사이버 보안: 리더가 알아야 할 사항

재택근무 문화가 갑자기 널리 보급되면서 전 세계 기업이 미래를 위한 사이버 보안 시스템, 표준 및 전략을 검토하게 되면서 사이버 보안에 대한 필요성이 최근 폭발적으로 증가했습니다.

이것이 바로 BrainStation이 금융 서비스 대기업 Mastercard , 투자 회사 Blackstone , 전문 네트워킹 사이트 LinkedIn 및 소프트웨어 개발자 Citrix 에서 사이버 보안 전략을 선도하는 4명의 업계 전문가를 모아 BrainStation의 디지털 리더십 이벤트 시리즈의 일부로 사이버 보안에 대해 리더가 알아야 할 사항에 대한 토론을 하는 이유입니다.

여기에서 전체 패널 토론을 볼 수 있습니다.

사이버 보안이란 무엇입니까?

사이버 보안 환경이 변화하는 방식을 탐구하기 전에 패널 멤버에게 사이버 보안이 수반하는 아이디어에 대한 질문을 받았습니다.

LinkedIn 정보 보안 팀의 수석 멤버인 Eugene Dvorochkin은 사이버 보안을 “시스템, 네트워크 및 데이터를 보호하기 위해 기술, 프로세스 및 제어를 사용하는 것입니다. 궁극적으로 모든 것은 데이터로 돌아갑니다. 우리가 하려고 하는 모든 일은 해당 데이터를 보호하고 무결성을 보호하며 무단 사용이 [없도록 하는 것입니다.]

Citrix의 수석 보안 전략가인 Kurt Roemer는 데이터의 기밀성, 무결성 및 가용성 유지에 대한 사이버 보안의 전통적인 초점이 네 번째 요소인 안전을 포함하도록 확장되어야 한다고 설명합니다. "우리가 IoT 및 기타 인공 지능 및 [증강 현실 응용 프로그램]을 채택함에 따라 안전이 매우 중요한 방식으로 물리적 세계와 통합되고 있습니다."

Blackstone의 사이버 보안 수석 부사장/IAM 리드 Puneet Bhatnagar는 다음과 같이 보다 철학적인 접근 방식을 취합니다. 내 개인 정보를 제공할 때 애플리케이션에 등록하는 것이 편안합니까? 내가 그 정보를 제공하는 브랜드를 신뢰합니까?' 기업이 사이버 보안을 애플리케이션과 생태계 내에서 신뢰를 구축하는 데 필요한 모든 것으로 보는 것이 중요합니다.”

Mastercard의 디지털 및 보안 솔루션 부사장인 Sukhmani Dev도 이에 동의합니다. "우리는 모든 단일 거래에 신뢰가 반영되도록 하고 싶습니다."

궁극적인 목표를 달성하는 것은 기술 자체만큼이나 역동적인 프로세스입니다. 다음은 패널리스트가 식별한 광범위한 추세 중 일부에 불과합니다.

사이버 보안은 그 어느 때보다 중요합니다

COVID-19와 그로 인한 재택 근무 문화의 폭발로 인해 10년이 걸릴 것으로 예상되었던 발전이 몇 개월로 단축되었습니다. 이러한 가속화는 더 많은 온라인 활동, 더 많은 신규 사용자, 사용자가 의존하는 개별 시스템의 복잡성을 의미하며 이 모든 것이 악의적인 행위자에게 기회를 제공합니다. 그 결과 더 많은 디지털 보안이 갑자기 절실히 필요합니다.

그 필요성의 대부분은 단순한 볼륨으로 귀결됩니다. 봉쇄 기간 동안 더 많은 사람들이 집에 있는 기기로 일하고 쇼핑했습니다. Dvorochkin은 다음과 같이 설명합니다. “홈 네트워크를 사용할 때 개인용 컴퓨터나 iPhone과 같은 개인 장치를 사용하여 회사 환경 및 데이터에 액세스할 수 있으며 Zoom 또는 기타 타사 시스템에 더 많이 의존하게 됩니다. 통신 방법. 보안이 어려운 환경에 진입하고 있습니다.”

