위험 노출 관리가 선제적 보안의 미래

매주 월요일 Tenable 위험 노출 관리 아카데미에서는 취약성 관리에서 위험 노출 관리로 전환하기 위해 필요한 실용적이고 실제 환경에 사용할 수 있는 참조 자료를 제공합니다. 이번 게시물에서는 Verizon의 준비 태세 및 선제적 보안 담당 선임 이사 Jorge Orchilles가 자신이 위험 노출 관리로 전환하게 된 계기에 대해 이야기합니다. 위험 노출 관리 아카데미 시리즈 전체는 여기에서 확인할 수 있습니다.

선제적 위험 노출 관리로 보안 초점을 전환하면서, Verizon은 악용 가능한 실제 위험에 집중하기 위해 도구와 팀을 통합하고 있습니다. 공격 보안 기능을 통합 전략에 따라 정렬하고 악용 가능한 위협을 우선 순위로 두며 협업을 촉진함에 따라, 컴플라이언스 기반의 문제 해결에서 벗어나 위험 기반의 문제 해결로 초점을 옮기고 있습니다.

잘 아시겠지만, 사이버 보안 종사자들은 매일 Whac-a-mole®(두더지 잡기) 같이 위험 부담이 높은 게임을 하고 있습니다. 취약성을 쫓아다니며 "30일 내 패치" 또는 "코드 레드, 즉시 패치!"와 같은 명령을 내리거나 그 명령에 대응하는 데 시간을 사용합니다.

하지만 공격 표면이 확장되고 위협 행위자가 점점 정교해짐에 따라 이러한 사후 대응적 방식은 더 이상 충분하지 않습니다. 

Verizon에서는 기업, 리테일, 모바일 필드 기술 등의 다양한 요구를 충족해야 하는 이질적인 환경에서 분산된 기술을 계속해서 추구하는 것은 최선의 해법이 아님을 인식했습니다. 기업의 모든 영역을 포괄할 수 있는 단일 통합 위험 노출 관리 플랫폼이 필요했습니다. 이를 위해 사일로를 허물고 컴플라이언스 중심에서 위험 기반으로 사고방식을 전환하는 과정을 거쳤습니다. 

무엇보다도, 새로운 기술 도입을 고려하기에 앞서 각기 다른 도구와 우선 순위를 가진 여러 팀을 하나의 공유된 전략 아래 정렬해야 했습니다.

별도의 도구를 하나로 통합하기

보안 팀은 항상 여러 개의 도구를 병용해 왔습니다. 공격 표면 관리, 자산 가시성, 취약성 스캔, ID 위험 노출 및 클라우드 보안를 위한 별도의 도구가 존재했습니다. 대부분의 기업에서는 다양한 팀이 솔루션을 운영하며 각 솔루션에는 별도의 전문 지식이 필요합니다. 이러한 분산의 의도는 적합한 기술을 가진 인력이 적합한 문제를 해결하도록 보장하는 데 있습니다. 

사일로화된 접근 방식으로 인해 대응 속도가 늦어지고 특정 팀의 전문 분야 밖에 있는 중요한 취약성들이 방치되는 사각지대가 생겨납니다. 사일로 안에서 공격 경로 분석을 할 수는 없습니다!

저는 단지 체크리스트만 확인하는 업무에 머무르고 싶지 않습니다. 

모든 취약성이 아닌 실제 위험을 우선적으로 처리하는 보안 프로그램을 구축해야 했습니다. 그리고 이 과정에서 통합 접근 방식의 가치가 니치(niche) 기능의 장점보다 훨씬 크다는 것이 명확해졌습니다.

이러한 도전 과제를 해결하기 위해 하나의 플랫폼으로 통합하기로 결정했습니다. 그것이 바로 Tenable One입니다.

변경 사항 관리의 핵심: 데일 카네기의 방식 사용 

적절한 플랫폼은 변화의 핵심이지만, 위험 노출 관리의 구현은 순전히 기술적인 문제만은 아닙니다. 조직적인 문제도 있습니다. 위험 노출 관리 프로그램을 시작한다는 것은 사일로화된 핵심 보안 기능의 소유권을 재조정한다는 의미이며, 팀이 이전과는 전혀 다른 방식으로 협력해야 할 수 있습니다.

예를 들어, Verizon에서는 과거에 공격 표면 관리를 별도의 팀에서 담당했습니다. 이제 그 인원들은 제 그룹의 일원이 되었습니다. Active Directory 팀은 Bloodhound와 같은 ID 위험 노출 도구를 사용하지만 독립적입니다. 그러나 우리는 긴밀히 협력하여 해당 팀이 보안 통찰을 처벌이 아닌 가치 있는 것으로 인식하도록 하고 있습니다. 

과거에 다른 도구를 사용하던 사물 인터넷(IoT) 및 운영 기술(OT) 보안 전문가들도 이제 동일한 프레임워크 안에서 모두 함께 일하고 있습니다.

