사이버 위험 채점은 사이버 보안 위험을 정량화하여 조직이 공격 표면을 방어하고 축소하는 방법에 대해 객관적이고 경험적인 결정을 내릴 수 있는 방법입니다.
사이버 위험 채점은 모든 사이버 위험 관리 프레임워크의 중요한 구성 요소입니다. IT 자산 및 디지털 기술과 관련된 상대적 위험에 대한 공유되고 객관적인 이해를 가능하게 하여 해결해야 할 최우선 순위에 대한 실질적인 선택을 할 수 있습니다.
시간이 지남에 따라 사이버 위험 점수를 추적하면 조직은 전반적인 사이버 보안 준비성과 보안 태세의 강도를 벤치마킹하고 모니터링할 수 있습니다.
사이버 위험 점수는 내부 및 외부 IT 자산, 데이터, 시스템 및 리소스를 포함한 전체 공격 표면에 적용됩니다.
사이버 위험 정량화(CRQ)와 유사하게 사이버 위험 채점은 공격 표면 관리의 처음 두 단계인 발견 및 평가와 밀접하게 관련되어 있습니다.
특히 위험 프로파일링의 2단계 프로세스, 즉 관련 위험과 위험을 관리하는 데 필요한 통제를 결정한 다음 상대적인 긴급성과 잠재적 심각도를 기반으로 각 위험에 점수를 할당합니다.
사이버 위험이란 무엇입니까?
국립표준기술연구소는 사이버 위험을 두 가지(또는 둘 중 하나)로 정의합니다.
- “사이버 리소스에 따른 위험(즉, 사이버 공간에 존재하거나 간헐적으로 존재하는 시스템 또는 시스템 요소에 따른 위험).”
- “제조 시스템의 무단 액세스, 사용, 공개, 중단, 수정 또는 파괴로부터 전자적 수단을 통해 제조 시스템에 도입된 정보 및/또는 운영 기능을 위해 채택된 디지털 기술의 실패로 인한 재정적 손실, 운영 중단 또는 손상 위험.”
두 가지 정의는 조직이 선제적인 사이버 위험 노출 관리 프레임워크를 채택하고 구현해야 할 필요성에 적용됩니다.
사이버 위험 점수가 중요한 이유는 무엇입니까?
사이버 위험 노출 관리의 구성 요소인 사이버 위험 점수는 어떤 위험이 조직에 가장 큰 위협이 되는지에 대한 측정 가능하고 객관적인 명확성을 제공합니다. 이를 통해 사이버 보안 조치 및 투자 정보를 얻을 수 있습니다.
CRQ와 마찬가지로 사이버 위험 채점은 보안 전문가와 비즈니스 리더 모두가 이해할 수 있는 위험에 대해 이야기하는 방법을 제공합니다. 이러한 방식으로 조직의 환경, 사회 및 거버넌스(ESG) 및/또는 기업의 사회적 책임(CSR) 성과 모니터링 및 보고를 위한 중요한 지원입니다.
사이버 위험 점수는 조직의 사이버 보험 자격 여부를 결정하는 요인으로 점점 더 많이 사용되고 있습니다. 또한 공급망 보안 관리 및 기타 비즈니스 운영 영역에서 잠재적 인수 합병을 평가하는 데 사용될 수 있습니다.
사이버 위험 점수 대 CRQ?
사이버 위험 점수와 CRQ는 유사한 기능을 수행합니다. 간단히 말해 하나는 정성적이고 다른 하나는 정량적입니다. 두 가지 모두 사이버 보안 위험을 객관적이고 경험적인 용어로 구성하여 전략적 결정을 내립니다.
사이버 위험 점수는 각 위험에 수치 점수를 부여한 다음 조직의 전체 사이버 위험 점수에서 도표화하지만, CRQ는 사이버 사고의 잠재적 달러 가치를 계산합니다. 즉, 침해, 해킹 또는 데이터 도용으로 인해 비즈니스 비용이 발생할 수 있습니다. 이러한 비용에는 재정적 손실(수익, 가동 중단 시간, 벌금, 소송), 경쟁 손실(예: 시장 점유율), 평판 손상, 고객 이탈 및 기타 손해가 포함될 수 있습니다.
