보안에 대한 위험 기반 접근 방식을 채택하려면 보안과 디지털 자산에 대한 생각 방식을 크게 바꿔야 합니다. 하지만 디지털 위협의 급속한 진화와 기존 보안 모델로는 위협을 완화할 수 없고 대응도 불가능하기 때문에 이러한 변화는 필요합니다.

기존의 엔터프라이즈 아키텍처 프레임워크는 보안을 고려하지 않고 만들어졌습니다. 보안은 일반적으로 사후에 고려되는 개념이며, 주로 반응형 모델에서 발전했다는 것은 사실입니다. 즉, 악의적인 행위자가 공급업체와 기술 리더가 완화책을 구축한 공격을 만들어냈습니다. 이는 디지털 혁신의 특성 때문입니다. 초기 단계에서는 애플리케이션을 통해 생산성과 효율성을 높이는 데 중점을 두었습니다. 이러한 애플리케이션은 대부분 고정적이고 정적이었으며, 격리된 데이터 센터에 저장되었습니다. 인터넷 시대가 도래하기 전까지는 데이터센터로의 진입점이 없었기 때문에 외부 공격의 위험은 거의 없었습니다.

최초 형태의 보안은 기술 스택의 가장 하위 계층인 네트워크에 노출된 애플리케이션을 보호하는 데 중점을 두었습니다. 초당 패킷 수가 너무 많으면 일종의 서비스 거부 공격이 발생했음을 나타냅니다. 보안 대응은? 공격의 출처를 차단할 수 있는 방화벽. 포트와 프로토콜은 보안 정책의 기반이 되었으며, 패킷이 어떤 애플리케이션을 사용하려고 할 때 그 볼륨과 속도에 따라 임계값이 정해졌습니다. 이 단계에서 보안의 초점은 간단하고 정적인 규칙을 사용하여 공격을 차단하여 중단을 방지하는 것이었습니다 .

강력한 방어에 직면해서는 공격이 빠르게 진화했습니다. 애플리케이션이 더욱 풍부해지고 기능이 더 강력해지면서 공격자는 소프트웨어 스택의 취약점을 빠르게 발견했습니다. 업계에서는 사용자와 애플리케이션 간에 교환되는 메시지 페이로드에 내장된 공격이 발생하는 것을 확인했습니다. 각 공격은 알려진 취약점을 악용해 서비스 중단을 일으키거나, 무단 액세스를 제공하거나, 데이터를 빼내려고 합니다. 보안 업계는 이러한 새로운 형태의 공격에 다시 대응하여 내장된 공격을 탐지하고 무력화할 수 있는 솔루션을 개발했습니다. 이 단계에서 보안의 초점은 거래에 내재된 공격을 탐지하고 무력화하는 것이었습니다.

디지털 경제가 확장되어 우리 삶의 모든 측면에 더욱 깊고 넓게 침투함에 따라 공격자가 공격할 수 있는 기회도 커졌습니다. 데이터의 가치와 소비자 및 기업 계정에 대한 접근성은 기하급수적으로 증가하고 있습니다. Steam, EA Sports, Epic과 같은 회사의 비디오 게임 계정 수천 개가 "매달 도난당하고 있으며, 대량의 계정 데이터베이스가 개인 Telegram 채널에서 10,000달러에서 40,000달러 사이의 금액으로 거래되고 있다"는 점을 고려해 보십시오( BitDefender ). 오늘날 게임부터 금융, 의료, 정부 서비스에 이르기까지 모든 산업에서 계정 인수가 만연해지고 있습니다. 2021년 사기로 인해 미국 정부는 연방 혜택에서 약 870억 달러의 손실을 본 것으로 추산됩니다( CNBC ). 손실은 주로 디지털 서비스를 통해 운영된 팬데믹 실업 프로그램에 기인합니다.

위험 기반 사고방식으로 보안에 접근함으로써 조직은 공격에 대한 광적인 대응에서 벗어날 수 있습니다. 대신, 그들은 비즈니스 결과와 일치하는 보안 결정을 의도적으로 내리고 비즈니스의 위험 허용 범위를 고려할 수 있습니다.

오늘날의 디지털 기업은 최신 애플리케이션을 통해 디지털 경험을 제공하여 고객 및 파트너와 연결됩니다. 그러므로 보안을 현대화하는 작업에서는 애플리케이션을 보호하는 것이 가장 중요합니다. 이러한 애플리케이션과 더 높은 수준의 세부성에서는 이를 구성하는 요소인 워크로드와 서비스가 기업의 디지털 자산을 어떤 식으로든 생성, 강화 및/또는 액세스를 제공함으로써 가치를 제공합니다. 따라서 이는 현대 보안 사고방식의 핵심입니다. 오늘날 일반적으로 불리는 사이버보안은 모든 유형의 사용자를 디지털 비즈니스를 지원하는 디지털 자산에 연결하기 위해 해당 애플리케이션을 노출시키는 애플리케이션과 API를 보호하는 데 중점을 둡니다.

