호주 정부가 국가 사이버 보안 탄력성을 구축하고 위협에 맞서는 방법

게시일: 2020년 10월 20일
작성자: 피터 댄히외
사례 연구

호주 정부가 국가 사이버 보안 탄력성을 구축하고 위협에 맞서는 방법

게시일: 2020년 10월 20일
작성자: 피터 댄히외
리소스 보기
리소스 보기

2020년 원격 작업의 엄청난 급증과지속적인 대규모 데이터 유출, 온라인 개인 정보 침해의 결과에 대한 관심이 증가함에 따라 사이버 보안에 대한 대중의 관심이 더욱 뚜렷한 것은 없었습니다. 그 결과, 전 세계 정부는 가장 귀중한 디지털 리소스를 처리할 때 기업이 따라야 하는 전략과 규정을 포함하여 사이버 보안 계획과 인프라를 재구성하고 업데이트하기 위해 나섰습니다.

사이버 보안에 대한 전략적 보호 지침은 새로운 개념이 아니며 NIST와 같은 조직은 수년 동안 글로벌 정부 부처의 정책을 통보했습니다. 디지털 발전을 거치면서 많은 사람들이 끊임없이 변화하는 환경의 일부인 위협, 공격 벡터 및 규정 준수 요구 사항을 따라잡기가 어려워졌습니다.

타사 서버에서 쉽게 액세스하고 잘못 구성된 S3 버킷으로 인해 54,000 명의 뉴 사우스 웨일즈 운전 면허증이 최근 위반되면서 수천 명의 개인이 손상되었으며, 보안 연구원은 데이터가 이미 어두운 웹에서 판매되었을 수 있음을 인정했습니다. 슬픈 것은, 이것은 쉬운 수정이며 캐시를 구성하는 사람들을 위해 보안이 마음의 전면이었다면 전혀 일어나지 않았을 것입니다.

호주 정부는 최근 호주 사이버 보안 전략 2020을발표하여 새로운 이니셔티브와 향후 10년 동안 사용할 1.67B 자금 조달 부스트를 강조하면서 "호주인, 그들의 비즈니스 및 우리 모두가 의존하는 필수 서비스를 위한 보다 안전한 온라인 세계를 만들겠다는 비전"을 달성했습니다. 이것은 분명히 매우 환영 검토 및 업데이트 된 계획, 특히 주요 목표 중 하나는 있기 때문에:

"기업의조치는 제품과 서비스를 보호하고 알려진 사이버 취약점으로부터 고객을 보호하기 위한조치"입니다.

정부 기관은 치명적인 조직 공격을 위해 잘 익은 국가의 중요한 인프라에 관한 보안 조치에 초점을 맞추는 경향이 있지만 과거에 부족했던 것은 매일 데이터를 수집하고 사용하는 회사에 대한 지침이었습니다.

지금, 이 같은 공식 전략에 관해서, 그것은 항상 맥주와 Skittles. 세부 사항을 해석하기가 약간 어렵고 세부 사항에 모호할 수 있으므로 조직의 보안 팀이 비특정 지침에 따라 계획을 수립할 수 있습니다. 이 문제는 호주 정부에만 국한되지 않고 새로운 릴리스를 분석해 보겠습니다.

예방이 아닌 반응에 초점을 맞춥니다.

업데이트된 호주 사이버 보안 전략은 2016년 마지막 릴리스와 관련성이 높으며, 기업, 특히 중소기업에 대한 매우 포괄적인 계획을 수립합니다. 전략은 다음과 같은 개요를 제시합니다.

"정부와대기업은 중소기업(중소기업)이 사이버 보안 인식과 역량을 키우고 강화할 수 있도록 지원할 것입니다. 호주 정부는 대기업 및 서비스 제공업체와 협력하여 중소기업에 사이버 보안 정보 및 도구를 제공하여 "위협 차단, 바이러스 백신 및 사이버 보안 인식 교육과 같은 보안 서비스 번들"의 일환으로 제공할 것입니다.

이것은 중소기업에게 사이버 위협으로부터 비즈니스를 보호하는 괜찮은 기본 기반을 제공 할 것이지만, 주로 사후 대응 적 접근이며사이버 보안 환경의 상대적으로 작은 부분인 탐지 툴링에 중점을 둡니다.

대기업이 스스로를 보호하고 공격 경로를 줄일 수 있는 방법에 대한 정보도 의외로 거의 없습니다. 통신, 교통과 같은 중요 인프라를 보호하려는 계획에 많은 기업이 포함되어 있을 수 있지만, 금융 서비스, 소매업 및 기타 많은 업종은 성공적인 사이버 공격으로 인해 많은 것을 잃을 수 있습니다. 향후 법안에 이러한 내용이 포함될 수도 있지만, 그렇다 하더라도 기업 차원에서 세심한 사이버 보안 모범 사례의 중요성을 강조하는 것은 중요한 변화를 가져오고 유출된 데이터와 사이버 범죄를 감소시키는 데 기본이 됩니다.

전반적으로 전략을 전체적으로 고려할 때 사후 대응 방식을 중심으로 구축됩니다. 사이버 공격에 대응하고, 적극적인 사이버 범죄자를 방해하고, 기소를 보장하고, 국제 동맹국들과의 정보 공유가 모두 중요한 요소이지만, 국가 차원의 보호 기준이 예방에 초점을 맞춘다면 상상해 보십시오. 중요한 인프라에 대한 보호 조치와 함께 모든 비즈니스에서 보안이 최우선이며 디지털 세계를 만드는 코드를 만지는 모든 사람이 공격을 차단하기 전에 적절하게 장착된 경우 피해자에 대한 시간, 돈 및 마음의 고통을 헤아릴 수 없습니다.

복원력이 가능하지만 계획해야 합니다.

호주 정부가 사이버 보안에 대해 진지하게 생각하려는 압박에서 국가 차원의 주요 위험 지역으로 확인된 것은 분명합니다. 우리의 삶의 방식을 방해할 수 있는 능력을 가진 다른 악의적인 공격과 마찬가지로, 탄력성은 절대적으로 중요합니다 - 그러한 시도를 견딜 뿐만 아니라, 그 일을 전혀 억제하는 역할을 하는 것이 아닙니다. 하루의 끝에서, 심지어 위협 행위자는 게으른 수 있습니다,그들은 너무 많은 장벽이 성공의 길에 넣어경우 목표를 달성하기 위해 쉽게 대상으로 이동합니다.

현재 우리는 글로벌 사이버 보안 기술 부족에 직면하고있으며, 이는 전 세계 CISSo가 밤에 깨어 있게 하는 것입니다. 수십억 줄의 코드, 지속적인 대규모 데이터 유출 및 더 많은 페널티 위험 (메리어트만은 2018 년 데이터 유출에 대해 미화 123M GDPR 벌금을 받았습니다... 그리고 그들은 올해 또 다른 위반을 했다)그 어느 때보 다 보안 전문가에 대 한 수요 섀도 만들었습니다., 현실적으로, 폐쇄 될 가능성이. 단순히 너무 많은 코드, 그리고 너무 작은 리소스 모든 각도에서 강화 되도록.

그래서, 우리는 우리가 사이버 위협에 직면하여 진정으로 높이 서있을 것이라는 생각을 포기해야 합니까? 안 돼. 복원력은 사용 가능한 모든 리소스를 사용하고 한 단계 앞서 생각해야 합니다. 그리고 많은 회사에서 개발자는 코드가 작성될 때 강력한 강화 방법의 잠금을 해제할 수 있습니다. 비즈니스 전반에 걸쳐 눈에 잘 띄는 긍정적인 보안 문화와 결합하면 많은 공격자가 흔들리고 중단하기 어려운 안전한 기반을 제공합니다. 그러나 이 방법은 호주 사이버 보안 전략의 제안을 예로 들어 야 하며 비즈니스와 관련된 효과적인 변화를 지원하기 위해 사용자 정의할 수 있는 방법을 자세히 설명해야 합니다.

이를 위해 몇 가지 팁을 세분화하는 것이 중요합니다.

  • 보안 인식 교육: 이것은 특히 중소기업에 대 한 호출, 그리고 전체 보고서의 맥락에서, 주로 모든 직원 기본 보안 위생을 가르치는 겨냥 (예: 피싱 이메일 발견, 알 수 없는 링크를 클릭 하지, 등). 현실적으로, 그것은 그 보다 훨씬 더 가서 역할 특정, 특히 개발자 처럼 코드를 터치 하는 사람들을 위해 해야 합니다. 보안 인식 교육은 예방 조치 및 구축 탄력성의 구성 요소입니다.
  • 교육: 상쾌한 변화 속에서, 초등학교와 중등학교의 사이버 보안 교육을 중점을 두어 고등 교육에 이르기까지 향후 10년 동안 사이버 보안 기술 부족을 해결하기 위한 심층적인 계획이 있습니다. 미래의 보안 슈퍼스타를 구축하는 경우 매우 필요하지만, 현재 비즈니스 요구를 해결하는 관점에서 개발 코호트에 대한 보안 코딩에 대한 실습 교육은 일반적인 취약점을 줄이기 시작해야 하며 기능적 보안 프로그램의 일부가 되어야 합니다.

보안 전문가로서 우리는 전 세계 기업들이 단순한 기본 인식 조치를 넘어서는 내부 보안 프로그램을 구축하는 것의 중요성을 이해하도록 돕기 위해 더 많은 일을 해야 합니다. 개발자에게 시간을 할애하면 과로된 AppSec 전문가가 압박을 받고 있으며, 전체 조직이 역할의 맥락에서 가능한 한 보안을 인식하도록 보장하는 것은 소프트웨어의 위협 표면 공격 영역을 줄이는 데 매우 중요합니다.

개발자 의 업스킬링은 시간이 잘 소요됩니다, 그래서 왜 그렇게 많은 회사가 그것을 무시하고 있습니까?

DDLS의 최근 설문 조사에 따르면 호주 조직의 사이버 보안 교육과 관련하여 우선 순위가 거의 없다고 결론을 내렸습니다. 실제로 응답자의 77%가 사이버 보안 인식을 비즈니스에서 "매우" 또는 "매우 중요"로 꼽고 있음에도 불구하고 상위 3대 교육 우선 순위도 만들지 못했습니다.

호주가 확대되는 기술 격차를 해소하기 위해 고군분투하고 있으며 필수 서비스에서 소매업, 그리고 그 사이의 모든 것을 보다 탄력적인 인프라를 만들기 위해 해야 할 일이 있다는 것은 놀라운 일이 아닙니다.

정부가 보안 기술 기준 인증 또는 규정을 만들 수 있는 엄청난 기회가 있으며, 이 전략은 한정된 자원으로 작업할 수 있는 방법으로 이를 암시하고 있습니다. 그러나 다시 한 번 말하지만, 이는 미래 국가의 제안으로 보이며, 영향력이 큰 영역을 먼저 목표로 삼는다면 훨씬 더 빨리 시작할 수 있는 도구가 있습니다. 제가 보기에 희망의 불빛은 각 조직의 개발 팀에 있으며, 성공할 수 있는 도구와 지식만 있다면 일반적인 취약점을 사전에 차단하고 조직 내 데이터 유출 위험을 크게 줄일 수 있습니다.

2019년, 모든 데이터 유출의 24%는 보안 오류(즉 보안 잘못된 구성)로 인해 발생했으며, 이는 일반적으로 비교적 간단하며 코드 수준 수정입니다. 여기에 교육이 우선 순위가 된다면, 회사 차원의 보안 인식 구축과 함께 수천 명의 손상된 고객에게 위반 알림에 서명하는 CISSo가 적을 것이라고 베팅하고 있습니다.

리소스 보기
리소스 보기

저자

피터 다뉴

피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.

더 알고 싶으신가요?

블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.

Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.

블로그 보기
더 알고 싶으신가요?

개발자 중심 보안에 대한 최신 연구 보기

광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.

리소스 허브

호주 정부가 국가 사이버 보안 탄력성을 구축하고 위협에 맞서는 방법

게시일: 2020년 10월 20일
By 피터 댄히외

2020년 원격 작업의 엄청난 급증과지속적인 대규모 데이터 유출, 온라인 개인 정보 침해의 결과에 대한 관심이 증가함에 따라 사이버 보안에 대한 대중의 관심이 더욱 뚜렷한 것은 없었습니다. 그 결과, 전 세계 정부는 가장 귀중한 디지털 리소스를 처리할 때 기업이 따라야 하는 전략과 규정을 포함하여 사이버 보안 계획과 인프라를 재구성하고 업데이트하기 위해 나섰습니다.

사이버 보안에 대한 전략적 보호 지침은 새로운 개념이 아니며 NIST와 같은 조직은 수년 동안 글로벌 정부 부처의 정책을 통보했습니다. 디지털 발전을 거치면서 많은 사람들이 끊임없이 변화하는 환경의 일부인 위협, 공격 벡터 및 규정 준수 요구 사항을 따라잡기가 어려워졌습니다.

타사 서버에서 쉽게 액세스하고 잘못 구성된 S3 버킷으로 인해 54,000 명의 뉴 사우스 웨일즈 운전 면허증이 최근 위반되면서 수천 명의 개인이 손상되었으며, 보안 연구원은 데이터가 이미 어두운 웹에서 판매되었을 수 있음을 인정했습니다. 슬픈 것은, 이것은 쉬운 수정이며 캐시를 구성하는 사람들을 위해 보안이 마음의 전면이었다면 전혀 일어나지 않았을 것입니다.

호주 정부는 최근 호주 사이버 보안 전략 2020을발표하여 새로운 이니셔티브와 향후 10년 동안 사용할 1.67B 자금 조달 부스트를 강조하면서 "호주인, 그들의 비즈니스 및 우리 모두가 의존하는 필수 서비스를 위한 보다 안전한 온라인 세계를 만들겠다는 비전"을 달성했습니다. 이것은 분명히 매우 환영 검토 및 업데이트 된 계획, 특히 주요 목표 중 하나는 있기 때문에:

"기업의조치는 제품과 서비스를 보호하고 알려진 사이버 취약점으로부터 고객을 보호하기 위한조치"입니다.

정부 기관은 치명적인 조직 공격을 위해 잘 익은 국가의 중요한 인프라에 관한 보안 조치에 초점을 맞추는 경향이 있지만 과거에 부족했던 것은 매일 데이터를 수집하고 사용하는 회사에 대한 지침이었습니다.

지금, 이 같은 공식 전략에 관해서, 그것은 항상 맥주와 Skittles. 세부 사항을 해석하기가 약간 어렵고 세부 사항에 모호할 수 있으므로 조직의 보안 팀이 비특정 지침에 따라 계획을 수립할 수 있습니다. 이 문제는 호주 정부에만 국한되지 않고 새로운 릴리스를 분석해 보겠습니다.

예방이 아닌 반응에 초점을 맞춥니다.

업데이트된 호주 사이버 보안 전략은 2016년 마지막 릴리스와 관련성이 높으며, 기업, 특히 중소기업에 대한 매우 포괄적인 계획을 수립합니다. 전략은 다음과 같은 개요를 제시합니다.

"정부와대기업은 중소기업(중소기업)이 사이버 보안 인식과 역량을 키우고 강화할 수 있도록 지원할 것입니다. 호주 정부는 대기업 및 서비스 제공업체와 협력하여 중소기업에 사이버 보안 정보 및 도구를 제공하여 "위협 차단, 바이러스 백신 및 사이버 보안 인식 교육과 같은 보안 서비스 번들"의 일환으로 제공할 것입니다.

이것은 중소기업에게 사이버 위협으로부터 비즈니스를 보호하는 괜찮은 기본 기반을 제공 할 것이지만, 주로 사후 대응 적 접근이며사이버 보안 환경의 상대적으로 작은 부분인 탐지 툴링에 중점을 둡니다.

대기업이 스스로를 보호하고 공격 경로를 줄일 수 있는 방법에 대한 정보도 의외로 거의 없습니다. 통신, 교통과 같은 중요 인프라를 보호하려는 계획에 많은 기업이 포함되어 있을 수 있지만, 금융 서비스, 소매업 및 기타 많은 업종은 성공적인 사이버 공격으로 인해 많은 것을 잃을 수 있습니다. 향후 법안에 이러한 내용이 포함될 수도 있지만, 그렇다 하더라도 기업 차원에서 세심한 사이버 보안 모범 사례의 중요성을 강조하는 것은 중요한 변화를 가져오고 유출된 데이터와 사이버 범죄를 감소시키는 데 기본이 됩니다.

전반적으로 전략을 전체적으로 고려할 때 사후 대응 방식을 중심으로 구축됩니다. 사이버 공격에 대응하고, 적극적인 사이버 범죄자를 방해하고, 기소를 보장하고, 국제 동맹국들과의 정보 공유가 모두 중요한 요소이지만, 국가 차원의 보호 기준이 예방에 초점을 맞춘다면 상상해 보십시오. 중요한 인프라에 대한 보호 조치와 함께 모든 비즈니스에서 보안이 최우선이며 디지털 세계를 만드는 코드를 만지는 모든 사람이 공격을 차단하기 전에 적절하게 장착된 경우 피해자에 대한 시간, 돈 및 마음의 고통을 헤아릴 수 없습니다.

복원력이 가능하지만 계획해야 합니다.

호주 정부가 사이버 보안에 대해 진지하게 생각하려는 압박에서 국가 차원의 주요 위험 지역으로 확인된 것은 분명합니다. 우리의 삶의 방식을 방해할 수 있는 능력을 가진 다른 악의적인 공격과 마찬가지로, 탄력성은 절대적으로 중요합니다 - 그러한 시도를 견딜 뿐만 아니라, 그 일을 전혀 억제하는 역할을 하는 것이 아닙니다. 하루의 끝에서, 심지어 위협 행위자는 게으른 수 있습니다,그들은 너무 많은 장벽이 성공의 길에 넣어경우 목표를 달성하기 위해 쉽게 대상으로 이동합니다.

현재 우리는 글로벌 사이버 보안 기술 부족에 직면하고있으며, 이는 전 세계 CISSo가 밤에 깨어 있게 하는 것입니다. 수십억 줄의 코드, 지속적인 대규모 데이터 유출 및 더 많은 페널티 위험 (메리어트만은 2018 년 데이터 유출에 대해 미화 123M GDPR 벌금을 받았습니다... 그리고 그들은 올해 또 다른 위반을 했다)그 어느 때보 다 보안 전문가에 대 한 수요 섀도 만들었습니다., 현실적으로, 폐쇄 될 가능성이. 단순히 너무 많은 코드, 그리고 너무 작은 리소스 모든 각도에서 강화 되도록.

그래서, 우리는 우리가 사이버 위협에 직면하여 진정으로 높이 서있을 것이라는 생각을 포기해야 합니까? 안 돼. 복원력은 사용 가능한 모든 리소스를 사용하고 한 단계 앞서 생각해야 합니다. 그리고 많은 회사에서 개발자는 코드가 작성될 때 강력한 강화 방법의 잠금을 해제할 수 있습니다. 비즈니스 전반에 걸쳐 눈에 잘 띄는 긍정적인 보안 문화와 결합하면 많은 공격자가 흔들리고 중단하기 어려운 안전한 기반을 제공합니다. 그러나 이 방법은 호주 사이버 보안 전략의 제안을 예로 들어 야 하며 비즈니스와 관련된 효과적인 변화를 지원하기 위해 사용자 정의할 수 있는 방법을 자세히 설명해야 합니다.

이를 위해 몇 가지 팁을 세분화하는 것이 중요합니다.

  • 보안 인식 교육: 이것은 특히 중소기업에 대 한 호출, 그리고 전체 보고서의 맥락에서, 주로 모든 직원 기본 보안 위생을 가르치는 겨냥 (예: 피싱 이메일 발견, 알 수 없는 링크를 클릭 하지, 등). 현실적으로, 그것은 그 보다 훨씬 더 가서 역할 특정, 특히 개발자 처럼 코드를 터치 하는 사람들을 위해 해야 합니다. 보안 인식 교육은 예방 조치 및 구축 탄력성의 구성 요소입니다.
  • 교육: 상쾌한 변화 속에서, 초등학교와 중등학교의 사이버 보안 교육을 중점을 두어 고등 교육에 이르기까지 향후 10년 동안 사이버 보안 기술 부족을 해결하기 위한 심층적인 계획이 있습니다. 미래의 보안 슈퍼스타를 구축하는 경우 매우 필요하지만, 현재 비즈니스 요구를 해결하는 관점에서 개발 코호트에 대한 보안 코딩에 대한 실습 교육은 일반적인 취약점을 줄이기 시작해야 하며 기능적 보안 프로그램의 일부가 되어야 합니다.

보안 전문가로서 우리는 전 세계 기업들이 단순한 기본 인식 조치를 넘어서는 내부 보안 프로그램을 구축하는 것의 중요성을 이해하도록 돕기 위해 더 많은 일을 해야 합니다. 개발자에게 시간을 할애하면 과로된 AppSec 전문가가 압박을 받고 있으며, 전체 조직이 역할의 맥락에서 가능한 한 보안을 인식하도록 보장하는 것은 소프트웨어의 위협 표면 공격 영역을 줄이는 데 매우 중요합니다.

개발자 의 업스킬링은 시간이 잘 소요됩니다, 그래서 왜 그렇게 많은 회사가 그것을 무시하고 있습니까?

DDLS의 최근 설문 조사에 따르면 호주 조직의 사이버 보안 교육과 관련하여 우선 순위가 거의 없다고 결론을 내렸습니다. 실제로 응답자의 77%가 사이버 보안 인식을 비즈니스에서 "매우" 또는 "매우 중요"로 꼽고 있음에도 불구하고 상위 3대 교육 우선 순위도 만들지 못했습니다.

호주가 확대되는 기술 격차를 해소하기 위해 고군분투하고 있으며 필수 서비스에서 소매업, 그리고 그 사이의 모든 것을 보다 탄력적인 인프라를 만들기 위해 해야 할 일이 있다는 것은 놀라운 일이 아닙니다.

정부가 보안 기술 기준 인증 또는 규정을 만들 수 있는 엄청난 기회가 있으며, 이 전략은 한정된 자원으로 작업할 수 있는 방법으로 이를 암시하고 있습니다. 그러나 다시 한 번 말하지만, 이는 미래 국가의 제안으로 보이며, 영향력이 큰 영역을 먼저 목표로 삼는다면 훨씬 더 빨리 시작할 수 있는 도구가 있습니다. 제가 보기에 희망의 불빛은 각 조직의 개발 팀에 있으며, 성공할 수 있는 도구와 지식만 있다면 일반적인 취약점을 사전에 차단하고 조직 내 데이터 유출 위험을 크게 줄일 수 있습니다.

2019년, 모든 데이터 유출의 24%는 보안 오류(즉 보안 잘못된 구성)로 인해 발생했으며, 이는 일반적으로 비교적 간단하며 코드 수준 수정입니다. 여기에 교육이 우선 순위가 된다면, 회사 차원의 보안 인식 구축과 함께 수천 명의 손상된 고객에게 위반 알림에 서명하는 CISSo가 적을 것이라고 베팅하고 있습니다.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.