많은 대규모 국제 기업의 경우 원격 근무를 수용하는 것은 비교적 간단했습니다. 그러나 많은 소규모 오프라인 비즈니스의 경우 이는 디지털 세계에 대한 첫 번째 진출을 의미하며 특히 해커에게 취약합니다. Dvorochkin은 다음과 같이 덧붙였습니다. “[잘못 알려진] 대기업만이 공격의 대상이 됩니다. “해커는 더 발전했지만 그들이 사용하는 도구와 기술도 기본적으로 공개되었습니다. 누구나 온라인에 접속하여 모든 회사를 해킹할 수 있습니다. 교묘한 해커의 표적이 되는 것은 크고 잘 알려진 회사뿐만이 아닙니다. 말 그대로 모든 소규모 상점이 될 수 있습니다.”

Dev는 시스템의 증가하는 복잡성을 또 다른 벡터로 식별합니다. 그녀는 “모든 것이 그 어느 때보다 상호 연결되어 있습니다. “은행에 대해 생각하면 은행에 공급업체가 있을 수 있지만 공급업체에도 공급업체가 있으며 이들은 거대한 공급망입니다. 연결 지점은 지난 몇 년 동안 기하급수적으로 증가했습니다.”

이는 해커가 악용할 수 있는 취약한 링크가 더 많다는 것을 의미하며 해커는 이를 알아차렸습니다.

시스템에서 사용자로 이동

규모와 복잡성의 증가는 사이버 보안 팀이 그 어느 때보다 더 많은 전선에서 싸우고 있음을 의미합니다. 이는 차례로 사이버 보안 전문가가 자신의 작업에 대해 생각하는 방식의 변화로 이어집니다. 목표가 디지털 포트리스 내에서 데이터를 보호하는 것이라면 사이버 보안의 임무는 경계를 보호하는 것이지만 공격의 경계와 모드는 끊임없이 변화하고 있습니다. 데이터를 잠그는 것은 답이 아닙니다. 아무도 액세스할 수 없다면 시스템을 보유하는 것은 의미가 없습니다. 대신 우선 접근하는 사람의 신원을 확인하고, 두 번째로 전체 시스템이 아닌 필요한 데이터에만 접근 권한을 부여하는 것으로 우선순위가 바뀌고 있다.

Roemer는 "이전에는 4개의 벽에 있을 때만 안전한 것으로 간주할 수 있는 특정 물건을 가지고 있었을 것입니다."라고 말합니다. “만약 당신이 그것을 뒤집어서 '이것이 4개의 벽 밖에 있고 클라우드에 있을 때 이것을 어떻게 보호합니까?'라고 말한다면 어떻게 될까요? 하이브리드 작업 모델을 보면 사무실에서, 집에서, 다시 커피숍에서, 여행 중일 수 있습니다. 아마도 매주 다른 상황에서 일하는 사람들이 있습니다. 해당 개인에게 적합한 보안 환경을 제공하고 있는지 어떻게 확인합니까?”

Bhatnagar에게 이것은 "진정으로 보호할 수 있는 유일한 실제 경계는 신원 경계입니다."를 의미합니다. 이것은 일반적으로 사람들이 자신이 누구인지 확인하는 데 도움이 되는 다단계 인증을 요구합니다(Bhatnagar는 "90% 이상의 침해가 일종의 이메일 손상에서 비롯된 것처럼" "일부 미친 통계가 있습니다."라고 말합니다. ).

결과적으로 “좋은 네트워크 경계를 갖거나 방화벽 세트를 갖추는 것만으로는 충분하지 않습니다. 생각을 시스템 또는 네트워크 중심에서 ID 또는 사용자 중심으로 옮겨야 합니다. 그때부터 우리는 제로 트러스트의 새로운 패러다임에 대해 생각하기 시작했습니다. 사람들이 지속적으로 액세스하는 정보의 양으로 인해 시스템을 패치하거나 네트워크를 보호하려는 경우 항상 따라잡기 게임을 하게 될 것입니다.”

