준비 상태 측정 – 인시던트 대응 프로그램

현재의 위협 환경에서 조직에 영향을 미치는 공격 요소를 전방위적으로 차단하기란 쉬운 일이 아닙니다. 클라우드 컴퓨팅, 모빌리티, BYOD와 같은 새로운 혁신 기술 및 서비스의 채택이 늘어나고 기업 네트워크에 액세스할 수 있는 타사와의 협업이 증가하는 상황에서는 특히 더 그렇습니다.

한편으로는 새로운 비즈니스 모델 및 기업 IT 전략의 확장성을 개선하고, 상품 및 서비스의 출시 기간을 단축하며, 효율성을 개선하고, 비용을 절감해야 하지만 다른 한편으로는 이 작업으로 보안이 복잡해지는 결과가 발생합니다. 악의적인 공격자의 네트워크 액세스에 사용되는 모든 공격 표면과 진입 지점을 식별하는 것이 불가능하기 때문입니다.

이러한 이유로 “보안 규정 준수 체크리스트” 또는 “경계 중심 솔루션”에 기반한 기존 보안 모델의 부적절성에 대한 의견이 모아졌고 전체 보안 전략에서 최우선적으로 개선된 탐지 및 대응 기능을 갖춰야 한다는 목소리가 높아졌습니다. 강력한 사이버 보안 환경이 필요하다는 점을 고려하면 인시던트 대응 프로그램의 역할이 어느 때보다 중요합니다. 실제로 보안 침해가 발생하는 수와 악의적 행위자의 데이터 절도 또는 조작으로 인한 피해가 증가하는 현 상황에서 위협 기반 인시던트 대응 프로그램이 모든 조직의 기본적인 요구 사항이 되는 것은 시간 문제입니다.

다른 유명한 성숙도 모델에서 얻은 영감을 바탕으로 이 글에서 제가 설명하는 새로운 프레임워크는 모든 유형의 조직에서 인시던트 대응 프로그램을 진단 및 구상하고 지속적인 프로세스 개선을 가속화하고, 업계를 벤치마킹하는 데 필요한 분석 및 운영 기능, 프로세스, 거버넌스 및 메트릭을 조합한 것입니다.

레벨 1 – 초기 상태(예측 불가능한 사후 대응적 프로세스)

 

    • 분석 – 기술적 역량과 분석/과학 수사 기술을 갖추지 못함

 

  • 거버넌스 – 공식적으로 정의되거나 문서화된 SOP/IRP이 없음

 

 

  • 측정 – 메트릭 및 KPI가 없거나 캡처되지 않음

 

 

  • 운영 – 보안 인시던트 “발생 시”에 “시간이 허락되는 한” 처리됨

 

 

  • 조직 – 인시던트 대응 분석가가 없거나 공식적으로 확인되지 않음

 

 

레벨 2 – 관리되는 상태(프로세스가 개발되었지만 일관되지 않고 사후 대응적임)

 

    • 분석 – 인시던트 발생 여부를 확인하는 기본적인 기술 역량 및 기술을 갖추고 있음

 

  • 거버넌스 – 최소한의 SOP/IRP가 있지만 전달, 준수, 테스트 또는 업데이트되지 않거나 알려지지 않음

 

 

  • 측정 – 요청 시 제한된 메트릭 및 KPI를 사용할 수 있으며 수동으로 생성됨

 

 

  • 운영 – 일부 보안 인시던트의 해결이 문서화, 추적 및 처리됨

 

 

  • 조직 – 인시던트 대응 분석가가 확인되고 담당 업무가 배정됨

 

 

레벨 3 – 정의된 상태(조직 전체의 프로세스가 일관적이며 사전 예방적임)

 

    • 분석 – 기술 역량, 기능 및 기술을 갖추고 있고 공통된 IR 해결 작업이 자동화됨

 

  • 거버넌스 – 팀에서 SOP/IRP를 공식적으로 문서화하고 대부분의 보안 인시던트에 대해 준수함

 

 

