보안 통합
조직에서 보안은 비즈니스 요구 사항, 성능 및 안정성과 마찬가지로 모든 사람의 업무에 속해야 합니다. 보안은 모든 수준에서 조직의 전반적인 비즈니스 우선 순위, IT 이니셔티브 및 위험 허용 한도를 잘 알고 있어야 합니다. 보안을 비즈니스의 모든 측면과 연결되는 스레드로 생각할 수 있습니다. 보안은 비즈니스의 자연스러운 부분처럼 느껴져야 합니다. 비즈니스는 보안의 자연스러운 부분처럼 느껴져야 합니다.
조직은 비즈니스 프로세스와의 마찰을 최소화하면서 보안 보증을 유지해야 합니다.
조직에서는 팀 간에 내부 마찰과 낮은 수준의 충돌이 발생할 수 있습니다. 이러한 충돌은 지속 가능하지 않습니다. 클라우드, 디지털 비즈니스 및 제로 트러스트 보안 시대에는 모든 팀이 함께 협력하는 것이 중요합니다. 팀들이 다양한 목표, 문화 및 언어로 작업하게 되면 조직이 비효율적이고 비효과적이 됩니다.
보안 팀은 사일로에서 작업하지 않아야 합니다. 팀은 원활한 프로세스 운영 및 지식 공유를 보장하기 위해 긴밀하게 협력해야 합니다.
다음 비디오를 시청하여 비즈니스의 모든 영역에서 보안 통합에 대해 자세히 알아봅니다.
이 지침에서는 비즈니스 및 IT 팀과의 보안 통합 및 보안 팀 간의 통합을 개선할 수 있는 방법을 설명합니다.
관계 정규화
많은 조직에서 널리 사용되는 사일로 접근 방식을 극복하는 것은 어려울 수 있지만 가능한 일입니다. 주요 요소는 최종 상태를 명확히 하고, 프로세스에 대한 명확성을 제공하고, 실질적인 목표와 문화 및 행동 변화에 대한 지속적인 리더십 지원을 제공하는 것입니다. 프로세스에 중요한 요소는 다음과 같습니다.
- 공유 목표 및 결과를 식별합니다.
- 적절한 수준의 보안을 식별합니다.
공유 목표 및 결과 식별
모든 팀이 관련된 목표를 함께 이해해야 확인합니다. 보안 팀은 때때로 자신들을 비즈니스 및 IT 기능에 대한 고품질 관리 시스템으로 정의합니다. 이 접근 방식은 악의적인 역동성을 만들고 마찰을 생성합니다. 비즈니스 생산성, IT 목표 및 보안 목표는 이러한 역동성으로 인해 어려움을 겪을 수 있습니다.
보안 팀이 IT 및 비즈니스 팀과 긴밀하게 통합되어 있는지 확인합니다. 보안 팀은 모든 이니셔티브의 비즈니스, IT 및 보안 결과를 공동으로 책임집니다. 비즈니스 및 IT 목표를 충족하기 위한 시스템을 설계한다는 해결 과제를 함께 공유합니다. 보안 관점과 전문 지식을 적시에 공유합니다.
시스템이 설계, 구현, 운영 및 지속적으로 개선됨에 따라 비즈니스, IT 또는 보안과 관련된 모든 의사 결정을 지배하는 음성이 없도록 가드레일을 설정하는 것이 중요합니다 .
적절한 수준의 보안 식별
비즈니스용 Windows Hello를 사용하는 생체 인식 로그인과 같은 일부 보안 컨트롤은 사용자 환경을 향상시키고 보안을 강화한다는 두 가지 이점이 있습니다. 많은 보안 조치는 비즈니스 프로세스에 마찰을 더하고 속도를 늦리게 만들 수 있습니다. Microsoft는 우선적으로 간편하며 사용자와 개발자에게는 보이지 않는 보안 조치를 찾기 위해 노력하고 있습니다. 우리는 때때로 절충이 이루어져야 한다는 것을 받아들여야 합니다.
이러한 공동 팀은 항상 적절한 시기에 비판적 사고를 발휘하여 프로세스에서 가치를 창출하는 건전한 수준의 마찰을 발생시키기 위해 노력해야 합니다. 예를 들어 공격자가 새 기능으로 수행할 수 있는 작업이나 일부 데이터 변경으로 인해 비즈니스가 받을 수 있는 영향력의 크기를 고려할 수 있습니다.
팀은 다음과 같은 두 가지 절대적인 진리 사이에서 최상의 균형을 얻기 위해 노력해야 합니다.
- 보안은 건너뛸 수 없습니다. 보안을 건너뛰면 보안을 통합할 때보다 결과적으로는 더 많은 비용이 드는 인시던트(생산성, 매출, 전반적인 비즈니스 영향)가 발생합니다.
