안전의 가장 큰 도전은 안전의 가치를 모르는 것이다.
사업은 매출과 사용자 수로 측정할 수 있습니다. 운영 및 유지 보수는 고장 수와 같은 안정성 지표로 측정 할 수 있습니다. R&D 는 취약점 수, 서버 수, 확장성 및 특허로 측정할 수 있습니다.
하지만 기업 내 데이터 보안과 기본적인 공방 효과를 반영하기는 어렵다.
데이터 보안 및 기본 보안 문제는 종종 이벤트입니다. 아무것도 하지 않을 가능성이 높지만 1 년 동안 문제가 없을 것이다.
아마도 너는 심혈과 돈을 많이 썼을지 모르지만, 여전히 많은 문제가 있다.
따라서 단일 이벤트 지표를 사용하여 데이터 보안이 좋은지 여부를 측정하기가 어렵습니다. 이것이 많은 보안 업계 종사자들이 열심히 일하지 않는 이유입니다.
그들도 사장에게 왜 이 돈을 썼는지 설명하기 어렵지만, 그들은 여전히 아무 일도 일어나지 않을 것이라고 보장할 수 없다.
시간이 지남에 따라 두 가지 업종의 나쁜 습관이 생겨났다.
첫째, 사장에게 문제가 있다는 것을 알리지 못한다.
많은 회사들이 침투 테스트를 마친 후 보고서를 서랍에 잠그고, 외부적으로 보도된 사건도 있고, 심각한 사건도 있지만, 사장이 모르는 한 몰래 처리해 태평을 미화한다.
둘째, 아무도 책임을 지지 않는다.
많은 안전업체들은 판매하는 설비의 기능에만 책임을 지고, 효과에 대해서는 책임을 지지 않는다. 실제로 책임을 질 수 없기 때문에 결국 아무도 책임을 지지 않는다.
많은 고객들은 장비와 서비스를 구매하면 아무 일도 일어나지 않고 상사에게 일자리를 줄 수 있다고 생각합니다.
이것은 사실 별개의 일이다. 모두가 운을 걸고 있기 때문에 더 이상 안전을 책임지는 사람이 없기 때문이다.
둘째, 기업 안보의 어두운 숲 법칙
다크 포레스트 법칙은 기업 안전에 매우 적합하다. 일단 대중 앞에 노출되면 해커는 너에게 매우 흥미를 갖게 되고, 너의 많은 문제를 발견할 수 있을 것이다.
예를 들어 월드컵 기간 동안 복권 사이트가 심하게 공격당했습니다. 핫돈이 P2P 소대출업계에 유입되는 동안 전체 P2P 소대출업계가 공격당하는 빈도가 매우 높다.
이제 뜨거운 돈이 생중계로 쏟아져 자전거를 즐기며 이 업계가 곧 해커의 세례를 받을 것으로 예상된다.
해커가 언제 너를 방문하는지 알기가 어렵다. 만약 네가 아직 안전 문제를 낸 적이 없다면, 너의 사업은 아직 충분히 크지 않은 것이다.
그렇다면 가장 근본적인 질문으로 돌아가 기업 데이터 보안과 기본 공방의 효과를 어떻게 측정할 수 있을까요?
셋째, 기업 보안의 두 가지 핵심 지표
기업 데이터 보안은 궁극적으로 데이터 보안에 초점을 맞추고 있습니다. 하나는 공격자가 훔치지 않고, 다른 하나는 업무 중단을 방지하는 것입니다.
따라서 기업 안전을 위해서는 결국 이 두 가지 결과에 대해 책임을 져야 한다.
우리는 영원히 안전사고가 발생하지 않을 것이라고 보장할 수는 없지만, 우리는 기업의 전체 안전위험이 충분한 시간 위도 내에 수렴되는 경향이 있다는 것을 보장해야 한다.
사실, 우리는 또한 기업 업무가 확장됨에 따라 원래의 작은 확률의 안전사건이 점차 정상화되는 것을 관찰했다.
보안 효과의 경우 두 가지 핵심 지표가 있습니다. 하나는 취약점 수이고, 다른 하나는 보안 이벤트 수입니다.
장기적으로 이 두 지표는 일치하는 경향이 있어야 한다. 이것은 또한 보안 팀 또는 CSO 의 책임입니다.
넷째, 이 두 지표가 믿을 만하고 효과적이라는 것을 어떻게 증명할 것인가?
CSO 로서, 나는 많은 일을 했고, 많은 돈을 썼고, 허점과 보안 사건의 수가 점차 수렴되기를 바란다.
그러나 안전사건의 수는 운과 관련이 있으며 (어두운 숲의 법칙 포함), 허점의 수는 발견능력에 기반을 두고 있다. 만약 능력이 약하다는 것을 발견한다면, 허점의 수는 아무런 문제도 설명하지 못한다.
그래서 표준 자를 측정으로 찾을 필요가 있다.
현재 가장 효과적인 검사 수단은 공공 테스트 서비스와 외부 보안 정보를 통해 수집하는 것으로 보인다.
대기업들이 설립한 응급센터 (SRC) 처럼요. 보안 커뮤니티에 도움을 요청함으로써 흰색 모자에 유상 보상을 제공하여 외부에서 허점을 제출할 수 있도록 합니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 안전명언)
이러한 방식으로 발견된 취약점의 수와 품질은 기존 침투 테스트의 수십 배에 달할 수 있습니다. 흰 모자가 몰려들어 실제 네트워크의 공격 장면을 시뮬레이션했다.
우리가해야 할 일은 공시 자체의 안전을 보장하고 이러한 지역 사회 관계를 장기적이고 효과적으로 운영하는 것입니다.
이러한 공개 테스트 아이디어를 바탕으로 기업 보안 역량의 강도와 효과를 측정할 수 있는 세 가지 지표가 있습니다.
첫 번째는 공개 테스트와 SRC 를 통해 얻은 대외 보고의 허점 수입니다.
둘째, 우리의 보안 시스템에서 감지 시스템이 인식하는 취약점과 공격의 수는 이전 지표와 일대일로 대응한다는 것입니다.
세 번째는 우리의 보안 시스템에서 방어 시스템이 효과적으로 방어할 수 있는 허점과 공격의 수가 각각 처음 두 지표에 해당한다는 것이다.
이 세 가지 지표의 점진적인 융합을 통해 우리의 모든 안전 업무를 효과적으로 지도할 수 있다.