사이버 위험 정량화(CRQ)는 사이버 보안 위험을 객관적이고 실증적인 비즈니스 용어에 적용하여 전략적 결정을 내리는 방법입니다.
기업 이사회와 리더십 팀은 사이버 보안 침해, 데이터 손실, 규정 준수 위반 및 기타 영향에 대한 책임을 점점 더 많이 지고 있습니다. 이는 사이버 보안이 이전과는 다른 방식으로 전략적 비즈니스 주제가 되게 만들었습니다. 사이버 위험 정량화(CRQ)는 비즈니스 의사 결정자에게 의미 있는 방식으로 사이버 보안 위험을 프레이밍하는 방법입니다.
CRQ는 사이버 위험 노출 관리의 주요 축으로, 조직이 예를 들어 재정적 손실(수익, 가동 중단) 및/또는 경쟁 손실(예: 시장 점유율)과 같이 보안 위험이 초래할 수 있는 잠재적 비즈니스 영향을 결정하는 데 도움이 됩니다. 이를 통해 조직은 사이버 보안이 가장 필요한 곳에 직접 투자하고 그러한 투자의 가치 또는 잠재적 수익을 결정하여 사이버 보안 지출을 정당화할 수 있습니다.
CRQ를 계산하는 한 가지 일반적인 방법은 FAIR 모델입니다. FAIR Institute에서 개발한 모델 이름은 '정보 위험 요소 분석'을 의미합니다. FAIR은 CRQ의 공개 국제 표준입니다.
사이버 위험이란 무엇입니까?
NIST(National Institute of Standards and Technology)는 사이버 위험을 둘 다(또는 둘 중 하나)로 정의합니다.
- “사이버 리소스에 따른 위험(즉, 사이버 공간에 존재하거나 간헐적으로 존재하는 시스템 또는 시스템 요소에 따른 위험).”
- “제조 시스템의 무단 액세스, 사용, 공개, 중단, 수정 또는 파괴로부터 전자적 수단을 통해 제조 시스템에 도입된 정보 및/또는 운영 기능을 위해 채택된 디지털 기술의 실패로 인한 재정적 손실, 운영 중단 또는 손상 위험.”
두 정의는 조직이 선제적인 사이버 위험 노출 관리 프레임워크를 채택하고 구현해야 할 필요성에 적용됩니다.
CRQ가 중요한 이유는 무엇입니까?
CRQ 모델을 채택하면 사이버 보안 결정을 전반적인 기업 전략과 방향 설정에 통합할 수 있습니다. 사이버 보안은 사후 생각 대신 비즈니스의 핵심입니다.
CRQ는 사이버 보안 팀과 비즈니스 리더가 사이버 위험에 대해 '동일한 언어를 사용하는' 방법을 제공하기 때문에 보안 팀과 비즈니스 팀 간의 더 나은 커뮤니케이션을 촉진합니다. 이와 유사한 방식으로 규제 기관에 준수를 입증하기 위한 메커니즘도 제공합니다.
CRQ는 사이버 위험 노출 관리와의 교차를 통해 전체 사이버 위험 노출 및 공격 표면 취약점을 이해하려는 조직의 노력을 지원하고 강화하여 보다 효과적이고 표적화된 대응과 리소스의 더 나은 사용을 가능하게 합니다.
CRQ는 어떻게 작동합니까?
CRQ는 비즈니스에 대한 모든 잠재적 사이버 위협을 식별하고, 가장 긴급하고 심각한 위협을 평가 및 우선 순위를 지정하고, 각 사례에서 침해, 공격 또는 손실의 가능한 비즈니스 영향을 계산합니다.
이는 공격 표면 관리의 첫 두 단계인 발견 및 평가와 밀접하게 일치하며 멀웨어, 약한 암호 및 잘못된 구성, 도난, 악의적인 내부자 조치, 피싱 및 비즈니스 이메일 손상(BEC) 체계에 대한 취약성 등에 이르기까지 동일한 스펙트럼의 디지털, 물리적 및 사회적/인간 위험을 다룹니다.
발견
첫 번째 단계는 조직에 해를 끼칠 수 있는 모든 잠재적 위협을 식별하는 것입니다. 이를 위해서는 공격자가 데이터 및 시스템에 무단으로 액세스하여 도난을 저지르거나 공격을 개시할 수 있는 모든 방법의 합계인 공격 표면에 대한 전체 보기가 필요합니다.
