블로그

사이버 위협에 대한 보다 나은 모니터링 및 관리를 위한 CDM 관련 팁

라이언 존슨 썸네일
라이언 존슨
2020년 10월 15일 게시

2018년 11월, 의회는 사이버보안 및 인프라 보안국(CISA)을 창설하는 법안을 통과시켰습니다. 국토안보부 산하인 CISA는 사이버 공격의 위협이 커지는 데 대한 연방 차원의 대응책을 제시했습니다. 이 위협은 2015년 인사관리국(OPM)에서 발생한 대규모 침해 로 연방 직원 2,200만 명의 개인 데이터가 유출된 이후 주목을 받게 되었습니다.

연방 사이버 보안을 개선하는 데 중요한 구성 요소는 가시성인데, 이는 CISA의 지속적 진단 및 완화(CDM) 프로그램을 통해 해결되고 있습니다. 작년에 의회는 CDM 예산을 5,350만 달러 늘려 , 이 프로그램에 총 2억 1,350만 달러를 책정했습니다.

이 프로그램의 목표에는 기관의 위협 표면 감소, 사이버 태세에 대한 가시성 증가, 대응 역량 개선, 보고 간소화가 포함됩니다. 이러한 자금은 실제로 기술 투자로 투자되므로, 기관들은 단일 공급업체만으로는 전체 CDM 퍼즐을 해결할 수 없다는 사실을 인식해야 합니다.

이를 염두에 두고 가시성을 현실로 만드는 데 도움이 되는 몇 가지 기술을 자세히 살펴보고 이러한 기술이 서로 어떻게 관련되어 있는지 고려해 보겠습니다.

SSL 가시성

명백해 보이는 것부터 시작해서, 연방 기관은 네트워크에서 오가는 트래픽을 파악하여 악의적이지 않은지 확인해야 합니다. 많은 보안 장치가 트래픽을 살펴보고 위협을 감지할 수 있지만, 인터넷 데이터의 90%가 암호화되어 있기 때문에 트래픽이 암호화되어 있으면 이를 수행할 수 없습니다.

이것은 약간의 난제를 의미합니다. 암호화는 데이터 개인 정보를 보호할 수 있는 반면, 맬웨어를 위장할 수도 있습니다. 이러한 난제는 IP 평판, 포트/프로토콜, URL 분류와 같은 맥락을 기반으로 트래픽을 보안 도구로 보내기 전에 복호화하고 다시 암호화하는 SSL 가시성 제품을 통해 해결할 수 있습니다.

SSL 가시성 도구를 사용하면 보안 장치는 집중적인 복호화/재암호화 프로세스에 귀중한 리소스를 낭비하는 대신, 실제로 트래픽을 분석하는 본연의 기능에 집중할 수 있습니다. 이 중요한 단계 없이는 사이버 위협에 대한 완전한 가시성을 확보할 수 없습니다.

모니터링 개선

기관에서 네트워크에서 오고 가는 트래픽을 개방할 수 없다면 이를 올바르게 기록할 수 없습니다. 기록 및 보고는 CDM 요구 사항의 핵심 구성 요소입니다. 트래픽을 올바르게 해독한 경우에만 기관에서 해당 트래픽을 중앙 위치로 보내 기록, 모니터링, 보고 및 추가 분석을 수행할 수 있습니다.

예를 들어, 적절한 암호 해독 및 로깅을 통해 기관은 행동 분석, 인공 지능, 머신 러닝을 사용하여 트래픽에 대한 행동 분석을 수행할 수 있습니다. 현재 연방 민간 기관의 88%가 Einstein이라는 도구를 사용하여 이러한 작업을 수행하고 있습니다.

하지만 다시 한번, 이 퍼즐 조각들은 모두 서로 맞아떨어져야 합니다. 앞서 언급한 암호 해독 없이는 고급 분석은 이루어질 수 없습니다.

자산 보호

SSL 가시성은 암호화된 스트림을 해독하여 보안 장치가 해당 자산을 기록하고 보호할 수 있도록 해줍니다. 하지만 보호에 접근하는 방법은 다양합니다. 우선, 기관에서는 OWASP 10대 위협 과 새로운 제로데이 공격으로부터 스스로를 보호해야 합니다. 또 다른 완화 전략은 트래픽을 기록하고 모니터링하여 분석하는 것입니다. 이를 통해 사이버 보안의 다양한 구성 요소가 상호 연결되어 있음을 더욱 강조할 수 있습니다.

마찬가지로, 많은 다중 서비스 애플리케이션 보호 플랫폼은 악의적인 봇 트래픽 으로부터 보호할 수 있고, 반드시 보호해야 합니다. 모든 산업은 계정 인수, 취약점 정찰, 서비스 거부와 같은 자동화된 공격에 직면해 있으며, 연방 정부도 예외는 아닙니다.

모두 합치기

CISA의 CDM 프로그램은 기관이 단일 공급업체를 통해 해결할 수 없는 복잡하지만 중요한 퍼즐을 제공합니다. 자산 보호 자체에도 여러 솔루션이 필요한데, 기관들은 점점 더 다양한 공격에 대응하고 있습니다. 하지만 이러한 보호는 암호 해독 및 트래픽 로깅과 같은 다른 사항을 확인하지 않고는 실현될 수 없습니다.

결국 기관은 보이지 않는 것을 보호할 수 없습니다. 그것이 CDM 프로그램의 원동력이기는 하지만, 기관에서는 가시성을 보장하기 위해 적절한 도구를 갖추고 있는지 확인해야 합니다. 암호화된 트래픽을 해독하고, 이를 중앙 로그로 보내고, 행동 분석을 실행하고, 적절한 자산 보호를 설정하는 것이 좋은 시작점입니다.

Ryan Johnson, F5 연방 솔루션 엔지니어링 리더