CRQ는 공격 가능성을 확률로 계산하며 종종 백분율로 표현됩니다. 예를 들어, 금융 서비스 회사에서 CEO의 이메일은 BEC 공격 확률이 85%인 반면, 같은 기업의 카페테리아 관리자는 12%입니다. 이러한 가능성은 모델 기반 시뮬레이션(예: Monte Carlo 시뮬레이션)을 사용하여 통계적으로 결정되며 일반적으로 비즈니스 분기 또는 역년과 같은 특정 기간 동안 계산됩니다.
사이버 위험 점수와 CRQ는 모두 우수한 사이버 위험 관리를 지원하며, 위험을 식별, 평가 및 우선 순위를 지정하는 유사한 발견 및 평가 단계가 포함됩니다.
사이버 위험 채점은 어떻게 이루어집니까?
언급한 바와 같이 사이버 위험 채점에는 두 가지 주요 부분이 있습니다.
- 위험 프로파일링
- 위험 점수
프로파일링 단계는 조직의 전반적인 공격 표면을 정의하고 해당 표면 전반에 대한 위험과 취약점을 식별하는 철저한 발견 및 평가 프로세스에 따라 달라집니다. 그런 결정에 따라 조직은 구현해야 할 제어 수단을 결정할 수 있습니다.
채점 단계는 취약점이 악용될 가능성, 영향의 범위 및 범위, 성공적인 공격을 해결하는 것이 얼마나 어려운지 등을 포함하여 식별된 각 취약점에 대한 잠재적 위험 및 피해 수준을 추정합니다.
사이버 위험 점수는 또한 글로벌 위협 인텔리전스(독점 또는 오픈 소스), 공공 보안 등급, 특정 취약점에 대한 공격자의 인식, 악용의 용이성, 악용 빈도 및 기타 관련 데이터 포인트에 대한 인텔리전스를 고려해야 합니다.
그런 다음 개별 사이버 위험 점수가 전체 조직 사이버 위험 점수에 도달하도록 집계됩니다.
사이버 위험 점수가 공격 표면 관리에 어떻게 기여합니까?
공격 표면 관리(ASM)는 조직이 위협을 더 잘 볼 수 있게 하여 데이터와 시스템을 방어하도록 지원하는 것을 목표로 하는 사이버 보안 접근 방식입니다. 이는 위험이 존재하는 위치를 파악하고, 상대적 심각도를 이해하고, 사람, 프로세스 및 기술과 관련된 보안 격차를 줄이기 위한 조치를 취하는 것입니다.
따라서 사이버 위험 점수는 ASM의 첫 두 단계인 발견 및 평가와 밀접한 관련이 있습니다.
ASM 검색 프로세스는 조직이 직면한 모든 잠재적 사이버 위험에 대한 가시성을 제공합니다. 엔터프라이즈 공격 표면에 대한 전체 그림을 제공하기 때문에 정확하고 완전한 사이버 위험 채점을 위해 이러한 컨텍스트가 필요합니다.
사이버 위험 점수는 어떤 위험 및 취약점이 가장 중요하고 나중에 해결할 수 있는지를 나타내는 경험적이고 객관적인 방법을 제공함으로써 ASM 평가 단계에 기여합니다.
사이버 위험 채점은 지속적인 프로세스입니다. 정기적으로 점수가 업데이트됨에 따라 사이버 보안 팀과 비즈니스 리더는 전반적인 위험 환경이 어떻게 변화하고 있는지, 즉 어떤 위험이 더 중요해지고 시급해지며 어떤 위험이 성공적으로 완화되었는지 확인할 수 있습니다.
사이버 위험 점수 계산 방법
사이버 위험 채점에는 많은 프레임워크 또는 방법이 있습니다. 가장 간단한 방법은 공격의 가능성을 추정하고, 값을 할당하고, 공격의 잠재적 심각도를 곱하여 수치적 위험 점수에 도달하는 것입니다.
NIST(National Institute of Standards and Technology) 프레임워크
NIST는 시스템의 모든 구성 요소에 보안 범주를 할당하고 낮음, 중간 또는 높음 각각에 대한 보안 제어 기준을 설정하는 사이버 위험 점수 솔루션을 제공합니다. 모든 제어에는 조직의 전반적인 보안 및 개인정보 보호 태세에 대한 상대적 중요성을 기반으로 1에서 10까지의 초기 가중치가 할당됩니다.
