보안 모니터링 피로 때문에 조직이 위험에 처해 있습니다
데이터 과부하로 인해 보안 전문가가 어떻게 벼랑 끝으로 몰리고 있는지 알아보세요
알림이 부담스러워질 때
조직의 첫 번째 방어선인 보안 전문가가 지치는 경우가 많습니다. 그 이유는? 데이터 과부하인 경우가 많습니다.
많은 양의 경고(그 중 일부는 도구 간에 중복됨)를 선별해야 할 경우 조직에 가장 중요하고 긴급한 위협을 식별하고 완화하는 방법을 파악하기가 어렵습니다. 보안 경고는 그 의도가 좋긴 하지만, 최근 연구에 따르면 보안 전문가의 68%가 특정 경고 기능의 경고 볼륨을 줄인 것을 인정한 반면, 49%는 볼륨이 큰 경고를 완전히 해제했습니다.
이러한 보안 프로토콜이 느슨해지면 모든 경고를 조사해야 하는 부담은 줄지만, 그와 동시에 보안 허점이 확대되고 손상 가능성이 높아집니다. 이는 재앙에 가까운 결과를 초래할 수 있습니다. 놓친 경고는 데이터 유출을 초래하거나, 공격 복구 비용을 높이거나, 추가 공격 기회 제공으로 이어질 수 있습니다.
IBM에서 2021년 데이터 유출 비용 보고서에서 언급했듯이, 유출을 식별하는 데 이미 약 212일이 걸리고 이를 억제하는 데 75일이 더 걸리며, 이러한 수치는 해결하지 않는 한 증가할 가능성이 있습니다.
보안 부서에서 번아웃 현상을 겪는 이유
보안 전문가가 피로에 직면하는 중요한 이유 두 가지가 있습니다. 첫째, 많은 조직에서 부분적으로 또는 전체적으로 클라우드 컴퓨팅으로 마이그레이션했습니다. 이 하이브리드 인프라는 구성하고 관리하기가 어려우며 증가하는 여러 위협으로부터 보호하는 일이 복잡할 수 있습니다. 또한 모든 보안 제품이 온프레미스 및 클라우드 환경 모두에서 작동하는 것은 아니므로 조직에서는 사용자와 데이터를 보호하기 위해 추가 솔루션을 채택해야 합니다.
둘째, 조직에서 자체 스택에 보안 제품을 계속 추가함에 따라 이러한 솔루션으로는 더 많은 양의 모니터링 데이터를 수집할 수 있습니다. 이 데이터는 조직에서 직면한 위협을 이해하고 아울러 완화하는 데 필수적이지만, 분석해야 할 데이터의 양이 너무 많아질 수 있��습니다.
이 경고를 모니터링하면서 겪게 되는 피로는 다음과 같은 몇 가지 다른 요인으로 인해 복잡해집니다.
긍정 오류
Ponemon Institute에서 실시한 설문조사에서 응답자들은 20~50%의 긍정 오류 비율을 기록했으며, 이는 보안 부서에서 조직이 직면한 위협을 정확히 파악하는 데 방해가 됩니다.
보안 도구는 고립되거나 중복 경고를 보낼 수 있습니다
포인트 제품은 함께 작동하여 전송되는 데이터의 양과 품질을 간소화하지 않으므로 조직의 보안 상태를 평가하고 위협이 발생할 때 분석하는 것이 더 어려워질 수 있습니다. 호스트, 시스템, 애플리케이션, 네트워크 수준에서 작동하는 기존의 보안 모니터링 도구는 사고를 추적하고 해결하기 위해 수동 프로세스에 지나치게 의존하는 경우가 많은 반면, 많은 클라우드 보안 도구는 하이브리드 환경의 규모나 복잡성에 맞게 구축되지 않았습니다.
데이터 로그에는 컨텍스트 및 고급 기능이 부족합니다
로그는 종종 하드웨어와 소프트웨어에서 고립되므로 조직의 전체 인프라를 고려한 컨텍스트가 제공되지 않습니다. 공격을 식별하고 해결하는 데 시간이 많이 걸리고 많은 양의 기술 데이터를 선별하는 것이 어려울 수 있습니다.
모든 것이 중요할 때 아무것도 없습니다
잘못된 도구 세트를 사용하면 모든 이벤트에 우선순위가 부여되므로 보안 부서에서 가장 시급한 위협을 수동으로 식별하는 데 부담이 됩니다. 올바른 도구 집합은 보안 부서에서 수신하는 데이터의 우선순위를 자동으로 지정하여 귀중한 시간이나 리소스를 낭비하지 않고 조직 내에서 공격 패턴과 기타 보안 위험의 진화를 식별할 수 있게 해주는 도구 집합입니다.