- 보안 제어는 건전하지 못한 마찰 수준에 도달할 수 있습니다. 이 경우 보안이 보호하는 것보다 보안 마찰이 더 많은 가치를 훼손할 수 있습니다.
보안이 프로세스에 통합되므로 균형을 찾는 것이 중요합니다. 관련자는 비즈니스 문제, IT 안정성 및 성능 문제, 보안 문제를 고려하고 균형을 유지하기 위해 함께 협력해야 합니다. 조직은 또한 80%를 해결하고 나머지 20%에 대해서는 해결 계획을 세워야 합니다. 조직은 100% 솔루션이 나타날 때까지 보안에 대한 제어 및 기능을 미루게 되면 수행하는 모든 작업이 노출될 위험에 처하게 됩니다. 기본적인 업데이트 및 교육 작업을 수행하므로 반복 접근 방식이 적절합니다.
건전한 보안 마찰에 대한 자세한 내용은 보안 전략 지침에서 적절한 수준의 보안 마찰을 참조하세요.
다음 섹션에서는 IT, 최종 사용자 및 워크로드 소유자와 보안 관련자를 통합하는 방법을 보여 줍니다. 또한 보안 팀 내부를 위한 예제도 포함됩니다.
IT 및 비즈니스 운영 팀과의 통합
대부분의 보안 기능은 보이지 않게 작동하지만 일부 보안 고려 사항은 일상적인 비즈니스 및 IT 워크플로에 표시됩니다. 정상적으로 비즈니스를 계획하고 운영할 때 보안 사고를 통합해야 합니다.
보안 업데이트 프로세스
보안 업데이트는 비즈니스 프로세스 및 보안 프로세스가 상호 작용하는 가장 일반적인 시각적 지점 중 하나입니다. 조직의 개별 관련자에 해당되는 두 가지 다른 영향력의 균형을 유지하는 일은 어렵기 때문에 마찰이 발생하는 일반적인 원인이 됩니다.
- 즉각적인 비즈니스 영향: 보안 업데이트에는 종종 테스트 및 시스템 다시 부팅이 필요하며, 이 과정에서 애플리케이션 소유자 및 IT 팀의 시간과 리소스를 소비하고 가동 중지 시간으로 인해 비즈니스에 영향을 줄 수 있습니다.
- 보안 위험으로서 향후 비즈니스에 미치는 잠재적 영향: 업데이트가 완전히 적용되지 않으면 공격자가 취약성을 악용하여 비즈니스에 영향을 줄 수 있습니다.
팀이 공동의 목표와 책임 없이 운영되는 경우(예: IT 및 비즈니스가 즉각적인 비즈니스 영향에 100% 집중, 보안 팀이 보안 위험의 100%를 책임지는 경우) 보안 업데이트에 대한 지속적인 충돌이 발생합니다. 이러한 충돌은 함께 작업하면서 문제를 해결하고 다음 문제, 위험 및 비즈니스 가치 창출 기회로 전환할 수 있도록 하는 것이 아니라 끝없는 논쟁으로 팀을 분산시킵니다. 조직 전체에서 지속적인 커뮤니케이션과 업데이트를 수용하는 문화를 조성하는 방식으로 최종 사용자의 푸시백을 제한하려고 하면 시간이 오래 걸립니다. 보안이 함께 사용되기 때문에 사용자가 더 잘 보호되고, 생산성을 높이고, 비즈니스를 구축할 수 있다는 사실을 알게 된다면 업데이트와 지속적인 교육을 받아들일 가능성이 높아집니다.
자산 소유자에게 모든 이점과 위험에 대한 책임을 적절히 부여하면 미래에 대한 즉각적이고 잠재적인 영향을 더 쉽게 고려할 수 있습니다. 솔루션 식별 작업을 보안, IT 및 비즈니스 분야에 해당하는 모든 주제 전문가의 공동 책임으로 만들면 점점 더 다양한 관점이 고려되므로 솔루션의 품질이 향상됩니다. 회사 전체의 보안 스토리에서 모든 사람을 관련자로 만듭니다. 모든 사용자가 일상적인 업무로서 보안을 처리하지는 않을 수 있지만 해당 역할을 수행하기 위한 보안 요구 사항이 있습니다.
이 예제 프로세스는 조직이 제한된 시간 내에 공동 책임과 유연성을 사용하여 이 문제를 해결하는 방법을 보여 줍니다.
이 프로세스는 정기적인 일정에 따라 수행됩니다.
- 엔터프라이즈 IT 및 보안 팀은 먼저 필요하며 가장 큰 영향력을 발휘하는 보안 업데이트 또는 패치를 식별합니다. 이러한 업데이트는 엔터프라이즈 전체 배포 채널을 통해 최종 사용자 또는 워크로드 소유자가 사용할 수 있게 됩니다.
