주요 도전 과제에 대한 클라우드 리더들의 의견
클라우드에 너무 많은 ID, 시스템 및 인원을 동원하면 이미 복잡한 요구 사항이 더 혼란스러워집니다.
클라우드 의사 결정자의 2/3 이상(68%)은 조직의 최대 노출 위험 영역을 클라우드 배포(특히 퍼블릭 및 하이브리드 인스턴스)로 꼽습니다. 그리고 이러한 시스템에 액세스할 수 있는 사람을 관리하는 것은 상당히 어렵습니다.
다음은 조직의 클라우드 인프라에 대해 최종 의사 결정 권한이 있는 262명의 IT 및 보안 전문가에게 의뢰한 조사에서 발견한 사항입니다. Tenable이 Forrester Consulting에 의뢰하여 2023년에 수행한 조사에서 클라우드 의사 결정자들이 위험 노출의 가장 큰 영역으로 지적하는 4개 주요 영역이 밝혀졌습니다.
- 조직 전반에서 사용되는 클라우드 인프라 및 서비스의 구성 오류(68%)
- 조직 전반에서 사용되는 모든 비즈니스/IT 소프트웨어의 결함(62%)
- 조직이 사용자 권한 및 액세스를 관리하는 데 사용하는 도구의 구성 오류(60%)
- 조직 전반에서 사용되는 모든 운영 기술 소프트웨어의 결함(46%)
위험 노출 평가의 경우, 클라우드 의사 결정자들은 IT 인프라의 다른 영역보다도 클라우드를 우려의 원인으로 더 많이 꼽습니다.
다음 중 가장 위험 노출이 심한 분야는 어디입니까?
| 기술 | 응답자 비율 |
| 퍼블릭 클라우드 인프라1 | 29% |
| 멀티 클라우드/하이브리드 인프라2 | 28% |
| 사물 인터넷(IoT) | 15% |
| 프라이빗 클라우드 인프라 | 11% |
| 클라우드 컨테이너 관리 도구 | 9% |
| 온프레미스 인프라 | 5% |
| 운영 기술/산업 제어 시스템(ICS)/감시 제어 및 데이터 취득(SCADA) | 3% |
1 퍼블릭 클라우드는 Amazon Web Services(AWS), Google Cloud Platform(GCP) 또는 Microsoft Azure와 같은 단일 퍼블릭 클라우드 공급자일 수 있음
2 멀티 클라우드/하이브리드는 두 개 이상의 퍼블릭 및/또는 프라이빗 클라우드의 조합
조사 대상: 조직의 클라우드 인프라/아키텍처에 대한 최종 의사 결정 권한이 있는 262명의 IT 및 보안 전문가
출처: Tenable이 Forrester Consulting에 의뢰하여 수행한 2023년 조사
클라우드 의사 결정자들이 내년에 투자할 곳은?
현재 대부분의 조직은 가상 머신 및 컨테이너와 함께 고객 관계 관리(CRM) 및 인사 관리 시스템을 포함하는 광범위한 클라우드 기반 인프라 및 비즈니스 시스템을 사용하고 있습니다.
클라우드 내 기술 배포와 관련된 투자 영역의 경우, 응답자들은 서버리스 기능, 가상 컴퓨터 및 컨테이너를 향후 12개월 내에 확장 도입할 계획이 있는 상위 3개 기술 유형으로 인식했습니다.
다음 중 조직에서 현재 사용하는 클라우드 인프라 기술은 무엇입니까?
| 기술 | 클라우드에 관심 없음 | 관심은 있지만 클라우드에서 구현할 계획 없음 | 향후 12개월 내 클라우드에서 구현할 계획 | 클라우드에서 구현했지만 확장/업그레이드 예정 없음 | 클라우드 사용 확장 또는 업그레이드 예정 | 클라우드 사용 축소 또는 제거 예정 |
| 서버리스 기능 | 8% | 21% | 39% | 24% | 7% | 0% |
| 가상 컴퓨터 | 3% | 14% | 33% | 34% | 13% | 3% |
| 컨테이너 | 2% | 11% | 32% | 35% | 16% | 3% |
| HR 관리 | 2% | 12% | 26% | 40% | 18% | 2% |
| 이메일 | 2% | 5% | 25% | 35% | 26% | 7% |
| 재무 | 3% | 11% | 25% | 32% | 24% | 6% |
| IT 서비스 관리(ITSM) | 0% | 5% | 24% | 34% | 30% | 8% |
| 엔터프라이즈 리소스 계획(ERP) | 1% | 4% | 17% | 37% | 32% | 9% |
| 고객 관계 관리(CRM) | 0% | 6% | 14% | 42% | 28% | 10% |
조사 대상: 조직의 클라우드 인프라/아키텍처에 대한 최종 의사 결정 권한이 있는 262명의 IT 및 보안 전문가
출처: Tenable이 Forrester Consulting에 의뢰하여 수행한 2023년 조사
너무 많은 데이터, 너무 많은 사일로, 너무 많은 이해 관계자
복잡한 클라우드 기반 에코시스템이 대부분의 조직에서 자리를 잡았기 때문에, 클라우드 의사 결정자가 전체 위험 노출을 확인하기 위해 사용하는 데이터 소스 리스트에서 클라우드 발견 사항이 상위를 차지하는 것은 놀라운 일이 아닙니다. 하지만 클라우드 발견 사항은 유일한 소스가 아닙니다. 데이터 클라우드 의사 결정자들이 의존하는 소스로는 위협 인텔리전스 피드, 취약성 공개 및 인시던트 준비 상태 평가 발견 사항도 있습니다.
