2015.08.28

보여주기식 측정치는 그만! 유의미한 보안 지표 4가지

Fahmida Y. Rashid | InfoWorld

보안에 대한 최고경영진들의 관심이 높아지면서 기업 내 보안 담당자들은 회사의 방어 현황을 추적할 수 있는 지표를 제출하라고 요구 받고 있다. 하지만 어떤 수치가 정말 의미 있는 걸까?



일부 최고 경영진은 어떤 질문을 해야 할 지조차 모른다. 방어에만 과도하게 집중하고 예방은 경시하기도 한다. 일례로 사건 대응 평균 비용이나 방화벽으로 중단된 공격의 수 같은 측정치들은 보안과 무관한 사람들에게는 의미 있는 수치처럼 보이겠지만, 조직의 보안 프로그램을 실질적으로 개선시키는데 유용하지는 않다.

몇몇 전문가들은 이러한 수치 대신 행동 또는 변화 전략에 영향을 주는 측정치에 초점을 맞추라고 추천하고 있다.

보안 소프트웨어와 컨설팅 업체 시지털(Cigital)의 보안 이니셔티브 디렉터 캐롤라인 웡은 “측정치가 있었다면 행동을 달리 했었을” 수치에 집중하라고 말했다. 그녀에 따르면 취약점을 취소화하는 평균 비용과 패치에 걸리는 평균 시간 같은 측정치들은 조직에 성숙하고 고도로 최적화된 프로세스가 있을 때 도움이 되지만, 그렇지 않은 오늘날 95%의 조직에는 적용되지 않는다고 말했다.

하지만 참여, 효과 정도, 노출의 기회를 측정하는 수치들은 조직이 계획을 수립하고 프로그램을 향상시키기 위해 사용할 수 있는 정보를 제공한다고 그녀는 덧붙였다.

첫 번째 보안 측정치: 프로그램 참여 수준
참여 측정치는 조직 내 커버리지를 본다. 이들은 얼마나 많은 비즈니스 유닛들이 일상적으로 침투 테스트를 실시하는지 혹은 얼마나 많은 엔드포인트가 현재 자동화 패칭 시스템으로 업데이트되고 있는지 등을 측정할 수 있다. 웡에 의하면 이 기본적인 정보는 조직이 보안 제어 채택 수준을 산정하고 잠재적 격차를 식별하는데 도움을 준다.

예를 들어 조직의 시스템 100%가 새 업데이트가 올라온 한달 이내 패치 완료되었다고 말할 수 있으면 좋겠지만 패칭은 시스템에 운영 상의 위험을 가져올 수 있기 때문에 이는 비현실적인 목표다. 참여를 관찰하면 일반적인 패칭 규칙하에 속하지 않는 시스템을 제외하고 패치가 필요한 시스템들에 집중하는데 도움이 된다.

두 번째 보안 측정치: 공격 지속시간
드웰타임(dwell time) 혹은 네트워크 내 공격 지속시간 역시 가치 있는 통찰을 제공한다. 공격 지속시간 정보는 보안 전문가들이 위협을 준비, 차단, 제어하고 피해를 최소화하는데 도움을 준다.

조사들을 보면 공격자들이 발견되기 전까지 평균 몇 달 간을 회사 네트워크상에서 보냈다는 점이 나온다. 그들은 이 시간을 인프라를 공부하고 정찰 활동을 하고 네트워크를 돌아다니며 정보를 훔치는데 썼다.

공격 지속시간을 측정하는 목표는 최대한 드웰타임을 최소화해서 공격자가 측면 움직임을 달성하고 핵심 데이터를 없애버릴 기회를 줄이는 것이 되어야 한다고 레이테온/웹센스(Raytheom/Websense)의 CTO 조슈아 더글라스는 말했다. 그에 따르면 드웰타임은 보안팀이 취약점 최소화와 사건 대응을 처리하는 방법을 알아내는데 도움을 준다.

“공격자가 당신의 네트워크에 오래 머물러 있을수록 더 많은 정보가 그들 손에 넘어가고 가할 수 있는 피해도 더 많아진다”라고 더글라스는 말했다.