- 최종 사용자는 고정된 기간 내에 업데이트를 테스트하고, 적용하고, 디바이스를 다시 시작해야 합니다. 해당 기간이 만료되면 엔터프라이즈 IT 및 보안 팀이 업데이트를 적용하거나 회사 리소스에 대한 액세스를 차단합니다. Microsoft Entra 조건부 액세스 또는 타사 네트워크 액세스 제어 솔루션과 같은 메커니즘을 사용할 수 있습니다.
- 워크로드 소유자는 고정된 기간 내에 업데이트를 테스트하고, 프로덕션 시스템에 적용하고, 필요에 따라 다시 부팅해야 합니다. 셀프 서비스 기간이 끝나고 유예 기간이 만료되면 엔터프라이즈 IT 및 보안 팀은 업데이트를 강제로 적용해야 합니다. 그러지 않으면 다른 회사 리소스에서 격리됩니다. 엄격한 요구 사항이 있는 일부 조직은 Azure 구독 또는 AWS 계정에서 자산을 삭제하여 서비스 해제할 수 있습니다.
- 엔터프라이즈 IT 및 보안 팀은 업데이트 상태를 모니터링하고 확인된 강제 수정을 수행합니다.
이 프로세스는 정적이지 않으며 하루만에 설정되지 않습니다. 시간이 지나면서 반복되고 지속적으로 개선됩니다. 어디서나 시작할 수 있고 프로세스를 지속적으로 개선하여 서서히 이러한 최종 상태에 도달할 수 있습니다. 지속적인 개선 계획을 위해 다음 차원을 사용합니다.
- 적용 범위: 성공 가능성이 높거나, 손상될 경우 비즈니스에 큰 영향을 미치는 소수의 애플리케이션 팀으로 시작합니다. 환경의 모든 워크로드가 포함될 때까지 계속 추가합니다.
- 시간: 완료할 수 있는 마감일부터 시작하여 1주일 이내에 완전히 업데이트된 상태에 가까워질 때까지 지속적으로 단축하기 위한 명확한 로드맵을 설정합니다.
- 기술 범위. 애플리케이션, 미들웨어 및 애플리케이션 코드에 사용되는 오픈 소스 구성 요소를 포함하여 다루는 패치 및 기술을 지속적으로 개선합니다. 유지 관리 부담을 낮추기 위해 업데이트된 구성 요소의 사용을 권장해야 합니다. 예를 들어 고유한 SQL Server를 설치하고 업데이트하는 대신 Azure SQL Database를 사용합니다.
- 프로세스: 팀 간 통신 채널, 우선 순위 지정 지침, 예외 프로세스 및 이 프로세스의 다른 모든 측면을 지속적으로 개선합니다.
보안 팀 통합
보안 팀은 사일로 방식으로 운영될 때 발생하는 비즈니스 위험 증가를 방지하기 위해 함께 작업하고 협력해야 합니다. 보안 팀 간에 학습 및 주요 인사이트를 공유하지 않을 경우 조직은 피할 수 있었던 향후 인시던트로 인해 더 큰 손상과 충격을 경험할 수 있습니다.
보안은 항상 활성 위협에 대응하고, 항상 프로세스, 도구 및 기술을 학습하고 지속적으로 개선해야 하는 동적 분야입니다. 보안은 조직의 공격자 기술, 기술 플랫폼 및 비즈니스 모델 변화에 맞춰 지속적으로 적응해야 합니다. 보안 팀은 함께 협력하여 위협에 신속하게 대응하고, 인사이트 및 학습을 프로세스에 지속적으로 통합하여 조직의 보안 상태를 향상시키고 공격에 신속하게 대응하는 능력을 갖춰야 합니다.
다음 워크플로 다이어그램은 보안 분야가 협업하면서 학습과 인사이트를 완전히 통합하여 전반적인 보안을 개선하는 방법을 보여 줍니다.
보안의 주요 임무는 다음과 같은 상황에 신속하게 대응하는 것입니다.
새 인시던트: 조직 리소스에 액세스할 수 있는 활성 공격자는 조직에 최우선적으로 신속하게 수정해야 하는 즉각적인 위험을 초래합니다. 이러한 공격은 수정한 후에는 향후 공격이 어떤 모습일지 배울 수 있는 가장 좋은 기회가 됩니다. 성공 여부에 관계없이 공격자는 동일한 대상, 기술 또는 수익 창출 모델을 다시 추구할 가능성이 높습니다.
새로운 인사이트 및 학습: 새로운 인사이트와 학습은 다음 소스에서 제공될 수 있습니다.