전체 공격 표면의 자동 및 연속 스캔을 수행할 수 있는 사이버 보안 플랫폼은 이 단계에서 필수적입니다. 플랫폼은 섀도우 IT 애플리케이션, 제3자 기술 및 이전 인벤토리에서 생략된 오래된 또는 '잊혀진' 기술과 같이 보안 팀에게 전통적으로 보이지 않는 요소를 포함하여 알려진 모든 자산, 시스템, 애플리케이션 및 액세스 포인트를 설명합니다.
평가
그런 다음 공격 표면에 대한 포괄적인 보기를 통해 보안 팀은 잘못된 구성, 패치되지 않은 소프트웨어, 코딩 오류 등과 같은 상대적 약점과 취약점을 평가할 수 있습니다. 이러한 취약점을 기반으로 평가는 현재와 미래에 어떤 종류의 공격을 악용할 수 있는지, 그리고 이러한 공격의 목표(예: 데이터 도난, 비즈니스 중단, 몸값 및 갈취 등)가 무엇인지 결정할 수도 있습니다.
평가와 관련된 몇 가지 핵심 사항:
- 이상적으로는 내부 운영부터 영업 및 고객 서비스, 공급망, 클라우드 리소스, 소프트웨어 개발(DevOps) 파이프라인 등에 이르기까지 조직의 모든 부분에 대해 위험을 평가합니다.
- 초기 평가 단계가 완료되면 보안 팀은 위험 및 자산의 우선 순위를 지정하여 공격에 가장 취약한 가장 높은 가치(조직 자체 및 잠재적 공격자)를 결정하고 CRQ의 경우 공격 가능성을 결정 할 수 있습니다.
- CRQ에서 가능성은 확률로 계산되며 종종 백분율로 표시됩니다. 예를 들어, 금융 서비스 회사에서 CEO의 이메일은 BEC 공격 확률이 85%인 반면, 같은 기업의 카페테리아 관리자는 12%일 수 있습니다. 이러한 가능성은 모델 기반 시뮬레이션(예: Monte Carlo 시뮬레이션)을 사용하여 통계적으로 결정되며 일반적으로 비즈니스 분기 또는 역년과 같은 특정 기간 동안 계산됩니다.
계산
평가를 기반으로 보안팀은 비즈니스 리더와 협력하여 잠재적 사이버 공격의 재정적 가치 또는 비용을 추정합니다. 여기에는 법률 및 규정 미준수에 대한 처벌, 가동 중단, 복구, 갈취 또는 도난으로 인한 재정적 손실, 평판 손상 및 시장 지위 손실, 소송 등이 포함됩니다. 구체적인 요소는 조직과 부문에 따라 다릅니다. 최종 결과는 사이버 공격의 비즈니스 위험을 나타내는 달러 수치입니다.
CRQ는 사이버 위험 점수와 어떻게 다릅니까?
사이버 위험 정량화 및 사이버 위험 채점은 유사한 기능을 수행합니다. 두 가지 모두 사이버 보안 위험을 객관적이고 경험적인 용어로 구성하여 전략적 결정을 내립니다.
CRQ는 사이버 침해, 해킹 또는 데이터 도용으로 인해 비즈니스에 발생할 수 있는 잠재적 비용 가치를 계산하지만 사이버 위험 점수는 각 위험에 수치 점수를 할당한 다음 조직의 전체 사이버 위험 점수를 표로 작성합니다.
특히 사이버 위험 채점에는 위험을 프로파일링하는 2단계 프로세스, 즉 관련 위험과 위험을 관리하는 데 필요한 통제를 결정한 다음 상대적인 긴급성과 잠재적 심각도를 기반으로 각 위험에 점수를 할당하는 과정이 포함됩니다.
- 프로파일링 단계는 조직의 전체 공격 표면을 정의하고 해당 표면 전반에 대한 위험과 취약점을 식별하는 철저한 발견 및 평가 프로세스에 따라 달라집니다. 그런 결정에 따라 조직은 구현해야 할 제어 수단을 결정할 수 있습니다.
- 채점 단계는 취약점이 악용될 가능성, 영향의 범위 및 범위, 성공적인 공격을 해결하는 것이 얼마나 어려운지 등을 포함하여 식별된 각 취약점에 대한 잠재적 위험 및 피해 수준을 추정합니다.