  • 측정 – 일부 메트릭 및 KPI가 주기적으로 캡처되고 전달됨

 

 

  • 운영 – 보안 인시던트의 클래스 및 심각도가 관련 자산(및 데이터)의 비즈니스 영향 및 위험 영향에 따라 공식화되고 상호 연관됨

 

 

  • 조직 – 일부 중요한 IR 기능에 대한 전문성을 갖춘 전담 IR 팀이 있고 정기적인 교육이 제공됨

 

 

레벨 4 – 양적 관리 상태(프로세스가 평가되고 제어됨)

 

    • 분석 – 조직의 환경에 맞춰진 고급 기술 역량 및 분석/과학 수사 기술을 갖추고 있음, 아티팩트 및 위협 인텔리전스 데이터가 캡처됨

 

  • 거버넌스 – SOP/IRP가 있고 제대로 전달되며 다양한 사업부에서 이를 준수함

 

 

  • 측정 – 상세한 메트릭 및 KPI가 전달 및 전파되며 액세스 가능함. 긴급 상황 대비 회의 및 IR 회의가 모든 레벨 및 모든 부서에서 시행됨

 

 

  • 운영 – 보안 인시던트가 반복 가능한 방법을 통해 일관적으로 해결되고 근본 원인 분석 접근 방식을 사용하여 조직의 전반적인 보안 환경을 개선함

 

 

  • 조직 – 회사의 특정 기술 및 맞춤형 기술에 대한 해박한 전문 지식을 갖춘 전담 IR 팀이 있고 공식화된 경영진이 관여함

 

 

레벨 5 – 최적화 상태(프로세스 개선에 주력)

 

    • 분석 – 고급 기술과 최신 기술 역량 및 기능이 있고 보안 인시던트의 클래스, 심각도 및 발생 횟수가 지속적으로 감소함(네트워크 및 시스템에 대한 가시성은 증가함), 위협 차단, 탐지 및 추격에 위협 인텔리전스 데이터가 사용되고 대내외적으로 공유됨

 

  • 거버넌스 – SOP/IRP의 중요도가 커지고 “지속적 개선” 프로세스(예: OODA 루프)를 통해 학습한 내용을 식별하고 포함시켜 주기적으로 SOP/IRP를 조정하고 최적화함, SOP/IRP가 특정 자산 및 위협 요소에 맞춰짐

 

 

  • 측정 – 상세하고 견고한 메트릭이 정의되고 주기적으로 보고되며 비즈니스, 위험 관리 및 경영진 목표에 맞춰짐

 

 

  • 운영 – 인시던트가 추적되고 해결 상태를 언제든지 모니터링하여 각 인시던트의 자산 손실, 위협 전파 및 재정적 영향을 파악할 수 있음

 

 

  • 조직 – 다양한 업무를 수행하는 IR 팀이 협력하고 시뮬레이션 및 회의에 경영진이 적극적으로 개입하며 법적 및 규정 준수 문제가 해결됨

 

 

몇몇 데이터 침해 사건을 고려하면 가장 높은 레벨을 따르는 것이 적절합니다. 물론 초기 레벨에서 더 성숙한 환경으로 이동하려면 복잡한 작업을 거쳐야 하며 대규모 조직의 경우 몇 달, 심지어는 몇 년에 걸친 꾸준한 작업, 헌신 및 재정적 투자가 필요할 수 있습니다. 하지만 위협 기반 인시던트 대응 프로그램은 침해 발생 후 조직이 채택할 수 있는 가장 비용 효과적인 보안 수단입니다.

전체 명령 계통, 사업부 및 팀원에게 기술 및 전략을 전달하고 항상 조정하면 조직의 사고 방식이 바뀌고 보안 침해를 초기 단계에서 처리할 수 있는 준비 상태를 갖출 수 있으며 보안 침해 발생 시의 영향을 줄이고 손실을 최소화하는 공통의 목표를 향해 협력적으로 작업할 수 있습니다.

Leave a Reply

Your email address will not be published. Required fields are marked *

No Comments