정보 보안 위험 관리 프레임워크 구현

모든 조직은 정보 보안 위험에 노출되어 있습니다. 모든 보안 관리자는 현실적으로 관리할 수 있는 위험보다 훨씬 더 많은 위험이 존재한다는 사실을 직시해야 합니다. 그렇다면 보안팀은 어떤 위험에 주의를 기울여야 하는지 어떻게 판단할까요?

모든 보안 관리자는 합리적으로 관리할 수 있는 것보다 훨씬 더 많은 사이버 보안 위험이 존재한다는 현실에 직면해야 합니다.

그렇다면 주어진 위험을 완화하는 데 얼마나 많은 노력을 기울여야 할까요? 모든 위험에 동일한 수준의 자원이 필요한 것은 아닙니다. 어떤 대응책이 적절할까요? 정보 보안 위험 관리 프레임워크 (ISRMF)는 이러한 중요한 질문에 답하는 방법을 제공합니다.

정보 보안 위험 관리 프레임워크란 무엇인가요?

정의는 다양하지만, ISRMF는 일반적으로 일련의 프로세스와 관행을 의미합니다. 이 프레임워크를 통해 보안 관리자는 가장 취약한 부분을 정확히 파악하고, 해당 취약점을 해결하는 방법을 결정할 수 있습니다.

NIST 위험 관리 프레임워크는 대표적인 사례입니다. 이는 FISMA 및 관련 법률을 준수해야 하는 연방 기관에 필수적입니다. 특히, 해당 법률을 준수하는 기관은 "위험 관리 프레임워크 적용 지침"인 NIST SP 800-37을 따라야 합니다.“

NIST와 같은 프레임워크는 위험을 완전히 제거할 수는 없다는 원칙에 기반합니다. 오히려 위험은 관리되어야 합니다. 즉, 유능한 보안 관리자는 조직을 가장 심각한 위험으로부터 보호하는 데 최대한의 자원을 투입할 것입니다. NIST 프레임워크는 이러한 목표를 달성하기 위한 6단계를 제시합니다.

1. 정보 시스템을 분류하세요 (NIST SP 800-60) – 보안 목표를 분류하는 것(예: 기밀성, 데이터 무결성)과 영향 수준을 높음, 낮음 등으로 정의하는 것을 포함합니다.
2. 보안 제어 선택 (NIST SP800-53) – 최소한의 보안 제어 기준을 구현하는 방법을 명시합니다.
3. 보안 제어를 구현하세요 – 여기에는 통제 조치 준비, 위협 탐지 및 분석 방법과 도구 설정, 위협 차단, 제거 및 복구, 그리고 사고 후 후속 조치 프로세스가 포함됩니다.
4. 보안 제어 평가 (NIST SP 800-53A) – 이해관계자 인터뷰와 같은 방법을 통해 보안 통제의 효과성을 평가하고, 통제에 대한 검토 및 테스트를 수행하도록 요구합니다.
5. 정보 시스템 권한 부여 (NIST SP 800-37) – 보안 통제 평가 결과를 검토하여 위험 수준이 허용 가능한지 여부를 판단합니다.
6. 보안 상태 모니터링 (NIST SP 800-137 및 SP 800-53A) – 모니터링 빈도, 지표 및 보고를 포함한 지속적인 모니터링 전략을 정의합니다.

이 과정 전체의 이면에는 서로 연관된 네 가지 위험 요소에 대한 분석이 담겨 있습니다.

• 위협
• 취약점
• 가능성
• 영향

A 위협 공격이란 조직을 공격할 가능성이 있는 사람 또는 기술(예: 악성코드 또는 피싱 공격)을 의미합니다. 취약성 조직의 위협 방어 체계가 미흡할 때(예: 방화벽이 부실한 경우) 위협에 대한 대응이 어려워집니다. 있을 수 있는 일 이는 공격자가 취약점을 악용할 확률입니다. 영향 이는 공격이 성공했을 때 발생하는 효과를 달러로 나타낸 것입니다.

달리 표현하자면, 보안 사고를 경험할 가능성은 얼마나 될까요? 높은 (비용이 많이 드는) 영향영향력이 큰 항목일수록 당연히 가장 많은 관심과 자원이 투입되어야 합니다. NIST 프레임워크에서 보안 통제의 선택, 구현 및 평가는 바로 이 질문을 중심으로 이루어집니다.

보안 통제의 선택, 구현 및 평가는 조직이 중대한 피해를 초래하는 사고의 피해자가 될 가능성을 판단하는 데 도움이 될 수 있습니다.

ISRMF를 구현하는 방법

ISRMF를 구현하는 데에는 여러 가지 세부 사항이 포함됩니다. NIST 프레임워크에는 구현 방법을 설명하는 여러 특별 간행물이 있습니다. 하지만 수많은 제안과 모범 사례가 제공되지만, 나머지 부분을 가능하게 하는 두 가지 핵심 요소는 통합과 자동화입니다.