- 사이버 위험 점수는 또한 글로벌 위협 인텔리전스(독점 또는 오픈 소스), 공공 보안 등급, 특정 취약점에 대한 공격자의 인식, 악용의 용이성, 악용 빈도 및 기타 관련 데이터 포인트에 대한 인텔리전스를 고려해야 합니다.
NIST가 제시한 프레임워크와 앞서 언급한 FAIR 모델을 포함하여 사이버 위험 점수를 계산하는 방법에는 여러 가지가 있습니다.
사이버 위험 점수와 CRQ는 모두 양호한 사이버 위험 노출 관리를 지원하며, 둘 다 위험을 사전에 식별, 평가 및 우선 순위를 정하기 위한 유사한 발견 및 평가 단계를 포함합니다.
CRQ의 대안
CRQ는 상당히 최근입니다. 많은 조직이 여전히 NIST 사이버 보안 프레임워크(CSF)와 같은 컴플라이언스 기반 위험 관리 모델을 따르고 있습니다. 규정 준수 기반 접근 방식을 통해 규제 요건 준수를 유지하는 데 중점을 둡니다. 반면 CRQ 도구는 사이버 위험에 숫자를 넣는 데 중점을 둡니다. 이 두 가지를 결합하면 보안 공격 표면 관리에 뿌리를 둔 전반적인 사이버 위험 노출 관리 전략의 맥락에서 가장 강력한 사이버 보안 결과를 얻을 가능성이 높습니다.
CRQ를 구현하려면 어떻게 해야 합니까?
사이버 위험 정량화는 전반적인 사이버 위험 노출 관리의 핵심 요소입니다. CRQ를 구현하려면 명확한 기대치, 정기적인 접점, 열린 커뮤니케이션 및 잘 정의된 프로세스를 포함하여 기업 사이버 보안 팀과 기업 비즈니스 리더 간의 우수한 협업과 조율이 필요합니다.
조직은 CRQ 모델(FAIR 또는 기타 접근 방식)을 선택하고 필요한 시뮬레이션 및 계산 유형을 지원하기 위해 CRQ 도구를 채택해야 합니다. 이러한 도구는 사이버 위험 및 상대적 우선순위에 대해 정보에 입각한 결정을 내리는 데 필요한 모든 컨텍스트를 제공할 수 있는 전체 사이버 보안 플랫폼에 통합되어야 합니다.
특히, 이는 사이버 위험 노출 관리의 모든 단계, 즉 발견, 평가 및 완화를 해결할 수 있는 플랫폼을 의미합니다. 플랫폼에는 빠르고 효과적인 위협 완화를 위해 보안 정보 및 이벤트 관리(SIEM), 엔드포인트 탐지 및 대응(EDR) 및/또는 확장된 탐지 및 대응(XDR)과 같은 보안 운영 기술이 포함되어야 합니다. XDR은 또한 데이터, 분석 및 통합의 소스로서 중요합니다.
장기적으로 위험을 최소화하고 조직의 보안 태세를 강화하기 위해 제로 트러스트 전략도 CRQ를 보완하는 중요한 요소입니다. 제로 트러스트는 IT 환경의 거의 모든 측면에 최소 권한 원칙을 적용합니다. 이름에서 알 수 있듯이 신뢰는 절대 추정되지 않으며 권한은 엄격하게 제어되므로 권한이 있는 사용자도 리소스가 필요한 위치와 시기에만 리소스에 액세스할 수 있습니다.
CRQ에 대한 도움은 어디에서 얻을 수 있습니까?
Trend Vision One™은 사이버 위험 노출 관리 솔루션을 통해 CRQ 관행을 구현하는 여정을 지원할 수 있으므로 조직은 비즈니스 측면에서 사이버 위험을 쉽게 정량화하고 전달할 수 있습니다.
이는 클라우드, 데이터, ID, API, AI, 컴플라이언스 및 SaaS 애플리케이션 전반에 걸쳐 외부 공격 표면 관리(EASM), 사이버 자산 공격 표면 관리(CAASM), 취약점 관리 및 보안 태세 관리와 같은 주요 기능을 하나의 강력하고 사용하기 쉬운 솔루션으로 결합하는 Trend Vision One의 혁신적인 접근 방식을 통해 가능합니다. 제어, 명확성 및 자신감을 통해 비즈니스를 선제적으로 보호할 수 있습니다.
사이버 위험 노출 관리가 사이버 위험 정량화를 지원하는 방법에 대해 자세히 알아보십시오.