2016.12.16

SaaS라는 이름의 쓰나미··· 위험 관리 실용 팁

Ryan Francis | CSO
기업 내 모든 직원이 또 다른 SaaS 애플리케이션을 찾고 있는 형국이다. 신용카드와 지출품의서만 있으면 몇 분 만에 마무리되는 간단한 과정이기도 하다. 문제는 IT관리자가 이 과정에서 배제되고, 기업의 보안 위험으로 이어지고 있다는 점이다.

가트너와 시스코에 따르면, IT부서는 기업 내에서 사용되는 앱 가운데 약 7%만 파악하고 있다. 어느 조직에나 안전하지 못한 SaaS 앱 수백 종이 존재한다는 의미이다. 해커들이 기업 데이터 액세스를 위한 진입점으로 악용할 수 있는 진입점들이다.

엔터프라이즈 애플리케이션 시장이 팽창하면서 관리되지 않는 SaaS 앱의 수가 계속 증가하고 있으며, 이로 인해 보안과 컴플라이언스, 위험 관리가 점점 더 힘들어지고 있다. 원로그인(OneLogin)의 알 사전트 시니어 디렉터는 SaaS 폭증이 초래하는 위험을 관리하는 방법을 공유했다..


Image Credit : Getty Images Bank

비용을 모니터링한다
효율성을 높이는 좋은 방법이 있다. 필요한 애플리케이션 구입을 막는 대신 비용(경비) 항목에 'SaaS 가입' 항목을 추가시키는 것이다. 그러면 직원들이 사용하고 있는 클라우드 앱을 파악, 이를 더 효과적으로 관리하고, 보안을 강화할 수 있다.

개방적 태도를 만든다
직원들은 으레 자신이 좋아하는 앱을 이용할 방법을 찾는다. 외부 애플리케이션을 전면 금지하는 정책이 효과적인 방법이 될 수 없는 이유다. IT는 새로운 생산성 앱, 커뮤니케이션 앱을 요구하는 직원들에게 개방적인 태도를 가져야 한다. 더 빨리 액세스 할 수 있도록 SSO(Single Sign-On) 포털을 제공하는 것도 좋은 방법이다. 직원들이 편안하게 특정 애플리케이션 사용을 요청하고, 더 쉽게 액세스 할 수 있도록 만드는 것이 좋다. 그러면 업무 측면에서 보안이 필요한 도구에 대한 이해를 높일 수 있다.

내부를 안전하게 만든다
직원들이 선호하는 앱을 파악하고, 이를 SSO 포털에 집어넣었다면, IT는 복잡한 암호, 암호 변경, 다중 인증(MFA) 등으로 인증 절차를 강화하는 방법을 강구해야 한다. SSO 포털은 어떤 직원이 어떤 애플리케이션에 액세스하는지 모니터하고, 직원들이 업무에 필요한 앱과 정보에만 액세스하도록 만드는 IAM(Identity Access Management) 솔루션의 일부가 되어야 한다.

사용자 행동을 분석한다
기업 내부에서 발생하는 이상 동작과 행동, 예를 들어 2개 국가에서 동일한 ID로 앱에 액세스하는 동작 등을 쉽게 찾을 수 있도록 IAM과 CASB(Cloud Access Security Broker)를 통합해야 한다. CASB는 이런 이상 동작을 감지했을 때, 자동으로 적절한 대응 조치를 취할 수 있어야 한다. MFA를 요구하고, 세션을 중단시키고, 비밀번호 재설정을 강제하고, 계정을 비활성화 시키는 것을 예로 들 수 있다.

앱 사용 현황을 추적한다
관리를 안하고 있는 활성 앱이 수백 종에 달한다면, 회사를 그만 둔 사람 중 누군가 IT부서 모르게, 그리고 동의 없이 회사 정보에 계속 액세스 하고 있을 확률이 높다. 조사 결과에 따르면, 전에 다니던 회사 계정에 액세스 할 수 있는 전직 직원 비율이 약 10%에 달했다.

