위험 관리 인사이트

아티클
07/11/2023

비즈니스 운영에는 위험이 따릅니다. 보안 팀의 역할은 보안 위험이 어떻게 프레임워크에 유입되는지 의사 결정권자에게 알리고 조언하는 것입니다. 보안 팀의 목표는 비즈니스에 대해 배우고, 보안 전문 지식을 사용하여 비즈니스 목표 및 자산에 대한 위험을 식별하는 것입니다. 그런 다음, 보안 팀은 의사 결정자에게 각 위험에 대해 조언하고 수용할 수 있는 위험을 추천합니다. 이 정보는 이러한 의사 결정에 대한 책임이 자산 또는 프로세스 소유자에게 있다는 것을 알고 제공됩니다.

참고

위험 책임에 대한 일반적인 규칙은 다음과 같습니다.

위험을 소유하고 받아들이는 사람은 무엇이 잘못되었는지 세상에 설명하는(종종 TV 카메라 앞에서) 사람입니다.

성숙한 보안 팀의 목표는 위험을 노출하고 완화한 다음, 회사에서 최소한의 위험으로 변경할 수 있도록 역량을 강화하는 것입니다. 이 정도의 성숙도에 도달하려면 위험 인사이트와 심층적인 보안 통합이 필요합니다. 조직의 성숙도에 상관없이 주요 보안 위험이 위험 레지스터에 표시되어야 합니다. 이러한 위험은 허용 가능한 수준으로 관리됩니다.

보안 조정 관련 내용과 조직 내에서 위험을 관리하는 방법을 알아보려면 다음 비디오를 시청하세요.

사이버 보안 위험이란?

사이버 보안 위험은 비즈니스 자산, 수익 및 평판의 잠재적 손상 또는 파괴입니다. 이 손상은 돈, 정보 또는 기술을 훔치려는 인간 공격자에 의해 발생합니다.

이러한 공격은 기술 환경에서 발생하지만, 조직 전체의 위험을 나타날 때가 많습니다. 사이버 보안 위험은 위험 측정, 추적 및 완화 프레임워크에 맞춰야 합니다. 많은 조직은 여전히 사이버 보안 위험을 해결해야 할 기술적 문제로 취급합니다. 이러한 인식은 위험의 전략적 비즈니스 영향을 완화하지 않는 잘못된 결론으로 이어집니다.

다음 다이어그램은 일반적인 기술 지향 프로그램에서 비즈니스 프레임워크로의 전환을 보여줍니다.

보안 책임자는 기술적인 관점에서 한발 물러서서 비즈니스 리더에게 어떤 자산과 데이터가 중요한지 배워야 합니다. 그런 다음, 팀이 비즈니스 중요성과 관련된 시간, 관심 및 예산을 소비하는 방법의 우선 순위를 지정합니다. 기술 관점은 보안으로 다시 적용되고 IT 팀은 솔루션을 통해 작업합니다. 그러나 사이버 보안 위험을 기술 문제로만 살펴보면 잘못된 문제를 해결할 위험이 있습니다.

보안 위험 관리 조정

사이버 보안과 조직 리더십 간에 보다 강력한 브리지를 구축하기 위해 지속적으로 노력합니다. 이 개념은 인간 관계와 명시적 프로세스 모두에 적용됩니다. 보안 위험의 특성과 비즈니스 기회의 다양한 역학은 끊임없이 변화하고 있습니다. 보안 위험 소스는 이 관계를 구축하고 개선하는 데 지속적인 투자가 필요합니다.

이 관계의 핵심은 비즈니스 가치가 특정 기술 자산에 연결되는 방식을 이해하는 것입니다. 이 방향을 모르면 보안 팀은 조직에 가장 중요한 것이 무엇인지 확신할 수 없습니다. 운에 기댄 추측으로 가장 중요한 자산을 보호하는 데 성공할 뿐입니다.

이 프로세스를 즉시 시작하는 것이 중요합니다. 먼저 조직의 민감한 자산과 중요 비즈니스용 자산을 보다 정확하게 이해합니다.

이 변환을 시작하는 일반적인 프로세스는 다음과 같습니다.