완성

ISRMF 구현에 있어 통합은 필수적입니다. 프레임워크의 목표를 달성하기 위해서는 여러 개별 시스템이 서로 연동되어야 하기 때문입니다. 방화벽은 침입 탐지 시스템(IDS) 및 보안 사고 및 이벤트 관리(SIEM) 솔루션과 통신해야 합니다. 보안 모니터링 도구는 위협 데이터베이스 및 특수 탐지 시스템과 통합될 때 최상의 성능을 발휘합니다. 모든 시스템은 보고 도구와 연결되어야 하며, 이 외에도 많은 연결 고리가 필요합니다.

오늘날의 보안 솔루션은 주로 다음을 사용합니다. 오픈 API 사양 주요 통합 방식으로서 오픈 API는 RESTful 웹 서비스를 설명, 생성, 소비 및 시각화할 수 있는 기계 판독 가능한 애플리케이션 프로그래밍 인터페이스(API) 파일에 대한 세부 정보를 제공합니다. RESTful 웹 서비스와 API를 처음부터 직접 설계할 수도 있지만, 오픈 API 사양을 사용하면 여러 소프트웨어 애플리케이션을 더 쉽게 연결할 수 있습니다.

오픈 API를 사용하는 보안 도구는 비교적 쉽게 서로에게 기능적인 인터페이스를 노출할 수 있습니다. 한 도구는 REST 표준과 JSON과 같은 오픈 소스 언어, 그리고 HTTP와 같은 일반적인 전송 프로토콜을 사용하여 다른 도구에 데이터를 요청하거나, 데이터를 보내거나, 프로시저를 호출할 수 있습니다.

오토메이션

오토메이션, ISRMF 구현에 필요한 또 다른 기능은 API 기반 통합을 활용하는 것입니다. ISRMF는 구성 요소가 매우 많기 때문에 자동화는 보안 팀이 실질적으로 활용하기 위해 필수적입니다. 자동화가 없다면 ISRMF는 종종 감당하기 어려울 수 있습니다.

보안 자동화 및 오케스트레이션(SAO)과 ISRMF

보안 자동화 그리고 관현악법 (SAO) 도구는 ISRMF(정보 보안 위험 평가 및 분석 프레임워크)를 위한 통합 및 자동화의 잠재력을 결합합니다. 이러한 기능을 활용하여 보안 팀이 시간 소모적인 ISRMF 프로세스를 자동화할 수 있도록 지원합니다. 또한 보안 분석가가 보다 주관적이지만 중요한 위험 관리 작업에 전문성을 집중할 수 있도록 합니다.

보안 자동화 및 오케스트레이션 (SAO) 도구는 ISRMF를 위한 통합 및 자동화의 잠재력을 결합합니다.

SAO의 통합 기능은 일반적으로 오픈 API를 사용하여 여러 시스템에 걸쳐 자동화된 보안 프로세스를 오케스트레이션할 수 있는 방법을 제공합니다. 예를 들어, NIST의 3단계에서 SAO는 자동화된 위협 탐지 및 분석을 설정하는 데 사용할 수 있습니다. Swimlane과 같은 SAO 솔루션은 네트워크에 나타나는 의심스러운 바이너리를 식별할 수 있습니다. 그런 다음 사람의 개입 없이 알려진 위협과 자동으로 비교하여 검사할 수 있습니다.

이를 확인하기 위해 Swimlane은 오픈 API 통합 기능을 활용하여 악성 바이너리를 제3자 위협 인텔리전스 데이터베이스로 전송합니다. 데이터베이스는 의심스러운 바이너리를 알려진 위협과 비교합니다. Swimlane API는 위협 데이터베이스로부터 응답 메시지를 수신합니다. 이때, 위협이 실제로 존재하는 것으로 판단되면 Swimlane의 오케스트레이션 엔진이 일련의 자동화된 단계를 실행합니다. 이러한 단계에는 티켓 생성, 주요 이해관계자에게 이메일 발송, 위협 격리, 위협 데이터베이스 업데이트 등이 포함됩니다. 이처럼 Swimlane은 ISRMF의 개념을 실행에 옮기는 동시에 보안팀에 과도한 업무 부담을 주지 않습니다.

SAO 도구는 모니터링 및 사후 대응을 포함한 ISRMF 단계 구현을 용이하게 합니다. 또한 수행된 사고 대응 작업에 대한 로그를 생성합니다. 이는 사고 관련 정보를 수집하여 추후 활용하는 데 소요되는 시간을 절약하는 포괄적인 접근 방식입니다.

스윔레인이 어떻게 도움을 줄 수 있을까요?

스윔레인은 전달합니다 보안 자동화 및 오케스트레이션 구현 및 사용이 간편하며, 관리 용이성과 확장성이 뛰어난 것으로 알려져 있습니다. 스윔레인은 보안 운영팀이 기존 보안 솔루션의 기능을 활용하여 제공되는 정보를 더욱 풍부하게 만들 수 있도록 지원합니다. 개방형 API 기반 통합 기능과 결합하여 ISRMF(정보 보안 위험 관리 프레임워크)를 구현하는 강력한 수단을 제공합니다.

Swimlane SAO에 대해 더 자세히 알아보려면 다음을 참조하세요., 지금 바로 데모 일정을 예약하세요.