사용자의 신원에 초점을 맞추면 외부 해커에 대한 액세스를 제거하는 데 도움이 되지만 합법적인 사용자도 필요한 데이터에 액세스하는 것을 제한하여 내부 위험을 억제하는 데 도움이 됩니다. 물론 이는 원하는 대로 데이터를 구문 분석할 수 있는 능력에 달려 있습니다. Dvorochkin 은 다음과 같이 설명합니다. “당시 회사는 사람들에게 과도한 권한을 부여했고 모든 것에 액세스할 수 있었습니다. 이는 분명히 훨씬 더 많은 위험을 초래했습니다. [당신은] 당신이 가지고 있는 모든 데이터에 대해 매우 구체적이어야 합니다. 무엇을 모르는지 모르기 때문에 올바른 식별 태그 지정이 매우 중요합니다. 데이터가 있는 위치, 데이터의 양, 특히 제3자 공급업체와의 거래를 정확히 알기 위해서는 . 다시 말하지만, 우리는 점점 더 타사 응용 프로그램에 의존하고 있으며 분명히 내부 직원과 같은 수준의 신뢰가 아닙니다. 모든 것은 식별, 자산 인벤토리를 잘 보유하고 제한할 수 있는 능력으로 돌아갑니다.”

문화와 교육이 핵심

팀원이 참여하지 않는 한 어떤 종류의 사이버 보안 전략도 구현할 수 없습니다. 그리고 인간은 항상 사이버 보안 사슬에서 가장 약한 연결 고리입니다. 대부분의 해킹은 코드를 작성하는 것이 아니라 권한을 가진 척하고 누군가를 속여 비밀번호를 포기하도록 하는 방식으로 이루어집니다. 여기서의 해결책은 기술적인 것만큼이나 사회적인 것입니다.

Bhatnagar는 "사이버 보안은 한 개인이나 한 팀의 책임이 아닙니다. “모두가 소매를 걷어붙이고 소유해야 합니다. 우리는 최종 사용자 인식 교육에 많은 중점을 두고 있으며, 피싱 이메일 식별을 돕고, 피싱 시뮬레이션을 수행하고, 이러한 시뮬레이션의 복잡성을 점진적으로 개선하여 사람들을 지속적으로 교육하고 있습니다."

이는 개별 데이터 침해 사례를 직접적으로 줄일 수 있지만 사이버 보안을 중시하는 전사적 문화를 조성하는 데에도 도움이 됩니다. "일단 공개하면 모든 사람이 이해할 수 있는 언어가 됩니다. 사이버 보안 전문가만이 뛰어난 기술이 필요한 것이 아니라 다른 비즈니스 리더도 이해할 수 있는 일반적인 프레임워크가 있다는 것입니다. 이를 사용하여 인지도를 높이고 전략적 개선을 계속하는 데 필요한 예산과 자금, 자원을 확보할 수 있습니다.”

Dev Seconds 기업 문화의 중요성. 그녀는 "문화와 함께 교육도 말할 수 있습니다."라고 말합니다. "레거시 시스템과 비교하여 사고 및 운영 방식이 매우 다릅니다. 나머지 기술, 디자인 등은 문화에 대한 태도가 바르면 제자리에 들어갈 것입니다.”

Roemer의 경우 이것은 상단에서 시작됩니다. “보안은 공동의 책임이며 우리 모두는 보안 실무자가 되어야 합니다. 리더십은 HR에 가서 조직 전체에 보안 기능이 필요하다는 것을 알리고 보안을 매력적인 경력으로 여기고 개인을 끌어들일 수 있는 사람들에게 재교육 및 발전 기회를 제공할 수 있는 방법에 대해 이야기해야 합니다. IT 조직이 아니라 조직 전체에서, 합리적으로 조직의 나머지 부분에 연락하여 [그리고 의사소통] 우리는 추가 보안 전문가가 절실히 필요하며 우리 모두는 실무자로 간주되어야 합니다."