양방향 관계로 비즈니스를 조정합니다.
- 비즈니스 친화적인 용어를 사용하여 보안 위협에 대해 설명할 수 있도록 조직의 언어로 소통합니다. 이 설명은 전반적인 비즈니스 전략 및 업무에 대한 위험과 미치는 영향을 수량화하는 데 도움이 됩니다.
- 회서 전체의 사람들과 대화하여 적극적으로 경청하고 배웁니다. 중요한 비즈니스 서비스 및 정보가 손상되거나 위반된 경우 미치는 영향을 파악하기 위해 노력합니다. 이것을 이해하면 정책, 표준, 교육 및 보안 제어에 투자해야 하는 이유를 명확하게 알 수 있습니다.
비즈니스 우선 순위 및 위험에 대해 배운 내용을 다음과 같은 구체적이고 지속 가능한 작업으로 변환합니다.
- 중요한 우선 순위 처리에 초점을 맞춘 단기.
  - 적절한 보안 제어를 사용하여 중요한 자산과 고가치 정보를 보호합니다. 이러한 제어는 비즈니스 생산성을 높이면서 보안을 강화합니다.
  - 비즈니스에 영향을 줄 가능성이 가장 높은 즉각적이고 새로운 위협에 집중합니다.
  - 비즈니스 전략 및 이니셔티브의 변화를 모니터링하여 지속적으로 대응합니다.
- 장기는 시간이 지나면서 꾸준히 발전하도록 방향과 우선 순위를 설정하여 전반적인 보안 태세를 개선합니다.
  - 제로 트러스트를 사용하여 조직의 위험을 줄이기 위한 전략, 계획 및 아키텍처를 만듭니다. 위반, 최소 권한 및 명시적 확인을 가정하는 제로 트러스트 원칙에 맞춥니다. 이러한 원칙을 채택하면 정적 제어에서 보다 동적 위험 기반 의사 결정으로 전환됩니다. 이러한 결정은 위협이 시작된 위치에 관계없이 이상한 동작의 실시간 감지를 기반으로 합니다.
  - 조직 전체에서 보안 모범 사례를 운영하여 일관된 전략으로 기술 부채를 상환합니다. 예를 들어 암호 기반 인증을 암호 없는 다단계 인증으로 바꾸고, 보안 패치를 적용하고, 레거시 시스템을 사용 중지하거나 격리합니다. 모기지 상환과 마찬가지로 투자의 전체 이익과 가치를 실현하려면 꾸준히 상환해야 합니다.
  - 데이터 분류, 민감도 레이블 및 역할 기반 액세스 제어를 적용하여 전체 수명 주기 동안 손실 또는 손상으로부터 데이터를 보호합니다. 이러한 노력으로는 비즈니스 컨텍스트 및 인사이트의 동적 특성과 풍부함을 완전히 포착할 수 없습니다. 그러나 이러한 핵심 요소는 정보 보호 및 거버넌스를 안내하여 공격의 잠재적 영향을 제한하는 데 사용됩니다.
올바른 동작을 명시적으로 연습, 전달하고 공개적으로 모델링하여 건강한 보안 문화를 수립합니다. 문화는 비즈니스, IT 및 보안 동료 간의 개방적인 협업에 중점을 두어야 합니다. 그런 다음, 지속적인 학습의 '성장형 사고방식'에 초점을 적용합니다. 보안, IT 및 대규모 비즈니스 조직에서 사일로를 제거하는 문화적 변화에 초점을 맞춥니다. 이러한 변화는 더 높은 수준의 지식 공유와 복원력을 달성합니다.

자세한 내용은 보안 전략 정의를 참조하세요.

사이버 보안 위험 이해

사이버 보안 위험은 돈, 정보 또는 기술을 훔치려는 인간 공격자에 의해 발생합니다. 이러한 공격자의 동기 및 동작 패턴을 이해하는 것이 중요합니다.

동기

다양한 공격자의 공격 동기와 유인은 합법적 조직의 동기와 유인을 반영합니다.

공격자의 동기를 이해하면 다양한 유형의 공격 가능성과 잠재적 영향을 이해하는 데 도움이 될 수 있습니다. 보안 전략 및 가장 중요한 기술 제어는 조직 전체에서 비슷하지만, 이 컨텍스트는 보안 투자 집중 영역을 안내하는 데 도움이 될 수 있습니다.

자세한 내용은 공격자의 투자 수익률 방해를 참조하세요.

동작 패턴

조직은 동작을 형성하는 다양한 인간 공격자 모델에 직면합니다.

상품: 조직에서 일반적으로 직면하는 대부분의 위협은 금전적 ROI(투자 수익률)에 따라 움직이는 이익 추구형 공격자입니다. 이러한 공격자는 일반적으로 가장 저렴하고 가장 효과적인 도구와 방법을 사용합니다. 이러한 공격의 정교함(예: 잠행 및 도구 사용)은 일반적으로 다른 공격자에 의해 새로운 방법이 검증되고 대규모로 사용할 수 있게 되면서 점점 날카로워집니다.
최첨단: 정교한 공격 그룹은 장기적인 임무 결과에 따라 움직이며 재정 지원을 받는 경우가 많습니다. 이 재정 지원은 혁신에 집중하는 데 사용됩니다. 이 혁신에는 공급망 공격에 투자하거나 공격 캠페인 내에서 탐지 및 조사를 방해하는 전술의 변경이 포함될 수 있습니다.

일반적으로 공격자는 다음과 같은 특성이 있습니다.

유연함: 두 가지 이상의 공격 벡터를 사용하여 네트워크에 진입합니다.
목표 중심: 환경에 액세스하여 정의된 목적을 달성합니다. 목표는 사람, 데이터 또는 애플리케이션에 한정될 수 있지만, 특정 대상 클래스에 맞출 수도 있습니다. "데이터 및 시스템에 대한 액세스를 복원하기 위해 비용을 지불할 가능성이 높은 수익성 있는 회사"를 예로 들 수 있습니다.
잠행: 공격자들은 일반적으로 여러 투자 및 우선 순위 수준에서 증거를 인멸하거나 흔적을 숨기기 위해 예방 조치를 취합니다.
인내심: 공격자들은 인프라 및 비즈니스 환경을 파악하기 위한 정찰 활동에 많은 시간을 투자합니다.
넉넉한 자원과 숙련된 기술: 공격자들은 자신이 노리는 기술에 대해 공부합니다. 다만 기술의 깊이는 공격자마다 다를 수 있습니다.
풍부한 경험: 공격자들은 자산의 다른 측면에 액세스하거나 제어할 수 있는 상승된 권한을 얻기 위해 갈고닦은 기술과 도구를 사용합니다.

다음 단계

위험 관리를 효과적으로 수행하려면 거버넌스 및 규정 준수 활동의 모든 측면에 위험 관리를 적용해야 합니다. 위험을 적절하게 평가하려면 항상 포괄적인 접근 방식의 일부로 보안을 고려해야 합니다.

보안 통합은 보안의 다음 포커스 영역입니다.