다음 중 조직에서 전반적인 위험 노출을 식별하는 데 사용하는 데이터 소스는 무엇입니까?
| 데이터 소스 | 응답자 비율 |
| 클라우드 발견 사항 | 69% |
| 위협 인텔리전스 피드 | 55% |
| 취약성 공개 | 52% |
| 인시던트 준비 상태 평가 발견 사항 | 52% |
| 침투 테스트 발견 사항 | 47% |
| 외부 공격 표면 발견 사항 | 42% |
| 사용자 프로필 및 권한 | 35% |
| 운영 기술 발견 사항 | 31% |
| 자산 인벤토리 | 26% |
복수 응답 허용
조사 대상: 조직의 클라우드 인프라/아키텍처에 대한 최종 의사 결정 권한이 있는 262명의 IT 및 보안 전문가
출처: Tenable이 Forrester Consulting에 의뢰하여 수행한 2023년 조사
사일로화된 여러 시스템에서 이 모든 데이터를 집계하려면 시간이 오래 걸리고 복잡합니다. 사실, 조직이 사일로화되어 있거나 데이터 하이진이 미비하거나 예방적 사이버 보안보다 사후 대응 사이버 보안에 집중하면 클라우드 보안에 어려움이 생깁니다. 특히,
- 10명 중 7명(70%)은 사일로화된 시스템이 사용자 데이터를 얻는 데 방해가 된다고 답함
- 절반은 조직이 사용자 데이터를 취약성 관리 관행에 효과적으로 통합하는 방법이 부족하다고 답함
- 절반 이상(55%)은 조직의 사용자 데이터 및 취약성 관리 시스템의 하이진이 부족하여 우선 순위 지정 결정을 내리는 데 도움이 되는 높은 품질의 데이터를 얻지 못한다고 답함
- 10명 중 6명(58%)은 사이버 보안 팀이 중요한 인시던트에 대응하느라 너무 바쁘기 때문에 조직의 위험 노출을 줄이기 위한 예방적 접근 방식을 취하지 못한다고 답함
- 약 4분의 3(74%)은 예방적 사이버 보안에 더 많은 리소스를 할당한다면 조직이 사이버 공격을 더 성공적으로 방어할 수 있을 것이라고 답함
ID 및 액세스 관리 시스템의 감독 책임이 IT 및 보안 운영, 위험 및 컴플라이언스와 거버넌스 전문가들이 참여하는 팀 스포츠와 같다는 것은 문제를 더 복잡하게 만듭니다. 대다수의 응답자(67%)는 3개 이상의 ID 및 액세스 관리 시스템을 보유하고 있으며 이러한 시스템을 관리하는 데 IT 운영(77%), 보안 운영(61%), ID 및 액세스(53%), 위험 및 컴플라이언스(36%), 그리고 거버넌스(32%)의 서로 다른 5개 팀이 관련될 수 있습니다.
조직에서 사용하는 ID 및 권한 관리 시스템을 누가 관리합니까?
| 팀 | 응답자 비율 |
| IT 운영 | 77% |
| 보안 운영 | 61% |
| ID 및 액세스 팀 | 53% |
| 위험 및 컴플라이언스 | 36% |
| 거버넌스 | 32% |
| 조직에 ID 및 권한 관리 시스템이 없음 | 2% |
| 기타 | 1% |
복수 응답 허용
조사 대상: 조직의 클라우드 인프라/아키텍처에 대한 최종 의사 결정 권한이 있는 262명의 IT 및 보안 전문가
출처: Tenable이 Forrester Consulting에 의뢰하여 수행한 2023년 조사
또한 조사에 응한 대부분의 클라우드 의사 결정자는 여러 가지 역할을 하고 있으며 DevSecOps, 취약성 관리 및 심지어 보안 운영 센터(SOC) 등 여러 기타 주요 영역에 대한 최종 의사 결정자로 스스로를 인식합니다.