2015.08.28

보여주기식 측정치는 그만! 유의미한 보안 지표 4가지

Fahmida Y. Rashid | InfoWorld

보안에 대한 최고경영진들의 관심이 높아지면서 기업 내 보안 담당자들은 회사의 방어 현황을 추적할 수 있는 지표를 제출하라고 요구 받고 있다. 하지만 어떤 수치가 정말 의미 있는 걸까?



일부 최고 경영진은 어떤 질문을 해야 할 지조차 모른다. 방어에만 과도하게 집중하고 예방은 경시하기도 한다. 일례로 사건 대응 평균 비용이나 방화벽으로 중단된 공격의 수 같은 측정치들은 보안과 무관한 사람들에게는 의미 있는 수치처럼 보이겠지만, 조직의 보안 프로그램을 실질적으로 개선시키는데 유용하지는 않다.

몇몇 전문가들은 이러한 수치 대신 행동 또는 변화 전략에 영향을 주는 측정치에 초점을 맞추라고 추천하고 있다.

보안 소프트웨어와 컨설팅 업체 시지털(Cigital)의 보안 이니셔티브 디렉터 캐롤라인 웡은 “측정치가 있었다면 행동을 달리 했었을” 수치에 집중하라고 말했다. 그녀에 따르면 취약점을 취소화하는 평균 비용과 패치에 걸리는 평균 시간 같은 측정치들은 조직에 성숙하고 고도로 최적화된 프로세스가 있을 때 도움이 되지만, 그렇지 않은 오늘날 95%의 조직에는 적용되지 않는다고 말했다.

하지만 참여, 효과 정도, 노출의 기회를 측정하는 수치들은 조직이 계획을 수립하고 프로그램을 향상시키기 위해 사용할 수 있는 정보를 제공한다고 그녀는 덧붙였다.

첫 번째 보안 측정치: 프로그램 참여 수준
참여 측정치는 조직 내 커버리지를 본다. 이들은 얼마나 많은 비즈니스 유닛들이 일상적으로 침투 테스트를 실시하는지 혹은 얼마나 많은 엔드포인트가 현재 자동화 패칭 시스템으로 업데이트되고 있는지 등을 측정할 수 있다. 웡에 의하면 이 기본적인 정보는 조직이 보안 제어 채택 수준을 산정하고 잠재적 격차를 식별하는데 도움을 준다.

예를 들어 조직의 시스템 100%가 새 업데이트가 올라온 한달 이내 패치 완료되었다고 말할 수 있으면 좋겠지만 패칭은 시스템에 운영 상의 위험을 가져올 수 있기 때문에 이는 비현실적인 목표다. 참여를 관찰하면 일반적인 패칭 규칙하에 속하지 않는 시스템을 제외하고 패치가 필요한 시스템들에 집중하는데 도움이 된다.

두 번째 보안 측정치: 공격 지속시간
드웰타임(dwell time) 혹은 네트워크 내 공격 지속시간 역시 가치 있는 통찰을 제공한다. 공격 지속시간 정보는 보안 전문가들이 위협을 준비, 차단, 제어하고 피해를 최소화하는데 도움을 준다.

조사들을 보면 공격자들이 발견되기 전까지 평균 몇 달 간을 회사 네트워크상에서 보냈다는 점이 나온다. 그들은 이 시간을 인프라를 공부하고 정찰 활동을 하고 네트워크를 돌아다니며 정보를 훔치는데 썼다.

공격 지속시간을 측정하는 목표는 최대한 드웰타임을 최소화해서 공격자가 측면 움직임을 달성하고 핵심 데이터를 없애버릴 기회를 줄이는 것이 되어야 한다고 레이테온/웹센스(Raytheom/Websense)의 CTO 조슈아 더글라스는 말했다. 그에 따르면 드웰타임은 보안팀이 취약점 최소화와 사건 대응을 처리하는 방법을 알아내는데 도움을 준다.

“공격자가 당신의 네트워크에 오래 머물러 있을수록 더 많은 정보가 그들 손에 넘어가고 가할 수 있는 피해도 더 많아진다”라고 더글라스는 말했다.


X