전술에서 플랫폼으로의 전환

다소 역설적이게도 초점이 전체 시스템 보안에서 사용자 ID 경계로 이동함에 따라 전술에서 플랫폼으로의 이동도 보고 있습니다. 패치.

Roemer는 이렇게 설명합니다. “[모집] 포인트 상품을 관리하기가 매우 어려워졌기 때문입니다. 그것들은 잘 통합되지 않고 우리는 그것들을 효과적으로 사용할 자원이 없습니다. 따라서 플랫폼을 더 많이 구축하고 통합할수록 보안 기능을 더욱 강화할 수 있습니다.”

Dvorochkin은 이것이 전술뿐만 아니라 전체 팀을 조정하는 것을 의미한다고 덧붙입니다. “종종 기술 영역이나 기능은 고립되어 있습니다. 우리는 분명히 회사를 성공시키는 동일한 목표를 달성하기 위해 노력하고 있습니다.”

Bhatnagar의 경우 보다 전략적인 접근 방식에는 인력과 자금이 충분한 보안 운영 센터를 보유하는 것이 포함됩니다. 항상 사전 예방적 행동을 하는 것이 좋지만, 이것이 결국 침해가 발생하지 않는다는 것을 의미하지는 않으며, 침해가 발생했을 때 조직이 조치를 취할 준비가 되어 있어야 합니다. "해커는 계속해서 발전하고 그들의 기술은 계속해서 더 끈질기게 발전하고 있기 때문에 항상 좌익에서 벗어나게 될 것들이 있습니다."

사이버 보안은 항상 역동적입니다

Dvorochkin은 Bhatnagar의 감정을 반영합니다. 반응성이 중요합니다. 사이버 보안 전략은 선제적 및 사후 공격 모두에 대응하기 위해 동적이어야 합니다. 반응적인 측면 에서 그는 다음과 같이 말합니다. 지속적으로 완전히 보호하는 것은 거의 불가능합니다. 뭔가 결국은 통과할 것입니다. 경계를 보호하는 것도 중요하고 형사 통제를 잘하는 것도 중요하지만 좋은 반응, 좋은 평가, 자신을 테스트할 수 있는 능력도 필요합니다.”

사전 예방적 측면에서 이는 전략을 지속적으로 평가하는 것을 의미합니다. 그냥 설정하고 잊을 수 없습니다. Dvorochkin은 "'좋아요, 우리는 기술에 투자했고, 이 일회성 설정을 수행했고, 사이버 보안 프로그램이 있으며, 계속 진행할 수 있습니다.'라는 잘못된 생각이 있습니다."라고 말했습니다. “일부 도구를 구현하는 일회성 설정은 사용자를 보호하지 못합니다. 기술과 사이버의 시너지 효과로 인해 기술은 거의 매일 변화하고 사이버 보안도 빠르게 변화하고 있습니다. 따라서 동적이어야 하고 항상 최신 상태를 유지해야 하며 회사로부터 좋은 투자를 받아야 합니다. 사이버 보안은 저렴하지 않기 때문입니다."

Roemer는 "정보 기술 포트폴리오에 대한 투자를 고려하십시오"라고 덧붙입니다. “개인 투자와 마찬가지로 때때로 잘 작동하는 것과 그렇지 않은 것, 그리고 개를 버려야 하는 곳을 재평가하고 더 나은 수익을 줄 수 있는 곳으로 이동하십시오. 보안은 매우 그렇습니다. 우리는 민첩성이 필요합니다. 정보 기술 포트폴리오를 매몰된 결정 집합이 아니라 지속적으로 평가되는 투자 집합으로 생각한다면 현재와 미래의 보안 요구 사항을 해결하고 앞으로 나아가는 데 도움이 될 수 있습니다.”

( 이 글은 2022년 1월에 마지막으로 업데이트 되었습니다. )