View a markdown version of this page

알려지지 않은 위험 - AWS 보안 인시던트 대응 가이드

알려지지 않은 위험

알림을 조정하고 자동화를 통해 인시던트 대응 절차를 개선하며 보안 방어를 개선하는 데 중점을 두었다면 그 다음에는 무엇을 개선해야 할지 궁금할 것입니다. 그림 3의 알 수 없음 범주에 나와 있는 것처럼 알 수 없는 위험에 대해 궁금할 수 있습니다. 다음 방법을 통해 알 수 없는 위험을 줄일 수 있습니다.

  • 보안 어설션 정의 - 단언할 수 있는 몇 가지 사실은 무엇입니까? 사용자 환경에서 절대적으로 사실이어야 하는 보안 기본 요소는 무엇입니까? 이를 명확히 정의하면 그 반대 내용을 알아볼 수 있습니다. 보안 어설션 정의는 나중에 보안 어설션을 리버스 엔지니어링하려고 시도하는 것보다 클라우드 여정의 초기에 수행하면 더 쉬운 일입니다.

  • 교육, 커뮤니케이션 및 연구 - 직원을 대상으로 클라우드 보안 전문가를 만들거나 환경을 면밀히 조사하는 데 도움이 되는 전문 파트너를 포함합니다. 가정에 도전하고 미묘한 추론을 조심하세요. 프로세스에 피드백 루프를 생성하고 엔지니어링 팀이 보안 팀과 커뮤니케이션할 수 있는 메커니즘을 제공합니다. 또한 접근 방식을 확장하여 관련 보안 이메일 발송 목록 및 정보 보안 공개를 모니터링할 수 있습니다.

  • 공격 표면 감소 - 방어 역량을 향상시켜 위험을 피하고 알려지지 않은 공격에 더 많은 시간을 할애할 수 있습니다. 공격자를 차단하고 속도를 늦추고 공격자가 노이즈를 발생시키도록 합니다.

  • 위협 인텔리전스 - 전 세계의 현재 위협 및 관련 위협, 위험 및 지표에 대한 지속적인 피드를 구독합니다.

  • 알림 - 비정상적이거나 악의적이거나 비용이 많이 드는 활동에 대해 경고하는 알림을 생성합니다. 예를 들어 사용하지 않는 리전 또는 서비스에서 발생하는 활동에 대한 알림을 생성할 수 있습니다.

  • 기계 학습 - 기계 학습을 사용하여 특정 조직 또는 개별 페르소나에 대한 복잡한 이상을 식별합니다. 비정상적인 동작을 식별하는 데 도움이 되도록 네트워크, 사용자 및 시스템의 일반적인 특성을 프로파일링할 수도 있습니다.

사각지대와 알려지지 않음 영역을 고려할 때 위협 인텔리전스가 주요 주제가 됩니다. Johari 창에는 사용자가 아는 것과 모르는 것을 분류하는 방법이 표시되지만 위협 인텔리전스는 아직 모르는 것을 설명하는 방법을 보여 줍니다. 위협 인텔리전스는 기업이 위협 모델의 구석구석을 살펴보고 아직 알지 못하는 위협을 찾는 데 도움이 되는 분야입니다.

일반적으로 위협 인텔리전스는 다음과 같이 구성됩니다.

  1. 새로운 위협 발견

  2. 새 패턴 정의

  3. 새로운 자동 획득 기술 정의

  4. 이 프로세스 반복

이러한 유형의 관행이 도움이 될 수 있지만 위협 인텔리전스 팀의 관리 및 유지 관리는 많은 기업, 심지어 대기업에도 부담을 줄 수 있습니다. 결국 문제는 위협 모델, 규모 및 위험을 일치시키는 것입니다. 다음 질문을 고려하시기 바랍니다.

  • 위협 모델이 엔터프라이즈의 표준 업종과 충분히 다른가요?

  • 그러한 팀이 필요할 정도로 위험 성향이 낮나요?

  • 기업을 위해 팀을 운영하는 것이 재정적으로 건전한가요?

  • 위험 프로파일이 대의에 합당한 인재를 유치하기에 충분히 흥미로운가요?

이러한 질문 중 하나라도 아니요라고 응답하는 경우 위협 인텔리전스 파트너를 찾을 가능성이 큽니다. 이 서비스는 많은 유명 대기업에서 경쟁적으로 제공합니다.

AWS는 이러한 문제를 직접 관리할 수 있는 도구와 서비스를 제공합니다. 기계 학습을 사용하여 악성 패턴을 식별하는 것은 고객, AWS Professional Services, APN 파트너 및 Amazon GuardDuty 및 Amazon Macie와 같은 AWS 서비스를 통해 구현되는 패턴으로 잘 연구된 연구 분야입니다. 이러한 패턴 중 일부는 AWS re:Invent 컨퍼런스 세션에서 논의되었습니다. 자세한 내용은 이 백서의 미디어 단원을 참조하세요.

또한 고객은 보안 데이터 레이크를 개발할 때 유사한 아키텍처 패턴을 활용하기 위해 기존의 비즈니스 중심 데이터 레이크를 확장하고 있습니다. 보안 운영 팀은 Amazon OpenSearch Service 및 OpenSearch Dashboards와 같은 기존 로깅 및 모니터링 도구의 사용을 빅 데이터 아키텍처로 확장하고 있습니다.

이러한 고객은 AWS CloudTrail 이벤트 로그, VPC 흐름 로그, Amazon CloudFront 액세스 로그, 데이터베이스 로그 및 애플리케이션 로그에서 내부 데이터를 수집한 다음 이 데이터를 공개 데이터 및 위협 인텔리전스와 결합합니다. 이 귀중한 데이터를 통해 고객은 보안 운영 팀에 데이터 과학 및 데이터 엔지니어링 기술을 포함하도록 확장하여 Amazon EMR, Amazon Kinesis Data Analytics, Amazon Redshift, Amazon QuickSight, AWS Glue, Amazon SageMaker 및 Apache MXNet on AWS와 같은 도구를 활용하여 사용자의 비즈니스에 고유한 이상 현상을 식별하고 예측하는 사용자 지정 솔루션을 구축합니다.

마지막으로, 보안 파트너 솔루션에서 온프레미스 환경의 기존 제어 항목에 상응하거나, 일치하거나, 통합되는 APN 파트너의 수백 가지의 업계 최고 제품을 확인하세요. 이러한 제품은 기존 AWS 서비스를 보완하여 클라우드 및 온프레미스 환경에 포괄적인 보안 아키텍처와 보다 원활한 환경을 배포할 수 있도록 해줍니다.