필수 8가지 취약점 관리 노력 최적화하기

서로 다른 상호 연결된 시스템과 전 세계에 흩어져 있는 직원들로 인해 사이버 범죄에 대한 노출과 기회가 증가하고 있습니다. 호주의 보안 팀, 특히 호주 연방 및 주 정부 부서의 보안 팀은 호주 사이버 보안 센터(ACSC)에서 제공하는 ISM 에센셜 에잇의 조언과 요구 사항을 채택하고 유지하기 위해 지속적으로 역풍과 싸우고 있습니다.

최근 보안 위생의 비용과 노력을 줄이기 위해 기관들과 나눈 대화에서 운영 체제 및 애플리케이션 패치, 그리고 보안 팀이 그 아래에서 벗어나기 위해 애쓰는 기타 '근본적인' 관행에 대한 지속적인 과제가 강조되었습니다. 시스템과 COTS 애플리케이션을 최신 상태로 유지하는 방법을 탐지하고 조언하는 성숙한 기술과 NCCE의 에센셜 8 성숙도를 개선하는 데 도움이 되도록 설계된 스프린트 프로그램을 이용할 수 있지만, 취약성 관리 결과의 영향을 완전히 이해하고 있는지, 위험 완화에 대한 최대 수익을 위해 이미 늘어난 자원의 노력을 어디에 투자해야 하는지에 대한 의문이 남아 있습니다.

취약점 관리는 당연히 모든 보안 팀의 핵심 관행이며 모든 방어 전략의 기반이 되어야 하며, 2011년의 상위 4가지 항목에 포함되었고 확장된 필수 8가지 항목에서도 지속적으로 관련성이 있는 것으로 보아 그 중요성이 분명해졌습니다. 그러나 인프라, 애플리케이션 아키텍처 및 소프트웨어 취약성의 복잡성이 증가함에 따라 기관은 정해진 기간 내에 모든 취약점을 패치할 수 없거나 점점 더 어려워지고 있으며, 애플리케이션 중단이나 생산성 저하를 우려하여 패치 배포에 어려움을 겪는 경우가 많습니다.

호주 정부의 사전 예방적 보안 정책 프레임워크(PSPF) 준수 보고서 ( 사이버 보안 사고 완화 전략 등 사이버 및 ICT 시스템 보안 관련)에 기록된 INFOSEC-4 준수 수준이 36개 필수 요건 중 가장 낮고 전년에 비해 거의 개선되지 않았기 때문에 일부에서는 "연방 정부가 사이버 보안 성숙도가 높아진 후에야 필수 8개를 의무화하는 것을 고려할 것"이라고 운이 좋다고 생각하는 사람도 있습니다.

최근 에이전시와 논의한 공통 주제는 다음과 같습니다:

• 소프트웨어 및 시스템의 양, 특히 사내에서 제작한 소프트웨어의 경우 필요한 패치의 주기 또는 부재 여부
• 모든 것이 항상 패치되는 것은 아니라는 점을 인식하고 우선순위를 정합니다.
• 취약점이 미치는 영향에 대한 충분한 인식 없이 위험을 감수할 수밖에 없는 불가피성

다음은 집중해야 할 세 가지 주요 영역과 통합 솔루션이 도움이 될 수 있는 분야입니다.

1. 중요도만이 아닌 노출에 따라 우선순위를 재조정합니다.

전통과 본성은 우리가 '가장 중요하다고 인식하는 것'을 먼저 목표로 삼으라고 말합니다. 알려진 취약점의 중요도를 반영하는 훌륭한 탐지 도구와 점수 시스템이 있음에도 불구하고 환경의 다른 워크로드에 대한 워크로드의 연결성을 고려하지 않습니다. 중요도만으로는 간과할 수 있는 규모가 작거나 잠재적으로 낮은 순위의 취약점이 있는 시스템은 접근성과 연결성이 높기 때문에 기관이 공격에 노출될 수 있습니다. 취약점 관리에 대해 양 중심의 최신 우선 접근 방식을 취하고 식별된 이슈의 수와 순위가 동일하게 보이는 시스템을 단순히 진행하면 익스플로잇 가능성이 가장 높은 문제를 먼저 해결하지 못합니다. 오히려 발전과 성공이라는 착각만 불러일으키고 대행사는 심각한 위험에 노출될 수 있습니다.

공격 표면을 최소화하고 패치 작업의 효과를 극대화하는 방법은 '노출'을 기준으로 우선순위 목록을 다시 정렬하는 것입니다. 취약점의 도달 가능성과 시스템의 연결성이 취약점이 먼저 발견되는지 여부에 중요한 역할을 하는 더 넓은 맥락에서 취약점을 봅니다. 선택한 취약성 검사 도구를 데이터 센터 내의 실시간 트래픽 흐름과 연결하면 보안 및 IT 운영 팀이 노출 점수가 가장 높은 시스템에 대한 보안 및 패치 결정의 우선순위를 정할 수 있습니다.