본인이 최종 의사 결정자를 담당하는 직무
| 직무 | 응답자 비율 |
| DevSecOps | 61% |
| 취약성 관리 | 58% |
| 보안 운영/SOC | 57% |
| SaaS 애플리케이션/도구 | 56% |
| IT 운영 | 56% |
| ID 액세스/권한 관리 | 53% |
| DevOps | 53% |
조사 대상: 조직의 클라우드 인프라/아키텍처에 대한 최종 의사 결정 권한이 있는 262명의 IT 및 보안 전문가
출처: Tenable이 Forrester Consulting에 의뢰하여 수행한 2023년 조사
하지만 사이버 보안은 대부분의 기술 배포 단계에서 배제되는 경우가 많습니다.
조직의 사이버 보안 팀은 다음 배포 단계에 얼마나 자주 참여합니까?
| 단계 | 전혀 | 드뭄 | 종종 | 대부분의 시간 | 항상 |
| 아키텍처 검토 | 1% | 10% | 38% | 35% | 15% |
| 범위 지정 | 2% | 16% | 41% | 32% | 9% |
| 제안 요청(RFP) | 3% | 10% | 31% | 35% | 21% |
| 공급업체 평가/개념 증명(PoC) | 2% | 10% | 33% | 31% | 24% |
| 구성 및 배포 | 0% | 5% | 27% | 42% | 26% |
| 사용자 권한 및 액세스 관리 | 0% | 2% | 23% | 38% | 35% |
| 지속적인 공급업체 관리 및 유지 관리 | 1% | 9% | 27% | 40% | 23% |
| 거버넌스 및 예외 관리 | 1% | 11% | 21% | 45% | 22% |
조사 대상: 조직의 클라우드 인프라/아키텍처에 대한 최종 의사 결정 권한이 있는 262명의 IT 및 보안 전문가
출처: Tenable이 Forrester Consulting에 의뢰하여 수행한 2023년 조사
DevOps는 클라우드 의사 결정자들이 우려하는 또 다른 영역입니다. 10명 중 4명(42%)은 조직의 DevOps 팀이 코드 개발 프로세스에서 보안을 우선 순위 지정하지 않는다고 말합니다.
응답자에 대한 상세 정보
설문 조사 응답자들은 IT(65%) 및 사이버 보안(35%) 분야에서 일하는 클라우드 의사 결정자들입니다. 고위 경영진보다는 부사장 또는 이사에 더 가깝습니다. IT 및 보안 전략과 밀접하게 관련되어 있습니다.
다음 중 귀하의 현재 지위/부서를 가장 잘 설명하는 것은 무엇입니까?
| 지위/부서 | 응답자 비율 |
| IT | 65% |
| 사이버 보안/infosec | 35% |
조사 대상: 조직의 클라우드 인프라/아키텍처에 대한 최종 의사 결정 권한이 있는 262명의 IT 및 보안 전문가
출처: Tenable이 Forrester Consulting에 의뢰하여 수행한 2023년 조사
조직에서 귀하의 지위를 가장 잘 설명하는 직함은 무엇입니까?
| 직함 | 응답자 비율 |
| 회사의 최고위 IT 또는 보안 의사 결정자(예: CIO, CISO, CTO) | 22% |
| 비즈니스 정보 보안 책임자(BISO) | 3% |
| IT 또는 보안 부사장 | 40% |
| IT 또는 보안 이사 | 35% |
조사 대상: 조직의 클라우드 인프라/아키텍처에 대한 최종 의사 결정 권한이 있는 262명의 IT 및 보안 전문가
출처: Tenable이 Forrester Consulting에 의뢰하여 수행한 2023년 조사
귀하는 조직에서 다음 IT/보안 전략 영역을 설정, 관리 및/또는 구현하는 데 얼마나 관여합니까?
| 분야 | 미미하게 관련됨 | 적당히 관련됨 | 밀접하게 관련됨 |
| 예산 | 1% | 45% | 53% |
| 성과 메트릭 | 0% | 40% | 59% |
| 비즈니스 전략 | 0% | 48% | 52% |
조사 대상: 조직의 클라우드 인프라/아키텍처에 대한 최종 의사 결정 권한이 있는 262명의 IT 및 보안 전문가
출처: Tenable이 Forrester Consulting에 의뢰하여 수행한 2023년 조사
클라우드 보안 위험을 줄이기 위한 4가지 권장 사항
복잡한 클라우드 인프라를 보호하려면 다양한 인력, 프로세스 및 기술 도전 과제를 해결해야 합니다. 다음은 시작하는 데 도움이 되는 4가지 권장 사항입니다.