보안 부서에서 너무 피로해져서 경고를 처리하고, 로그 데이터를 구문 분석하며, 모니터링 도구를 관리할 수 없게 되면 조직에서 직면하는 위험이 커집니다.
보안 모니터링 피로 줄이기
보안 모니터링 피로를 해결하려면 "완벽한" 보안 도구를 채택하는 것 이상이 필요하며, 대신 네트워크 보안을 재고해야 합니다.
포인트 솔루션(경고를 통합하거나 중복을 제거하거나 포괄적인 가시성을 제공하도록 설계되지 않음) 여러 개를 동시에 관리하는 대신 단일 제어 평면을 사용하면 보안 부서에서 보안 및 모니터링 도구를 쉽게 관리할 수 있습니다. 위협 감지 및 완화 기능을 동일한 위치에서 관리함으로써 조직에서는 보안 허점을 해소하고 가시성과 제어를 강화할 수 있습니다.
다음을 통해 위협 감지 기�능을 개선할 수 있는 추가 기회가 있습니다.
로그 및 머신러닝 모델의 개선
로깅은 보안 부서에서 조직에 대한 위협을 명확하고 간결하게 파악하고 있는 경우에 가장 유용합니다. 보안 팀에서는 다음 기능 중 하나 이상을 구현하여 로그 데이터를 보강할 수 있습니다.
AI 기반 이벤트 및 근본 원인 분석: 사고 전, 도중, 후에 일어나는 일을 기록함
예측 분석: 사고가 발생하기 전에 해결해야 하는 인프라의 취약한 영역 식별
네트워크 감지 및 대응: DevOps, 마이크로서비스, API 기반 통합 간의 사일로를 제거하여 데이터 보안 수명주기를 전체적으로 파악
행동 기준선 설정: 예상되는 행동과 예상치 못한 행동 및 동작 목록 작성
자동화를 더 잘 활용
위협 감지 프로세스의 일부에서는 수동 입력이 필요합니다. 그러나 가능한 경우에 프로세스를 자동화하면 (이상적으로는 전술적이고 반복 가��능한 조사 및 분석 단계) 위협을 감지하는 데 있어 보안 부서에서 직면하는 전반적인 워크로드를 줄일 수 있습니다. 예를 들어 엔드포인트 장치 또는 이메일 계정을 검사하기 위한 자동화된 워크플로를 설정하는 것이 매번 처음부터 검사를 설정하는 것보다 더 빠릅니다.
보안 도구에 대한 정기적인 감사
기존의 보안 모니터링 도구를 정기적으로 감사하고 간소화하여 예상대로 작동하는지 확인합니다.
조직에서는 보안 임계값을 낮추는 대신 보안을 단일 플랫폼으로 통합하여 네트워크 복잡성을 줄일 수 있습니다. 이를 통해 보안 상태를 강화하고 보안 허점을 해소하며 보안 전문가가 중요한 위협에 집중할 수 있도록 보다 지원적인 환경을 제공하게 됩니다.
Cloudflare를 이용하여 보안 모니터링 피로 제거
필수 보안 서비스를 통합하고 Zero Trust 서비스형 네트워크 플랫폼인 Cloudflare One을 사용하여 네트워크 에지에서 배포합니다. Cloudflare의 단일 대시보드를 통해 시각화된 분석, 자세한 로그, 맞춤형 알림을 통해 보안 부서에서 새로운 위협을 파악할 수 있으며, 이 모든 것을 쉽게 구성하고 관리할 수 있습니다.
수백만 개 자산의 인텔리전스를 활용하여 위협을 더 잘 식별하고 완화하는 방대한 전역 네트워크를 기반으로 구축되었으므로, 조��직에서는 Cloudflare의 기본적으로 통합된 보안의 이점을 누릴 수 있으며, 이는 네트워크 확장에 따라 더욱 개선됩니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
핵심 사항
보안 전문가의 68%가 보안 경고를 줄이는 이유
보안 포인트 제품이 데이터 과부하 및 번아웃에 영향을 미치는 방식
보안 모니터링 피로를 줄이기 위한 권장 사항
관련 자료
이 주제에 관해 자세히 알아보세요.
중복 제거 및 모니터링은 Zero Trust 보안의 중요한 측면입니다. 중복 제거 및 모니터링이 광범위한 Zero Trust 혁신에 어떻게 부합하는지 이해하려면 Zero Trust 보안 로드맵 백서를 확인해보세요.