외부 인시던트. 다른 조직의 인시던트는 공격자에 대한 인사이트를 제공할 수 있습니다. 공격자들이 사용자 조직에 대해 동일한 시도를 할 수 있습니다. 이러한 지식은 개선 계획을 알리거나 투자가 올바르게 진행되고 있는지 검증합니다. ISAC(정보 공유 및 분석 센터), 피어 조직과의 직접 관계 또는 인시던트에 대한 기타 퍼블릭 보고 및 분석을 통해 외부 인시던트를 검색합니다.
새로운 기술 기능. 클라우드 공급자 및 소프트웨어 공급업체는 지속적으로 혁신을 이루고 있습니다. 해당 제품에 다음과 같은 기능을 추가합니다.
- 보안 방어가 필요한 비즈니스 기능
- 자산을 방어하는 보안 능력을 향상시키는 보안 기능. 이러한 기능은 클라우드 플랫폼 또는 기타 플랫폼 기술에 통합된 네이티브 보안 기능일 수 있습니다. 기존의 독립 실행형 보안 기능일 수도 있습니다.
- 클라우드 기반 보안에서 사용할 수 있는 가시성 및 원격 분석은 조직이 단일 온-프레미스 환경에서 얻을 수 있는 것보다 훨씬 더 큽니다. 이 모든 데이터는 모든 곳에서 메타데이터를 사용하여 수집됩니다. 데이터는 동작 분석, 데토네이션 챔버, 기계 학습 및 AI를 비롯한 엄격한 분석 프로세스를 통해 수행됩니다.
업계 모범 사례: NIST(미국 국립표준기술원), CIS(Center for Internet Security) 및 Open Group과 같은 공급업체 및 조직의 업계 모범 사례입니다. 이러한 조직에는 보안 팀에서 학습할 수 있는 학습 및 모범 사례를 수집하고 공유하기 위한 헌장이 있습니다.
취약성은 공격자가 소프트웨어 취약성과 같이 자산을 제어하기 위해 악용할 수 있는 모든 것입니다. 보안 구성 선택, 암호화 알고리즘의 약점, 안전하지 않은 사례 및 시스템 사용 또는 관리를 위한 프로세스도 있습니다. 취약성이 확인되면 취약성이 보안 상태와 공격을 탐지하고, 대응하고, 복구하는 기능에 어떤 영향을 미치는지 평가합니다.
위협에 대응: 보안 운영 팀은 탐지 결과를 조사합니다. 조직의 제어 지점에서 악의적 사용자를 퇴출하여 대응합니다. 조직의 크기와 인시던트 복잡성에 따라 이러한 대응에는 여러 보안 팀이 참여할 수 있습니다.
근본 원인 분석: 주요 인시던트의 발생 가능성이나 영향력을 높이는 주요 기여 요인을 식별하면 조직의 보안 상태와 대응 능력을 향상시킬 수 있는 인사이트 학습이 생성됩니다. 이러한 학습은 공격 도구 및 인프라, 공격 기술, 대상, 동기 및 수익 창출 모델을 비롯한 다양한 차원에 따라 발생할 수 있습니다. 근본 원인 분석은 예방 제어, 검색 제어, 보안 작업 프로세스 또는 보안 프로그램이나 아키텍처의 다른 요소를 제공할 수 있습니다.
위협 헌팅: 사전에 위협을 헌팅하는 작업은 지속적으로 진행됩니다. 항상 헌팅 계획 및 가설 개발 중에 새로운 인사이트나 학습을 고려해야 합니다. 헌트 팀은 다음과 같은 주요 측면에 집중할 수 있습니다.
- 최근에 광범위하게 발생하거나 높은 영향을 미치는 취약성
- 새 공격자 그룹
- 회의에서 입증된 새로운 공격 기술
완화 설계 및 구현: 학습된 교훈은 기술 환경과 보안 및 비즈니스 프로세스 모두에 통합되어야 합니다. 팀은 이러한 교훈을 아키텍처, 정책 및 표준에 통합하기 위해 협력해야 합니다. 예를 들어 최근의 내부 또는 퍼블릭 인시던트에서 관리 자격 증명이 도용되면 조직은 Microsoft의 권한 액세스에서 제어 권한을 채택할 수 있습니다. 자세한 내용은 보안 빠른 현대화 계획을 참조하세요.
다음 단계
클라우드 채택을 계획할 때 보안 기능을 함께 통합하는 데 집중합니다. 더 큰 조직과 보안을 통합합니다. 보안이 생성하는 마찰에 주의하세요. 마찰이 건전한 것인지 확인합니다. 건전한 마찰은 보호하는 것보다 더 많은 가치를 훼손하는 속도 저하를 발생시키지 않으면서 조직의 위험을 줄여줍니다.
보안 전략 정의 검토
클라우드 보안 기능 검토
보안의 다음 포커스 영역인 비즈니스 복원력을 검토하세요.