간 제어를 통해 97 %의 보안 사고를 피할 수있었습니다. 그러나 비즈니스 영향은 실제 위험을 결정하는 데 중요한 요소입니다. 예를 들어 중요한 비즈니스 자산을 위협하는 취약점은 덜 중요한 대상과 관련된 취약점보다 훨씬 높은 위험을 나타냅니다.
준수 자세는 일반적으로 자산의 비즈니스 중요도와 관련이 없습니다. 대신, 보상 통제는 일반적으로 적용되고 그에 따라 테스트됩니다. 자산이 조직에 나타내는 비즈니스 중요도에 대한 명확한 이해가 없으면 조직은 치료 노력의 우선 순위를 지정할 수 없습니다. 위험 중심 접근 방식은 보안 상태와 비즈니스 영향을 모두 해결하여 운영 효율성을 높이고 평가 정확도를 높이며 공격 영역을 줄이고 투자 의사 결정을 개선합니다.
앞서 언급 한 바와 같이, 위험은 규정 준수 상태, 위협 및 취약성, 비즈니스 영향의 세 가지 주요 요인에 의해 영향을받습니다. 결과적으로 비즈니스 운영에 미치는 영향을 계산하고 치료 조치의 우선 순위를 정하기 위해 위험 및 규정 준수 상태에 대한 중요 인텔리전스를 현재, 새롭고 새롭게 등장하는 위협 정보와 집계해야합니다.
위험에 대한 전체적인 관점을 구성하는 세 가지 요소
보안에 대한 위험 기반 접근 방식을 구현하는 데는 세 가지 주요 구성 요소가 있습니다.- 지속적인 규정 준수에는 자산 조정 및 데이터 분류 자동화, 기술 제어 조정, 규정 준수 테스트 자동화, 평가 조사 배포 및 데이터 통합 자동화가 포함됩니다. 지속적인 규정 준수를 통해 조직은 공통 제어 프레임 워크를 활용하여 데이터 수집 및 데이터 분석의 정확성을 높이고 중복 작업은 물론 노동 집약적 인 수동 작업을 최대 75 % 줄일 수있어 중복을 줄일 수 있습니다.
- 지속적인 모니터링은 증가하는 데이터 평가 빈도를 의미하며 SIEM (Security Information and Event Management), 자산 관리, 위협 피드 및 취약성 스캐너와 같은 다양한 소스의 데이터를 집계하고 표준화함으로써 보안 데이터 자동화가 필요합니다. 결과적으로 조직은 솔루션을 통합하고 프로세스를 능률화하며 상황에 대한 인식을 구축하여 악용 및 위협을 적시에 노출 시키며 과거 추세 데이터를 수집함으로써 예측 보안을 지원할 수 있습니다.
- 폐 루프, 위험 기반 치료는 사업부 내의 주제 전문가를 활용하여 위험 카탈로그 및 위험 허용치를 정의합니다. 이 프로세스에는 자산 분류를 통해 비즈니스 중요도, 위험 기반 우선 순위 지정을위한 연속 채점, 폐 루프 추적 및 측정이 정의됩니다. 기존 자산, 인력, 프로세스, 잠재적 위험 및 가능한 위협에 대한 지속적인 검토 루프를 구축함으로써 조직은 비즈니스, 보안 및 IT 운영 간의 협업을 향상시키면서 운영 효율성을 크게 높일 수 있습니다. 이를 통해 해결 시간, 보안 운영 요원에 대한 투자, 추가 보안 도구 구매와 같은 보안 노력을 측정하고 실현할 수 있습니다.
위험 및 규정 준수의 결론
규정 준수 의무는 IT 보안 버스를 구동하도록 설계되지 않았습니다. 위험 평가, 지속적인 모니터링 및 폐 루프 개선에 의해 주도되는 동적 보안 프레임 워크 내에서 지원 역할을 수행해야합니다.