기술 리더는 반응적 보안과 사전적 보안을 구현하는 데 필요한 도구와 기술을 잘 알고 있습니다. 질문은 다음과 같습니다. "신원과 자산에 크게 의존하는 위험 평가 기반 접근 방식으로 조직을 어떻게 전환할 수 있습니까?" 

이러한 변화의 핵심에는 인증과 액세스 제어라는 두 가지 기술이 있습니다. 인증은 ID 구성 요소에 대한 정책을 제공하는 반면, 액세스 제어는 디지털 자산에 대한 거버넌스를 제공합니다. 

인증은 본질적으로 애플리케이션 소비자의 신원을 확인하고 검증하는 프로세스입니다. 과거에는 개인 데이터 센터에 있는 거대한 애플리케이션에 액세스하려는 사람들이 주로 있었습니다. 결과적으로 모든 인증 시스템과 서비스는 동일한 데이터 센터 내에 상주할 수 있습니다. 오늘날 최신 애플리케이션은 분산 아키텍처와 노출된 API를 사용하므로 인증도 발전해야 합니다. 인증은 이제 인간 소비자뿐만 아니라 자동화된 에이전트와 같은 인간 대리인도 인식해야 합니다. 또한 분산 애플리케이션은 여러 클라우드에서 제공되는 서비스로 구성되므로 인증은 연방화된 기업 간 ID 저장소에서 이루어져야 합니다. 간단히 말해, 인증은 여전히 기본 방어의 핵심 요소이지만 오늘날 디지털 서비스의 확장된 특성으로 인해 신원과 신원 검증 방법에 대한 진화된 관점이 필요합니다.

접근 제어는 누가 또는 무엇이 기업 리소스에 접근할 수 있는지를 결정하는 프로세스였으며, 앞으로도 그럴 것입니다. 하지만 인증과 마찬가지로 액세스 제어에 필요한 기능도 엔터프라이즈 애플리케이션과 함께 발전해 왔습니다. 액세스 제어의 첫 번째 구현은 네트워크 계층에서 이루어졌습니다. 잠재적인 애플리케이션 소비자는 네트워크 IP 주소로 정의된 경계의 "내부" 또는 "외부"에 있었습니다. 하지만 오늘날 모바일 소비자는 여러 제공 지점을 통해 제공되는 분산형 애플리케이션에 접근하기 때문에 내부와 외부라는 개념을 정의할 수 있는 깔끔하고 정적인 경계는 없습니다. 따라서 액세스 제어는 인증을 통해 검증된 사용자 신원을 기반으로 이루어져야 합니다. 최신 애플리케이션 소비자는 더 이상 네트워크 위치를 기준으로 구분할 수 없으며 대신 신원 을 기준으로 분류됩니다. 

이러한 기술을 모든 주요 디지털 자산에 대한 완전한 인벤토리와 결합하면 특정 자산에 대한 접근 허용 위험과 관련된 결정을 실행하는 데 사용할 수 있습니다. 이러한 결정은 자산이 어떻게 노출되는지와 자산을 누구 에게 노출시켜야 하는지 또는 노출시키지 말아야 하는지에 대한 이해를 바탕으로 이루어집니다.

따라서 보안을 현대화하는 첫 번째 단계는 해당 자산에 액세스하는 수단과 그 이유에 초점을 맞춰 자산 인벤토리를 만들거나 개선하는 것입니다. 또한, 기술 리더는 애플리케이션이 모든 데이터에 액세스하는 기본 수단이라는 점을 명심해야 하며, 따라서 인벤토리도 자산을 상호 작용하는 애플리케이션에 매핑할 수 있어야 합니다. 

다음으로, 기술 리더는 비즈니스 리더와 협력하여 주요 자산에 대한 위험/보상 프로필을 수립해야 합니다. 이에 따른 위험/보상 프로필은 보안 조치를 비즈니스 성과에 맞춰 조정해야 합니다. 예를 들어, AiteNovarica의 연구에 따르면 "상인들은 사기보다 거짓 거절로 인해 75배 더 많은 수익을 잃는다"고 합니다. 거짓 거절로 알려진 위험이 거래를 허용하는 위험보다 더 클 가능성이 있습니다.

