IT 보안 분야에서는 모든 것에 신경을 써야 합니다. 아무리 작은 문제라도 원격 코드 실행을 위한 수단이 될 수 있으며, 최소한 위협 행위자가 땅에서 벗어나 우리 자신의 도구를 우리에게 사용하는 착륙 지점이 될 수 있습니다. IT 보안 직원이 피로와 스트레스에 직면하는 것은 놀라운 일이 아닙니다. 에 따르면 Enterprise Strategy Group의 연구 ISSA에서는 IT 보안 전문가 중 약 절반이 향후 12개월 내에 현재 직장을 그만둘 것이라고 생각합니다.
보안팀은 전문적인 책임을 갖고 있으며, 현재는 CISO(최고정보보안책임자)에 대해 개인적으로 책임 — 조직의 보안을 위해. 그러나 IT와 기술의 다른 영역에서는 완전히 다른 사고방식이 있습니다. Mark Zuckerberg의 “만트라”에서 따온 것입니다.빨리 움직이고 물건을 깰"Eric Ries를 통해 린 (Lean) 스타트 업 MVP(최소 실행 가능 제품) 모델은 이러한 영역에서 빠르게 움직이면서도 조직이 전진하고 개선할 수 있을 만큼만 제공하는 것입니다.
이제 IT 보안 팀은 이 모델을 수용할 수 없습니다. 고려해야 할 규정이 너무 많습니다. 하지만 최소 실행 가능 규정 준수(MVC)에 대한 정신적 훈련을 통해 무엇을 배울 수 있으며, 해당 정보를 어떻게 사용하여 접근 방식에 도움을 줄 수 있습니까?
MVC에는 무엇이 포함됩니까?
MVC에는 효과적인 보안을 위해 필요한 사항을 처리하는 작업이 포함됩니다. 이를 달성하려면 현재 보유하고 있는 것이 무엇인지, 보안을 유지하는 데 중요한 것이 무엇인지, 준수함을 입증해야 하는 규칙이나 규정이 무엇인지 이해해야 합니다.
자산 관리를 위해서는 이상적으로는 설치한 모든 자산을 알아야 합니다. 그러한 수준의 감독 없이 어떻게 자신을 안전하다고 말할 수 있습니까? MVC 접근 방식의 경우 현재 보유하고 있는 정보에 대한 100% 통찰력이 필요합니까?
실제로 구성 관리 데이터베이스(CMDB)와 같은 자산 관리 프로젝트는 다음을 목표로 합니다. IT 자산에 대한 완전한 가시성하지만 결코 100% 정확하지는 않습니다. 과거에는 자산 정확도가 70~80% 정도였으며 오늘날 최고의 배포조차도 완전한 가시성을 확보하고 이를 유지할 수 없습니다. 그렇다면 이 분야에 MVC 예산을 지출해야 할까요? 그렇습니다. 하지만 우리가 전통적으로 생각하는 방식과는 다릅니다.
한 부 CISO는 전체 범위의 이상을 이해하지만 불가능하다고 말했습니다. 대신 그는 조직의 중요 인프라(전체 자산의 약 2.5%)에 대한 완전하고 지속적인 가시성에 관심을 두는 동시에 다른 워크로드는 최대한 자주 추적했습니다. 따라서 가시성은 여전히 IT 보안 프로그램에 필요한 요소이지만 가장 위험한 자산을 먼저 보호하는 데 노력을 기울여야 합니다. 그러나 이는 저위험 자산이 고위험 자산으로 변하는 데 있어 단 하나의 취약점 공개이기 때문에 단기적인 목표입니다. 이 프로세스를 진행하는 동안 규정 준수와 보안을 혼동하지 마십시오. 보안과 보안은 동일하지 않습니다. 규정을 준수하는 비즈니스는 안전하지 않을 수 있습니다.
규제 계획
MVC의 일환으로 우리는 규정과 이를 준수하는 방법에 대해 생각해야 합니다. 보안팀의 과제는 이러한 규칙을 어떻게 미리 생각하느냐입니다. 일반적인 접근 방식은 법률을 도입한 다음 해당 법률이 애플리케이션에 적용되는 위치를 확인한 다음 필요에 따라 시스템을 변경하는 것입니다. 그러나 이는 새로운 규정이 도입되거나 중요한 변화가 발생할 때마다 변화와 그에 따른 비용이 수반되는 매우 중지-시작 접근 방식일 수 있습니다.
우리 팀이 이 프로세스를 더 쉽게 만들 수 있는 방법은 무엇입니까? 각 규정을 따로 살펴보기보다는 해당 규정의 공통점을 살펴보고 이를 활용하여 모든 규정을 준수하는 데 필요한 작업량을 줄일 수 있을까요? 시스템을 규정 준수 상태로 만들기 위해 팀에 막대한 훈련을 시키는 대신, 인프라를 안전한 방식으로 제공하기 위해 범위에서 벗어나거나 서비스로 사용할 수 있는 것은 무엇입니까? 마찬가지로, 각 문제를 개별적으로 살펴보는 대신 클라우드 제어와 같은 일반적인 모범 사례를 사용하여 문제 전체를 제거할 수 있습니까?
이 접근 방식의 핵심은 보안과 관련된 오버헤드를 줄이고 비즈니스에 가장 큰 위험을 나타내는 요소에 집중해야 한다는 것입니다. 특정 기술에 대해 생각하기보다는 이러한 문제를 프로세스 및 인력 문제로 검토할 수 있습니다. 왜냐하면 규제는 시장이 진행됨에 따라 항상 진화하고 변화하기 때문입니다. 이러한 사고방식을 취하면 실제로 문제가 되는 실제 위험 용어보다는 CVE 및 위협 데이터를 살펴보기 위해 프로세스를 구축할 때 우리 팀을 괴롭힐 수 있는 일부 세부 사항에서 문제가 발생하지 않기 때문에 보안 계획이 더 쉬워집니다.
시장 요구를 충족하거나 일련의 규칙을 통과시키는 데 필요한 최소한의 조치를 취한다는 아이디어는 액면 그대로 매력적일 수 있습니다. 하지만 MVP의 사고방식은 단지 특정 수준에 도달하고 거기에 정착하는 것만이 아닙니다. 대신, 최소한의 표준에 도달한 다음 가능한 한 빨리 반복하여 상황을 더욱 개선하는 것입니다. 보안 팀의 경우 지속적인 개선과 위험 감소 방법을 모색하는 사고방식은 기존 IT 보안 모델에 대한 유용한 대안이 될 수 있습니다. 어떤 개선 사항이 가장 짧은 기간 내에 위험에 가장 큰 영향을 미치는지에 집중함으로써 효율성을 높이고 전반적인 위험을 줄일 수 있습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/cyber-risk/minimum-viable-compliance-what-you-should-care-about-and-why