- 사일로를 해체하십시오. 다양한 사업부 전반의 클라우드 보안을 표준화하는 계획을 세워 보안, IT, DevOps 및 DevSecOps 팀이 사용할 수 있는 단일 포인트의 참조 자료를 제공하십시오. 조직 전반의 사용자, 시스템 및 자산 사이의 관계를 신속하게 판단하여 위험 노출을 현실적으로 식별하고 해결할 수 있습니까? 아니면 그러한 데이터를 클라우드 보안 관행에 효과적으로 통합하는 데 사일로화된 시스템이 방해하고 있습니까? 표준화는 IT, 보안 및 개발 팀 사이의 마찰을 최소화하고 누구나 이해할 수 있는 정확한 권장 사항에 기반한 신속한 의사 결정을 보장할 수 있습니다.
- 공격 표면을 시각적으로 매핑하십시오. 어떤 클라우드 자산을 보유하고 있는지 아는 것은 시작에 불과합니다. 네트워크의 각 자산에 대한 구성, 디지털 ID 및 관련 권한에 대한 가시성이 필요합니다. 보안 팀이 위험을 줄이기 위한 대상 권장 사항을 제공하려면 정확한 분석을 수행해야 합니다. 여기에 필요한 가시성을 자산, 구성 및 ID의 컨텍스트 보기만으로 달성할 수 있습니까?
- 멀티 클라우드 도전 과제를 해결하십시오. Amazon Web Services(AWS), Google Cloud Platform(GCP) 및 Microsoft Azure와 같은 주요 퍼블릭 클라우드 공급자는 클라우드 구성 요소를 서로 다르게 관리 및 구성하기 때문에 지속적인 보안 모니터링 시 일관성이 떨어집니다. 모든 퍼블릭 클라우드 공급자의 정보를 통합된 모니터링 및 관리 공간으로 일원화하는 것을 목표로 하십시오. 이렇게 하려면 클라우드 공급자 및 권한 모델의 인프라를 포함한 다양한 관련 메커니즘을 이해해야 하며, 정밀한 통합형 수정 권장 사항의 토대를 마련할 수 있습니다.
- 자동화된 솔루션을 탐색하십시오. 자동화된 클라우드 보안 솔루션을 이용하면 팀에 심층적인 기술적 노하우가 없어도 조직의 위험 노출을 지속적으로 분석할 수 있으며 간편하고 소모적이고 실현 가능한 방식으로 발견 사항을 제시할 수 있습니다. 자동화된 보안 도구는 팀이 복잡성 속에서 위험을 이해, 조사 및 탐색할 수 있는 기능을 제공합니다. 올바른 자동화된 솔루션을 사용하면 클라우드 자산, 사용자 및 구성에 대한 완전한 가시성을 얻을 수 있고 모든 퍼블릭 클라우드 공급자의 정보를 통합된 모니터링 및 관리 공간에 일원화할 수 있으며 위험 심각도에 기반하여 우선 순위 지정 및 수정할 수 있습니다. 자동화는 리소스가 부족한 보안 팀의 전력 승수 역할을 할 수 있습니다.
조직은 올바른 클라우드 보안 솔루션을 찾을 때 복잡성과 위험을 줄이는 솔루션에 집중해야 합니다. 올바른 클라우드 보안 솔루션은 사용자 친화적이면서 다양한 사업부에 걸쳐 클라우드 보안을 표준화해야 합니다. 강력한 솔루션은 조언자 역할을 하며 즉각적인 주의가 필요한 취약성 또는 구성 오류에 통찰을 제공합니다. 또한 컨텍스트가 풍부한 위험 우선 순위 지정, 완화에 대한 합리적 의사 결정을 위한 실행 가능한 통찰, 그리고 수정을 자동화하고 가속화하는 도구를 제공합니다.
관련 기사
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
Cybersecurity Snapshot: Cyber Agencies Offer Secure AI Tips, while Stanford Issues In-Depth AI Trends Analysis, Including of AI Security
April 19, 2024Check out recommendations for securing AI systems from the Five Eyes cybersecurity agencies. Plus, Stanford University offers a comprehensive review of AI trends. Meanwhile, a new open-source tool aims to simplify SBOM usage. And don’t miss the latest CIS Benchmarks updates. And much more!
Cybersecurity Snapshot: CISA Says Midnight Blizzard Swiped U.S. Gov’t Emails During Microsoft Hack, Tells Fed Agencies To Take Immediate Action
April 12, 2024Check out CISA’s urgent call for federal agencies to protect themselves from Midnight Blizzard’s breach of Microsoft corporate emails. Plus, a new survey shows cybersecurity pros are guardedly optimistic about AI. Meanwhile, SANS pinpoints the four trends CISOs absolutely must focus on this year. And the NSA is sharing best practices for data security. And much more!
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor
April 25, 2024Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
- Cloud
- Cloud
- Exposure Management