따라서 해당 거래와 관련된 상호작용은 조직의 위험 허용 범위에 따라 허용되거나 거부되어야 합니다. 결정에 영향을 줄 수 있는 요인으로는 거래의 가치와 사용자의 적법성과 관련된 확실성 등이 있습니다. 시스템은 사용자가 합법적인 사람인지 50% 확신합니까? 더 확실한가요? 더 적은? 각 조직은 위험 허용 범위를 결정하고, 그 허용 범위에 따라 보안을 적용하기 위해 프로필을 조정합니다. 위험/보상 프로필은 사람과 시스템이 잠재적 위험을 해결하는 방법을 결정하는 데 도움이 됩니다. 위험을 회피하는 성향이 강한 조직일수록 위험에 더 큰 가중치를 두고, 위험을 피하기 위한 통제를 적용하는 경향이 있습니다. 반대로, 위험 감수성이 높은 조직은 보안 통제를 적용하는 방법을 결정할 때 보상을 더 큰 요소로 평가할 것입니다.

여기서의 세분성(거래 수준에서의 평가)은 디지털 상호작용을 지속적으로 평가 하고 정책에 따라 평가된 실시간 맥락에 따라 보안 결정을 조정할 수 있는 능력을 의미합니다. 이 접근 방식은 인증을 시행하는 데 사용되는 핵심 기술(누구) 및 액세스 제어(무엇)와 마찬가지로 제로 트러스트 접근 방식의 핵심 역량입니다. 이는 이 백서에 설명되어 있습니다.제로 트러스트 보안: Zero Trust가 중요한 이유(접근 이상의 이유로) .”

디지털 상호작용을 지속적으로 평가할 수 있는 능력은 기업 수준의 데이터 및 관찰 가능성 전략에 달려 있습니다. 즉, 조직에 전략이 있어야 하며 전체 스택 관찰 가능성을 활성화하는 방향으로 나아가고 있어야 하며, 단일 매장에 데이터를 중앙 집중화하지 않는 경우 여러 매장에서 상호작용을 연결하고 상관관계를 파악할 수 있는 수단이 있어야 합니다.

따라서 위험 관리로의 전환은 신원, 관찰성, 액세스 제어라는 세 가지 특정 기술을 도입하는 것을 중심으로 이루어지며, 실행을 관리하는 포괄적인 제로 트러스트 접근 방식을 사용합니다.

디지털 비즈니스의 핵심 역량 중 하나는 보안입니다. 즉, 디지털 자산, 데이터, 고객의 재무 및 개인 정보의 보안입니다.

디지털 비즈니스에서는 거의 모든 상호작용이 디지털로 진행되므로 보안은 비즈니스의 최우선 과제가 되어야 하며, IT의 경우 엔터프라이즈 아키텍처의 최우선 과제가 되어야 합니다. 대부분의 경우, 이는 증가하는 공격과 새로운 위협에 대처하기 위해 임시방편으로 도입한 보안 관행, 도구 및 정책을 평가하는 것을 의미하며, 이러한 관행, 도구 및 정책이 주로 디지털 환경에서도 관련성을 유지하는지 여부를 살펴봅니다. 디지털 경제에서 조직이 성공하는 데 필요한 모든 디지털 자산과 상호작용을 완벽하게 보호하려면 보다 신중하고 포괄적인 접근 방식이 필요합니다.

기업이 엔터프라이즈 아키텍처의 형태로 기술 기반을 구축할 때 디지털 비즈니스를 운영하는 데 필요한 여러 측면이 고려되지 않았습니다. 보안은 충분히 고려되지 않은 측면 중 하나입니다.

우리가 디지털을 기본으로 하는 세상을 향해 돌진하면서, 조직에서는 미래에서 성공하는 데 필요한 변화의 속도와 데이터 중심의 의사 결정을 지원하고 가능하게 하기 위해 IT를 현대화하는 것이 필요합니다. 중요한 단계 중 하나는 엔터프라이즈 아키텍처를 현대화하는 것입니다. 여기에는 보안에 대한 보다 광범위하고 포괄적이며 궁극적으로 적응 가능한 접근 방식, 즉 위험 관리 접근 방식이 포함되어야 합니다.  

디지털 비즈니스를 지원하기 위해 아키텍처(특히 보안)를 현대화하는 방법에 대해 자세히 알아보려면 O'Reilly의 새로운 책인 " 디지털 비즈니스를 위한 엔터프라이즈 아키텍처 "를 살펴보세요.

보고서 다운로드