2. 시각화된 취약성 경로

보안 및 애플리케이션 팀은 취약점에 도달하거나 환경 내의 다른 민감한 시스템에 액세스하는 데 어떻게 악용될 수 있는지에 대한 이해나 시각화 없이 사일로에서 패치의 필요성이나 일정을 평가하는 경우가 대부분입니다. 그들은 맹목적으로 비행하기 때문에 자신의 결정이 미치는 업스트림 및 다운스트림 효과를 파악할 수 없습니다. 이는 특히 다른 사용자와 상호 작용하는 애플리케이션에서 위험을 감수하기로 선택할 때 큰 영향을 미칩니다.

더 넓은 맥락이나 실제로 채택된 통제의 효과에 대한 인식이 부족한 것이 PSPF 컴플라이언스 보고서에 제시된 데이터에 영향을 미쳤을 수 있으며, 이 영역의 결함을 깨닫고 INFOSEC-3 "정보 자산의 보안 분류 및 보호 제어를 위한 정책 및 절차 구현"에 대한 준수율이 5% 이상 감소한 것으로 나타났습니다.

공격자가 잠재적으로 사용할 수 있는 경로를 매핑할 수 있는 시각화를 통해 보안팀은 상호 연결된 시스템을 고려하지 않고 의사 결정을 내리지 않도록 하는 데 필요한 인사이트를 확보할 수 있습니다. 이들은 취약점이 더 넓은 생태계에 미치는 영향을 정확하게 평가하고, 이러한 휴면 취약점의 악용에 대한 '노출' 수준을 미리 파악하여 가장 영향력 있는 수정 조치를 먼저 취하는 데 집중할 수 있습니다.

3. 패치에 즉시 액세스하지 않고 완화하는 옵션

패치가 필요할 때 반드시 사용할 수 있는 것은 아닙니다. 프로덕션 변경 사항이 동결되면 즉시 배포할 수 없거나 프로젝트 팀이 커스텀 제작 소프트웨어를 재작업할 수 없는 경우가 종종 발생합니다. 실제로 패치가 비즈니스 서비스 가용성에 부정적인 영향을 미치지 않도록 패치를 준비하고 테스트하는 데 소요되는 주기는 실제 배포 자체가 아니라 보안 팀의 업무량을 늘리는 실질적인 장애물이 됩니다. 취약한 서비스에 대한 트래픽이 감지될 경우 이를 알려주는 센서가 없고 패치를 할 수 없을 때까지 팀은 취약한 상태에 놓일 위험이 있습니다.

최신 ACSC 성숙도 수준은 특히 극도로 위험한 시스템에 대한 패치 배포 기간에 대한 목표를 규정하고 있습니다. 기관은 레벨 3과 48시간 패치 목표를 목표로 해야 하지만, 많은 패치가 레벨 1의 1개월 목표에도 미치지 못할 수 있으며 위험도가 낮은 시스템은 동일한 수준의 조사를 받지 않을 것입니다. 따라서 만기 척도의 어느 단계에 있든 상관없이 노출되는 기간이 있습니다. 패치되지 않은 시스템을 통한 노출 위험으로 인해 기본에 충실해야 한다는 압박감을 느낄 수 있지만, 뚫린 구멍의 범위와 범위를 제어하면 이러한 위험을 최소화하는 데 효율적으로 도입할 수 있습니다.

마이크로세그멘테이션을 잘 활용하면 보상 제어의 기반이 되는 제어 기능을 신속하게 동원하여 귀중한 시간을 확보할 수 있습니다. 알려진 취약점이 있는 포트에 트래픽이 연결되는 경우 보안 운영 센터(SOC)에 알려주는 알림을 통해 대응 프로세스를 신속하게 처리하고, 더 나은 세분화 정책을 적용하면 애플리케이션 중단 없이 해당 포트에 대한 액세스를 제거하거나 제한할 수 있습니다. 취약한 서비스를 나머지 네트워크에서 격리하면 위협이 측면으로 이동하는 것을 방지하고 패치가 적용될 때까지 규정 준수 요건을 충족할 수 있습니다.

최근의 글로벌 이벤트와 침해 사고에서 알 수 있듯이, 위협의 범위를 추적 및 파악하고, 선제적으로 격리하며, 데이터센터의 기존 취약점을 악용하는 사고의 확산이나 영향을 '예방'하기 위한 제어 기능을 확보하는 것은 매우 중요합니다. 특히 '치료' 대안이 적시에 테스트 및 적용하기 어려운 경우 더욱 그렇습니다.

Illumio에 대한 자세한 내용은 취약성 관리 체계를 최적화하고 보안 팀이 기본에 충실할 수 있도록 지원하는 방법을 확인하세요.