NIST 프레임워크에서 위험 프로파일링은 필요한 통제 범위를 결정하는 데 도움이 됩니다. 기밀성, 무결성 및 가용성(약어 ‘CIA’)과 같은 요소는 1~10의 척도로 할당되며 관련 데이터/정보의 중요도에 따라 다양한 통제에 적용됩니다.
과거 침해, 조직의 산업/섹터에 영향을 미치는 알려진 이벤트 및 기타 상황별 콘텐츠에 대한 과거 정보 또한 향후 사고의 잠재적 위험을 정확하게 나타내는 예측 점수를 제공하는 것으로 간주됩니다.
기타 접근 방식
사이버 위험 점수를 계산하는 다른 방법은 다음과 같습니다.
- FAIR(Factor Analysis of Information Risk) - 일반적으로 CRQ와 마찬가지로 재무 기반 위험 점수 산정에 사용됩니다. FAIR 방법의 일부는 위험을 하위 구성 요소로 세분화하여 세분화된 정확도를 제공하는 것입니다.
- OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation)는 이름에서 알 수 있듯이 자산별 위협 및 인프라 취약점을 기반으로 한 위험 계산과 함께 비즈니스 운영에 중점을 둡니다.
- ISO/IEC 27005—위험 관리 맥락 정의, 위험 식별 및 평가(공격 가능성 포함), 완화 조치(‘위험 치료 계획’)와 관련된 정보 보안 위험 관리에 대한 지침을 제공합니다.
위험 점수 산정의 또 다른 요인은 CVSS(Common Vulnerability Scoring System)입니다. CVSS는 위험 채점을 완벽하게 수행하지는 않지만 소프트웨어에서 식별된 취약점의 잠재적 심각도를 평가하는 유용한 방법을 제공합니다. 그런 다음 이러한 순위를 전체 위험 점수 계산의 일부로 사용할 수 있습니다.
사이버 보안 위험 채점에 누가 도움을 줄 수 있습니까?
트렌드마이크로는 조직이 위험 수준과 사이버 보안 격차가 있을 수 있는 곳을 결정할 수 있도록 Ponemon Institute와 사이버 위험 지수(CRI)를 공동 개발했습니다. CRI는 위험 범주 및 요인에 대한 종합적인 평가를 기반으로 조직에 위험 점수를 할당합니다. 이 지수는 사용자, 장치, 애플리케이션, 인터넷 연결 도메인 및 IP 주소, 클라우드 기반 자산을 포함한 광범위한 자산에 영향을 미치는 위험 이벤트를 통합합니다.
CRI 평가는 연결된 데이터 소스에 의존하여 위험 요소가 조직의 특정 환경에 미치는 영향을 평가합니다. 통합할 수 있는 데이터 소스가 많을수록 CRI 결과가 더 완전하고 포괄적입니다.
CRI는 4시간마다 자동으로 업데이트되며 위험 이벤트의 상태에 대한 변경 사항은 최대 1시간 후에 반영됩니다. 조직은 재계산 버튼을 클릭하여 수동으로 CRI를 재계산할 수 있습니다. 여기에서 CRI 계산기를 사용하여 조직의 위험 점수를 결정하십시오.
Trend Vision One™은 사이버 위험 및 노출 관리(CREM) 솔루션을 제공하여 기업이 사이버 위험 발자국을 줄이기 위해 위험을 사전에 발견, 평가 및 완화할 수 있도록 합니다. CREM은 클라우드, 데이터, ID, API, AI, 컴플라이언스 및 SaaS 애플리케이션 전반에 걸쳐 외부 공격 표면 관리(EASM), 사이버 자산 공격 표면 관리(CAASM), 취약점 관리 및 보안 태세 관리와 같은 주요 기능을 하나의 강력하고 사용하기 쉬운 솔루션으로 결합하여 혁신적인 접근 방식을 취합니다. 위협 관리뿐만 아니라 진정한 위험 복원력을 구축하는 것입니다.
사이버 위험 노출 관리가 진정한 위험 회복력을 구축하는 데 어떻게 도움이 되는지 자세히 알아보십시오.