McAfee 보안 통찰력

McAfee 보안 통찰력

취약성 평가를 위한 위험 측정

IT 기업이 직면한 수 많은 유형의 위협이 지속적으로 성장하고 있기 때문에 보안 전문가가 이에 압도되기 쉽습니다. 새로운 소프트웨어의 취약성 또는 새로운 변종 악성 코드에 대한 경보가 발해질 때마다 IT 담당자는 최대한 빨리 해결 방안을 마련하느라 분주해 집니다. 결과적으로, 한바탕 큰 소동만 벌어지고, 이벤트 기반 조치로 시간과 에너지를 많이 소모할 뿐 비즈니스를 최대한 보호해 주지 못할 수 있습니다.

따라서, 그 보다도 보안 팀은 지능적인 위험 관리 전략을 개발하여 비즈니스에 대한 최대의 위협에 한정된 자원이 집중되도록 해야 합니다.

McAfee의 위험 관리 담당 수석 부사장 George Kurtz는 "잠재적인 IT 관련 위험을 모두 완벽하게 제거하기에 충분한 자금과 인력을 갖춘 기업은 아무도 없습니다."라고 말합니다. "그러므로 기업은 직면한 위험을 계산하여 이에 따라 보안 투자의 우선 순위를 조정할 수 있어야 합니다."

최근 인수된 Foundstone에서 McAfee 경영진에 합류한 Kurtz는 위험을 계량화하고 시정 조치의 우선순위를 결정하기 위해 자산 가치, 자산 취약성 및 실제 위협의 세 요인을 고려하여 위험을 측정하는 모델을 제안합니다.

자산 가치: 시시각각으로 수 천 달러 가치의 거래를 처리하는 서버는 고객 서비스 담당자의 데스크탑보다는 더 중요한 자산임에 틀림없습니다. 따라서 지능적 위험 감소 전략에서는 비즈니스 가치, 즉 기업이 보유하는 다양한 유형의 IT 자산에 대한 분명한 통찰력이 요구됩니다.

자산 취약성: IT 자산은 각각 다른 비즈니스 가치를 가질 뿐 아니라 내재된 취약성 수준도 서로 다릅니다. 공개 웹 페이지를 처리하는 시스템은 인터넷에 연결되지 않은 시스템보다 더욱 취약합니다. 또한 배선함 안에 보호되어 있는 스위치의 경우, 기업의 보안 외곽으로부터 수 천 마일 떨어져 있는 노트북보다는 그 위험 노출 정도가 적습니다.

실제 위협: 마지막으로, 보안 팀은 특정 자산이 노출되어 있는 실제 위협을 명확히 파악할 필요가 있습니다. 예를 들어 일반적으로 사용되는 상용 운영 체제에 대한 공격이 레거시 시스템보다 더 잦습니다. 따라서 이러한 레거시 시스템에서 구동되는 오래된 응용 프로그램이 기업에게는 귀중한 자산일 수 있지만 한편으로는 훨씬 적은 위협에 노출되며, 따라서 Microsoft® Windows® 또는 Linux™에서 실행하는 응용 프로그램보다 실제 위험이 더 적을 수 있습니다.

보안 팀은 이 세 가지 속성을 동시에 고려함으로써 어디에 가장 심각한 비즈니스 위험이 존재하는지 정확하게 파악하고, 이에 따라 위험 완화 활동의 우선순위를 적절하게 결정할 수 있습니다.

위험은 자산의 비즈니스 가치, 내재된 취약성 및 실제로 직면하고 있는 위협의 강도를 감안하여 계산할 수 있습니다.

위험 관리 전략

특정 위험 수준을 파악하는 것 외에, IT 관련 위험을 해결하는 방법에 대한 시야를 넓힘으로써 보안 팀은 효과를 현저하게 향상시킬 수 있습니다. Kurtz는 위험 완화, 위험 수용, 위험 전가 및 위험 회피 등 4가지의 위험 관리 전략이 가능하다고 지적합니다.

위험 완화 이 전략은 일반적으로 가장 먼저 생각할 수 있는 위험 대응 방법입니다. 여기에는 방화벽, 침입 탐지, 안티바이러스 등 보안 팀이 위협에 대해 취할 수 있는 모든 대응 조치가 포함됩니다..

위험 수용: 위험을 해결하는 비용이 위험 자체보다 크거나 위험 처리로 인해 훨씬 심각한 위험에 자원을 투입할 수 없는 경우, 위험을 그대로 수용하는 것이 합리적인 행동이 될 수도 있습니다.

위험 전가: 어떤 경우에는 위험을 보험 회사와 같은 제 3자에게 전가하는 편이 큰 효과를 기대하기 어려운 완화 노력에 한정된 자원을 할당하는 것보다 현명한 일입니다..

위험 회피: 특정 위험의 수준과 이 위험을 처리하는 비용이 감당할 수 없을 정도인 상황이 있을 수 있습니다. 이 경우에는 문제의 시스템을 배제하거나 애당초 설치하지 않음으로써 위험을 완전히 회피하는 것이 최선입니다.

"맞닥뜨리는 위험을 모두 완화하겠다고 생각한다면, 위협에 대한 노출을 모두 없애기도 전에 자원이 고갈되고 말 것입니다."라고 Kurtz는 말합니다. "기업의 IT 환경 성격과 보안 예산 규모를 감안하여 전략을 조합해 사용해야 합니다."

보안 팀은 자산 탐색 및 자산과 연관된 위험의 측정에서부터 교정 절차가 올바로 실행되고 소기의 효과를 거두었는지 확인하는 데 이르기까지 위험 관리 프로세스를 가능한 한 자동화하여 효과를 더욱 개선할 수 있습니다.

IT 조사회사인 Gartner에 따르면, 적절한 위험 관리 프로세스와 기술을 실행하여 취약성을 탐색하고 우선순위를 정해 교정하는 조직은 공격에 희생될 가능성이 90% 감소합니다.

"일반적으로 가장 잘못된 믿음은 방화벽만 설치하면 스스로를 보호할 수 있다고 생각하는 것입니다."라고 Kurtz는 밝힙니다. "실제로 기업의 보안 수준은 주로 각종 형태의 위험을 얼마나 잘 파악하고 관리하는가와 한정된 자원을 효과가 극대화되도록 집중할 수 있는가에 달려 있습니다."

본 기사가 작성된 후 McAfee는 유사한 성능을 제공하는 신제품을 출시했습니다. 추가 정보는 McAfee의 제품 항목을 참조하시기 바랍니다.

추가 정보 (영어)

백서 “취약성 및 핵심 디지털 자산에 대한 위협 관리 전략"을 읽고 McAfee® 위험 관리 솔루션에 대해 더 자세히 알아 보십시오.