IT 부문은 이런 문제를 방지하기 위해 IAM을 보안 정보 및 이벤트 관리 도구에 연동시켜, 승인 없이 앱에 액세스하는 사용자가 있는지 감시하고, 승인된 사용자만 앱에 액세스하도록 만들어야 한다.

IDaaS를 도입하되 HR이 주도하도록 한다
더 나아가, IT와 HR부서가 서로 협력해 직원이 회사를 그만둘 때 애플리케이션 프로비저닝을 철회하는 계획을 수립해야 한다. HR주도형 IAM이 여기에 포함된다. HR이 HR정보시스템에서 직원의 상태를 '퇴사'로 바꾸면, IAM은 자동으로 변경 상태를 인식, 애플리케이션 액세스 권한을 취소한다. 이렇게 하면 계정을 놓치는 문제를 줄일 수 있다.

앱을 관리, 통제한다
직원들이 선호하는 SaaS 애플리케이션을 요청하도록 장려하는 것이 중요하만, 기업 데이터 공유와 액세스에 적합하지 않은 앱도 분명 있다. 공개 인증(Oauth ; 오쓰) 앱들이 특히 도전적이다. 간소화된 사용자 경험 때문에 쉽게 도입되지만, 일부는 권한이 지나치게 광범위하기 때문이다. 예를 들어, 모든 사용자의 파일을 수정할 수 있다. 이로 인해, 아주 쉽게 해커의 공격 벡터가 된다. CASB를 이용해 공개 인증 앱 이용 현황을 추적하고, 권한이 지나친 앱을 차단해야 한다.

데이터의 우선순위를 정한다
SaaS 폭증을 관리하기 위해 필요한 조치를 취해도, 셰도우 IT는 계속 위협적인 존재일 것이다. 가장 큰 주의를 기울여야 하는 데이터 자산 25가지, 이들 데이터 세트의 사용자, 데이터 세트에 액세스하는 애플리케이션을 파악한다. 그리고 정기적으로 IAM과 CASB 솔루션을 이용, 이상 동작과 행동이 있는지 감시한다. ciokr@idg.co.kr
 



2016.12.16

SaaS라는 이름의 쓰나미··· 위험 관리 실용 팁

Ryan Francis | CSO
기업 내 모든 직원이 또 다른 SaaS 애플리케이션을 찾고 있는 형국이다. 신용카드와 지출품의서만 있으면 몇 분 만에 마무리되는 간단한 과정이기도 하다. 문제는 IT관리자가 이 과정에서 배제되고, 기업의 보안 위험으로 이어지고 있다는 점이다.

가트너와 시스코에 따르면, IT부서는 기업 내에서 사용되는 앱 가운데 약 7%만 파악하고 있다. 어느 조직에나 안전하지 못한 SaaS 앱 수백 종이 존재한다는 의미이다. 해커들이 기업 데이터 액세스를 위한 진입점으로 악용할 수 있는 진입점들이다.

엔터프라이즈 애플리케이션 시장이 팽창하면서 관리되지 않는 SaaS 앱의 수가 계속 증가하고 있으며, 이로 인해 보안과 컴플라이언스, 위험 관리가 점점 더 힘들어지고 있다. 원로그인(OneLogin)의 알 사전트 시니어 디렉터는 SaaS 폭증이 초래하는 위험을 관리하는 방법을 공유했다..


Image Credit : Getty Images Bank

비용을 모니터링한다
효율성을 높이는 좋은 방법이 있다. 필요한 애플리케이션 구입을 막는 대신 비용(경비) 항목에 'SaaS 가입' 항목을 추가시키는 것이다. 그러면 직원들이 사용하고 있는 클라우드 앱을 파악, 이를 더 효과적으로 관리하고, 보안을 강화할 수 있다.

