이제는 절대적인 보안 측정을 중단할 때입니다.

해설

위험 평가를 안내하는 맥락과 지표는 끊임없이 변화하고 있으며 보안 팀의 진행 상황에 대한 우리의 이해도 마찬가지입니다. 모든 것을 측정하는 것은 불가능하며, 측정할 수 있다고 해서 그것이 중요한 것도 아닙니다. 이로 인해 세부 사항에 빠져 더 큰 그림을 놓치기 쉽습니다. 방향적으로 개선되고 있습니까?

문제의 큰 부분은 달성 가능한 목표를 망각하면서 완벽을 추구하는 표준 보안 정책입니다. 업계에는 "모든 고위험 취약점은 10일 이내에 해결되어야 합니다" 또는 "모든 사용자 액세스는 분기별로 검토되어야 합니다"와 같은 정책이 있습니다. 이는 달성 가능한지, 해당 목표를 달성하기 위해 어떤 리소스가 필요한지에 대한 대화 없이 100%를 위해 노력할 것이라고 가정합니다.

일반적으로 보안 팀은 해당 목표를 70% 달성하며 이는 실패로 간주됩니다. 팀은 심각한 취약점의 70%를 해결하고 정책 목표인 100%를 해결하는 등 격차를 줄이기 위해 엄청난 양의 리소스를 소비하는 경우가 많습니다. 이러한 자원은 다른 곳에서 더 잘 사용될 수 있는데도 완벽을 목표로 자원을 압박하게 될 수 있습니다.

업계로서 우리는 한발 물러서서 프로그램을 운영하는 정책과 지표를 재평가하여 그것이 현실적인지, 심지어 올바른 측정인지 판단해야 합니다. 이를 달성하기 위해 취해야 할 세 가지 단계는 다음과 같습니다.

1. 위험에 대한 선호도를 결정하십시오

모든 위험 영역에서 완벽을 달성하는 것은 불가능합니다. 보안 팀은 결국 두더지 잡기 게임에 빠져 더 미묘한 위험에 집중하지 못할 수 있습니다. 조직의 가장 큰 보안 위험이 어디에 있는지, 어디에 리소스를 투자해야 하는지, 경영진이 특정 수준의 위험에 대해 안심할 수 있는 영역을 정의하기 위해 비즈니스 수준의 대화가 필요합니다. 예를 들어 MOVEit과 같은 심각한 취약점은 비즈니스의 한 영역에서는 허용 가능한 위험을 나타낼 수 있지만 비즈니스에 영향을 주지 않거나 최소한으로 허용하는 계층 1 시스템을 갖춘 다른 영역에서는 그렇지 않습니다. CIA 트라이어드 기밀성, 무결성, 가용성을 보장합니다. 업계 내에서 가장 큰 취약점이 어디에 있는지 살펴보고 위험 평가를 수행하기 위해 일반적으로 해당 분야의 비즈니스를 표적으로 삼는 공격 유형을 살펴보세요.

2. 유연하고 달성 가능한 목표 설정

다음 단계는 위험 평가를 기반으로 점진적인 진행에 초점을 맞춘 달성 가능한 보안 정책을 설정하는 것입니다. 취약점의 50%를 패치하는 것에서 하룻밤 사이에 95%로 점프할 수는 없습니다. 목표를 달성하는 데 필요한 리소스와 전체 패치 대 85%를 목표로 하여 포기할 기회를 이해하는 것이 중요합니다. 마지막 몇 가지 포인트를 마감하는 것은 투자할 가치가 없을 수도 있습니다.

고정된 목표를 설정하고 완벽함을 목표로 삼는 대신 이전보다 프로그램을 개선하는 데 집중하세요. 당신이 물어봐야 할 질문은 다음과 같습니다: 우리는 올바른 방향으로 움직이고 있습니까? 프로그램이 개선되고 있나요? 전반적으로 위험이 줄어들고 있나요?

3. 정기적으로 재평가

취약점과 공격 방법은 항상 변하기 때문에 보안 리더는 위험 성향과 보안 정책을 재평가하기 위해 광범위한 비즈니스와 정기적으로 논의해야 합니다. 이 작업은 최소한 매년 수행해야 합니다. 목표가 알려진 위험 및 위험 허용 범위와 일치하는지 재평가하고 균형점에 대해 의식적인 결정을 내립니다.

예를 들어, 85일 이내에 심각한 취약점의 10%를 해결하는 것이 가능하다고 판단할 수 있습니다. 90%에 도달하려면, X 다음과 같은 용어로 표현되는 자원의 양 금전적인 투자, 시간, 사람, 요구될 것입니다. 추가 리소스를 기준으로 평가할 때 85%가 허용 가능한 위험 수준임을 알 수 있습니다.

완벽함이 아닌 발전을 목표로 하세요

위험에 대한 결정은 진공 상태에서 이루어져서는 안 됩니다. 이것이 바로 보안 리더가 다음을 갖추어야 하는 이유입니다. 다른 비즈니스 리더 및 이사회와의 대화. 결론: 이 업계에서는 완벽함을 달성하기가 거의 불가능하며, 완벽함을 목표로 하는 것은 득보다 해를 끼칠 수 있습니다. 대신, 발전하는 데 집중하세요. 현실적인 목표를 설정하고, 목표를 달성하기 위한 작은 조치를 취하고, 최적의 위험 완화 수준에 도달할 때까지 계속해서 기준을 높이세요.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes