SolarWinds 공격은 이사회 차원에서 사이버 보안 결정의 필요성을 강조합니다.

2020년 12월에 공개된 SolarWinds 해킹은 조직에 좋은 사이버 보안 정책이 내장되지 않은 경우 소프트웨어 및 시스템 공급망이 쉽게 표적이 될 수 있음을 강조합니다.

사이버 보안 및 기반 시설 보안국(CISA)은 공식 성명에서 APT(Advanced Persistent Threat) 행위자에 의한 미국 정부 기관, 주요 기반 시설 기관 및 민간 부문 조직의 침해가 최소 2020년 3월에 시작되었다고 밝혔습니다. 그리고 APT는 공격자는 이러한 침입에서 인내, 운영 보안 및 복잡한 거래를 보여주었습니다. "CISA는 손상된 환경에서 이 위협 행위자를 제거하는 것이 조직에 매우 복잡하고 어려운 일이 될 것으로 예상합니다." 자세한 감염 벡터 및 손상 완화 방법은 여기 설명에 나와 있습니다.

세부 정보를 읽으면 반도체 산업 보안 전문가와 보안 요소, 장치, 프로비저닝 및 보안을 제공하는 회사가 IoT(사물 인터넷) 보안 및 사이버 보안 주제에 대해 Embedded.com 및 EE Times 브리핑에서 들은 내용이 많이 확인됩니다. 수명 주기 관리.

전 세계의 정부 부서가 보안에 대해 편집증적이지만 적절한 보안 메커니즘 및 정책을 건너뛰는 것처럼 보이는 타사 시스템, 소프트웨어 및 장치 공급업체를 통해 스스로를 완전히 취약하게 만드는 경우 이러한 침해가 발생할 수 있다는 사실이 정말 놀랍습니다. 나는 몇 년 전 영국 정부에서 계약자로 일할 때도 보안 교육의 양, 우리가 항상 인식해야 하는 의식을 기억합니다. 한 가지 작은 예는 업무상 여행할 때 잠긴 차나 다른 장소에 랩톱을 절대 두지 않으려는 편집증 상태였습니다. 항상 내 사람이나 내가 볼 수 있는 내 근처에 있어야 했습니다. 물론 그 외에도 부지런히 관찰해야 할 것들이 많이 있었습니다.

그러나 SolarWinds 위반은 보안이 하드웨어 및 소프트웨어 시스템 설계자의 소관이어야 하는지 아니면 조직의 상위 수준에서 더 심각하게 다루어져야 하는지에 대한 근본적인 정책 문제입니다.

따라서 기업 재무 고문인 Woodside Capital Partners가 'CEO, 이사, 이사, 사모펀드 회사를 위한 7가지 교훈'을 요약한 보고서를 작성해야 합니다. Nishant Jadhav 전무 이사가 작성한 보고서에 따르면 SolarWinds 공급망 공격은 경영진과 이사회 수준에서 사이버 보안에 대한 더 깊은 이해의 필요성을 강조했습니다. 감시 도구에 보이지 않는 대부분의 비즈니스 환경에 잠재적으로 도사리고 있는 지능적이고 지속적인 위협이 존재하는 가운데, 알려지지 않은 상황에서 평판과 기업 가치를 보호하는 것이 점점 더 중요해지고 있습니다.

경영진, 고문 및 투자자가 질문해야 할 핵심 사항은 회사가 사이버 보증을 보유하고 있는지 여부에 대해 이사회 차원에서 답변할 수 있는지 여부입니다. 다음은 7가지 교훈입니다.

1과:보안 우선 대 규정 준수 우선 사고 방식 채택 - 하향식

보안 우선 사고방식은 경영진과 이사회가 특정 회사에 가해지는 위험을 이해한다는 것을 의미합니다. 또한 회사가 고객과 파트너에게 발생하는 위험을 이해하고 있음을 의미합니다. 반면에 규정 준수 우선 사고 방식은 합격 점수를 받기 위해 최소한의 노력을 기울이는 경주입니다. 규정 준수 우선 사고 방식은 공격 당일 기준을 측정하고 미래의 고정된 시간에 대한 확신을 제공한다는 점에서 퇴행적입니다. 불행히도 위협이 지속적으로 진화하고 국가의 적과 함께 더욱 정교해짐에 따라 이는 사이버 보안 보호를 위한 실패한 전략입니다. 이사회와 함께 경영진은 회사의 위협 태세에 대해 분기별로 승인해야 합니다.

강의 2:CISO(최고 정보 보안 책임자)는 정보 기술 책임자에게만 보고하는 것이 아니라 경영진의 일원이어야 합니다.

우수한 CISO는 비즈니스 전체에 대한 지속적인 위협 벡터와 진화하는 공격 표면에 대해 생각하도록 교육을 받았습니다. 여기에는 고객 대면 순위에서 의도하지 않은 데이터 유출, 제품 사용으로 인한 고객의 위험, 자체 사용을 위한 기술 배포에 대한 회사의 위험이 포함됩니다. 결과적으로 CISO는 비즈니스의 모든 측면을 다루어야 하며 원자 수준의 변화를 필요로 하는 라인 리더로서의 영향력 범위를 가져야 합니다. CISO는 자신의 권장 사항이 모든 계층에 스며들고 지속적인 보호 및 위험 노출이 어느 시점에서든 측정 가능하도록 책임을 져야 합니다. 이것은 번거롭게 들리고 정치적일 수 있지만, 회사의 시야를 가리고 억제할 수 없는 공격의 결과로 인한 부채는 자본 시장에서 일시적으로 그리고 평판의 관점에서 영구적으로 파괴적일 수 있습니다.

강의 3:CISO를 위한 KPI에는 지속적인 보호 및 수정이 포함되어야 합니다.

네트워크에서 새로운 침해가 발견되는 즉시 CISO를 해고하는 것이 일반적인 관행인 것처럼 보이지만 이러한 사고 방식은 비효율적이고 구식입니다. 그 대신 변화해야 할 위협에 대한 CISO의 책임에 대한 대화입니다. 회사의 보안 격차에 맞는 보안 예산으로 CISO의 역량을 강화하십시오. 또한 주어진 분기의 비즈니스 가동 시간뿐만 아니라 시간이 지남에 따라 비즈니스의 각 파벌 내에서 생성된 인식에 대해서도 성공을 측정하십시오. 이 조합에 SolarWinds 사례와 같이 조직 영역 외부에서 발생하는 위협에 비즈니스가 대응하는 방법에 대한 KPI를 추가하십시오. 그러한 행동과 그것이 고객에게 미치는 영향, 평판 및 그에 따른 평가/주식 가격을 모델링하십시오.

강의 4:신뢰할 수 있는 솔루션 제공업체/파트너는 안전한 파트너를 의미하지 않습니다.

SolarWinds 공급망 공격은 위협이 최고의 보안 사례에서 통제할 수 없음을 입증했습니다. 본질적으로 회사의 규모와 보안 관행에 대한 평판이 어떻든 간에 어떤 파트너도 안전한 파트너가 될 수 없습니다. 신제품이 배양되는 "에어 갭" 네트워크를 생성하면 신뢰할 수 있는 파트너 솔루션을 통해 위협 침투를 완화할 수 있습니다.

교훈 5:보안을 손상시키는 것은 수익성을 높이는 잘못된 수단입니다.

Woodside Capital(WCP)은 회사의 핵심 평가 기준이 보안 태세 평가 값인 "사이버 등급"이라고 예상합니다. 사이버 등급은 회사의 고객 및 파트너에 대한 위험뿐만 아니라 회사 자체 자산의 지속적인 보호 정책에 대한 기술 및 교육 투자에 대해 측정됩니다. 이 사이버 등급의 핵심 요소는 또한 회사가 이전 위협에 직면하여 이미 시행한 교정 노력과 대응 시간(위협의 심각도에 따라 가중됨)이 될 것입니다. 사이버 등급이 높을수록 해당 기업의 가치가 높아집니다. 사이버 보안 전문 사모펀드(PE) 기업은 포트폴리오 기업의 사이버 등급에 더 많은 관심을 기울여야 하며 단기적으로 수익성을 위해 포기해서는 안 된다. 약 5000개의 비상장 사이버 보안 회사에 대한 WCP의 권장 사항은 이러한 결과를 실현하기 위해 경영진 수준에서 사이버 보안 및 참여에 대한 지속적인 약속을 요약한 사이버 등급 버전을 만드는 것입니다. 업계 전반에 걸친 표준이 없는 경우 경영진과 이사회가 선보일 수 있는 일련의 기준 지침을 정의하기가 더 쉬워져 보안 우선 기업으로 차별화됩니다.

강의 6:사이버 보험은 이사회 차원에서 자세히 살펴보아야 합니다.

대부분의 사이버 보험 정책은 데이터 침해 또는 무단 액세스 또는 개인 또는 보호되는 정보의 공개로 인한 재정적 손실에 대한 보장을 제공합니다. 일부 보험 회사는 사회 공학(예:피싱으로 인한 침해), 신용 카드 손실에 대한 특정 보장, 랜섬웨어 등. 그러나 이와 같은 공급망 공격은 경기장을 바꿉니다. 신중한 사람이 사용할 수 있는 관리 가능한 도구의 통제를 벗어나 비즈니스에 해를 입히는 실제 가해자가 있기 때문에 이것은 신의 행위로 쓸 수 없습니다. CISO는 이사회에 참여하여 악의적인 국가 행위자와 공급망 공격에 대한 노출을 포함하는 새로운 사이버 보험 정책을 의무화해야 합니다. 이러한 위협으로 인한 이후의 광범위한 피해는 공격 후 수개월 및 수년으로 확장될 수 있으므로 이러한 정책은 더 넓은 기간에 걸쳐 이루어져야 합니다.

강의 7:지속적인 평판 보호

최선의 노력에도 불구하고 침해는 언제든지 회사에 영향을 미칠 수 있으며 비즈니스에 실질적인 영향을 미칠 수 있습니다. 여기에 있는 명백한 질문은 다음과 같습니다.

<울>

이 경우 SolarWinds가 문제를 해결합니까?

SolarWinds Orion 소프트웨어를 사용했기 때문에 Microsoft의 소스 코드가 노출되어 어려움을 겪고 있습니까?

SolarWinds는 잃어버린 명성을 되찾을 수 있습니까?

Microsoft는 보안 회사의 좋은 인수자가 될 것입니까?

그 해답은 경영진과 이사회가 사이버 보안이 회사의 핵심 차별화 요소인 보안 우선, 사이버 등급이라는 점을 보여주기 위해 취한 지속적인 조치에 있습니다. 그들은 자신의 실수와 다른 사람들의 실수로부터 회사의 위협 태세를 지속적으로 강화하고 자신과 고객의 공격 표면을 줄이는 방법을 배웠습니다. 여기에는 더 나은 사이버 보험 적용 범위와 회사가 고객에게 제공하는 개선된 개선 정책이 포함됩니다. 회사가 사이버 보안에 대해 직원들에게 계속 투자하고 교육한다는 점을 중요하게 강조합니다. 기본적으로 회사가 자체적으로 사이버 보증을 만들고 이를 고객과 파트너에게 전달할 수 있다면 장기적으로 회사의 평판을 보호하는 데 더 유리할 것입니다.

WCP 보고서는 위험 관리 및 위협 수정에서 사이버 보험에 이르기까지 전체론적 사이버 보증 전략의 빌딩 블록을 제공하는 여러 성장 단계 회사를 나열합니다. 보고서는 여기에서 볼 수 있습니다.