개방적 태도를 만든다
직원들은 으레 자신이 좋아하는 앱을 이용할 방법을 찾는다. 외부 애플리케이션을 전면 금지하는 정책이 효과적인 방법이 될 수 없는 이유다. IT는 새로운 생산성 앱, 커뮤니케이션 앱을 요구하는 직원들에게 개방적인 태도를 가져야 한다. 더 빨리 액세스 할 수 있도록 SSO(Single Sign-On) 포털을 제공하는 것도 좋은 방법이다. 직원들이 편안하게 특정 애플리케이션 사용을 요청하고, 더 쉽게 액세스 할 수 있도록 만드는 것이 좋다. 그러면 업무 측면에서 보안이 필요한 도구에 대한 이해를 높일 수 있다.

내부를 안전하게 만든다
직원들이 선호하는 앱을 파악하고, 이를 SSO 포털에 집어넣었다면, IT는 복잡한 암호, 암호 변경, 다중 인증(MFA) 등으로 인증 절차를 강화하는 방법을 강구해야 한다. SSO 포털은 어떤 직원이 어떤 애플리케이션에 액세스하는지 모니터하고, 직원들이 업무에 필요한 앱과 정보에만 액세스하도록 만드는 IAM(Identity Access Management) 솔루션의 일부가 되어야 한다.

사용자 행동을 분석한다
기업 내부에서 발생하는 이상 동작과 행동, 예를 들어 2개 국가에서 동일한 ID로 앱에 액세스하는 동작 등을 쉽게 찾을 수 있도록 IAM과 CASB(Cloud Access Security Broker)를 통합해야 한다. CASB는 이런 이상 동작을 감지했을 때, 자동으로 적절한 대응 조치를 취할 수 있어야 한다. MFA를 요구하고, 세션을 중단시키고, 비밀번호 재설정을 강제하고, 계정을 비활성화 시키는 것을 예로 들 수 있다.

앱 사용 현황을 추적한다
관리를 안하고 있는 활성 앱이 수백 종에 달한다면, 회사를 그만 둔 사람 중 누군가 IT부서 모르게, 그리고 동의 없이 회사 정보에 계속 액세스 하고 있을 확률이 높다. 조사 결과에 따르면, 전에 다니던 회사 계정에 액세스 할 수 있는 전직 직원 비율이 약 10%에 달했다.

IT 부문은 이런 문제를 방지하기 위해 IAM을 보안 정보 및 이벤트 관리 도구에 연동시켜, 승인 없이 앱에 액세스하는 사용자가 있는지 감시하고, 승인된 사용자만 앱에 액세스하도록 만들어야 한다.

IDaaS를 도입하되 HR이 주도하도록 한다
더 나아가, IT와 HR부서가 서로 협력해 직원이 회사를 그만둘 때 애플리케이션 프로비저닝을 철회하는 계획을 수립해야 한다. HR주도형 IAM이 여기에 포함된다. HR이 HR정보시스템에서 직원의 상태를 '퇴사'로 바꾸면, IAM은 자동으로 변경 상태를 인식, 애플리케이션 액세스 권한을 취소한다. 이렇게 하면 계정을 놓치는 문제를 줄일 수 있다.

앱을 관리, 통제한다
직원들이 선호하는 SaaS 애플리케이션을 요청하도록 장려하는 것이 중요하만, 기업 데이터 공유와 액세스에 적합하지 않은 앱도 분명 있다. 공개 인증(Oauth ; 오쓰) 앱들이 특히 도전적이다. 간소화된 사용자 경험 때문에 쉽게 도입되지만, 일부는 권한이 지나치게 광범위하기 때문이다. 예를 들어, 모든 사용자의 파일을 수정할 수 있다. 이로 인해, 아주 쉽게 해커의 공격 벡터가 된다. CASB를 이용해 공개 인증 앱 이용 현황을 추적하고, 권한이 지나친 앱을 차단해야 한다.

데이터의 우선순위를 정한다
SaaS 폭증을 관리하기 위해 필요한 조치를 취해도, 셰도우 IT는 계속 위협적인 존재일 것이다. 가장 큰 주의를 기울여야 하는 데이터 자산 25가지, 이들 데이터 세트의 사용자, 데이터 세트에 액세스하는 애플리케이션을 파악한다. 그리고 정기적으로 IAM과 CASB 솔루션을 이용, 이상 동작과 행동이 있는지 감시한다. ciokr@idg.co.kr
 

X