기존에 사일로 방식으로 일하던 보안 팀들은 이제 데이터를 공유하고 의사결정을 함께 내려야 하는데, 이는 쉽지 않은 변화입니다. 저는 투명성과 파트너십으로 이 어려움을 극복할 수 있다는 것을 깨달았습니다. 

실제로, 매일 브라이언 크렙스의 글을 읽는 것만큼이나 데일 카네기의 글을 조금씩 읽는 것이 중요할 때도 있습니다. 

따라서 탑다운 방식의 지시를 내리는 대신에 공유된 목표, 명확한 커뮤니케이션 및 초기 단계에서의 가치 입증을 통해 팀을 정렬하는 데 중점을 두어 전환 과정을 용이하게 했습니다. 초기부터 ID 보안, IT 운영, 클라우드 보안과 같은 분야의 이해 관계자를 참여시켜, 변경 사항을 강요하는 것이 아니라 모든 사람이 적극적으로 설계하고 지원하는 것으로 인식하도록 하고 있습니다.

이 모든 과정이 하루 아침에 이뤄진 것은 절대 아닙니다. 

고위 경영진의 지지와 신중한 계획이 필요했습니다. 보안 팀들은 단순히 새 도구를 사용하라는 요청을 받은 것이 아니라 업무 방식을 바꾸라는 요청을 받았습니다. 이 전환을 성공시키는 유일한 방법은 이 접근 방식으로 업무가 더 어려워지는 것이 아니라 더 쉬워진다는 점을 팀원들에게 보여주는 것입니다.

모든 것을 해결하려고 하지 않기

위험 노출 관리에서 가장 큰 사고방식 전환 중 하나는 모든 취약성을 즉시 패치할 필요는 없다는 점을 인식하는 것입니다. 물론, 이는 받아들이기 어려울 수 있습니다. 하지만 모든 것이 중요하다면 아무것도 중요하지 않게 됩니다. 그러한 접근 방식은 번아웃, 비효율성 및 더 많은 위험 노출로 이어질 뿐입니다. 

대신, Verizon에서는 실제로 악용 가능하고 현실적인 공격 경로의 일부인 취약성에 집중합니다.

어떤 애플리케이션에 치명적인 취약성이 있더라도 공격자가 그 취약성에 도달할 실질적인 방법이 없다면 과연 그것이 정말 최우선순위가 되어야 할까요? 반면에, 어떤 취약성이 핵심 자산으로 직접 연결되는 경로라면 즉시 해결해야 합니다. 

핵심은 임의의 심각도 점수가 아니라 실제 공격 시나리오에 기반한 우선 순위 지정입니다.

고위 경영진과의 협업

위험 노출 관리의 또 다른 중요한 장점은 경영진 차원에서의 보안 대화를 변화시킨다는 점입니다. 기술 비전문가 리더들에게 별 의미가 없는 긴 취약성 목록을 전달하는 대신, 다음의 몇 가지 핵심 포인트로 명확한 현황을 제시할 수 있습니다.

• 위험 요소는 무엇입니까?
• 공격자는 어떻게 침투할 수 있습니까?
• 가장 시급히 해결해야 할 우선 순위는 무엇입니까?

이렇게 하면 중대한 취약성이 발생했을 때 그 영향을 받는지 당황하며 확인할 필요가 없습니다. 필요한 데이터가 바로 손에 닿는 곳에 있기 때문입니다. 이것이 바로 위험 노출 관리의 진정한 가치입니다. 속도, 명확성 및 공격자보다 먼저 대응할 수 있는 능력 말입니다.

사이버 보안의 미래는 선제적 위험 노출 관리

위험 노출 관리의 핵심은 사후 대응적 보안에서 선제적 보안으로의 전환입니다. 이제 단순히 취약성을 수정하는 것에만 국한되지 않습니다. 위험을 비즈니스 컨텍스트에서 이해하는 것이 중요합니다. 

더 많은 조직이 이 방향으로 나아가면서 위험 노출 관리는 계속 진화할 것입니다. 

공급업체 통합이 진행 중이며 팀 구조도 재편되고 있습니다. 보안 리더들은 이제 한꺼번에 모든 것을 다 패치하는 것이 불가능한 작업임을 깨닫고 있습니다. 

따라서 업계는 Verizon처럼 정말 중요한 것에 집중해야 합니다. 바로 실제 침해로 이어질 수 있는 공격을 방지하는 것입니다.

이 변화의 최전선에 위치하고 있다면 사후 대응적 방식에서 벗어나 위험 노출을 전략적 위험으로 관리할 때입니다.

다음에 집중해야 할 것에 대한 Jorge의 제안 

자세히 알아보기

• 보안 리더를 위한 위험 노출 관리 전략 가이드를 읽어 보십시오. 위험 노출 관리 프로그램을 성공적으로 수립할 수 있도록 검증된 실용적 접근법과 함께 범위 설정, 이해 관계자 참여 및 승인 획득을 위한 조언이 들어 있습니다.

Whac-a-Mole은 Mattel Inc.의 등록 상표입니다.