박서 Mike Tyson은 “모두가 얼굴에 웅크릴 때까지 계획을 세웠습니다.”라고 말했습니다.
이는 잠재적인 보안 사고가 발생하기 전에 가능한 모든 준비를 할 수 있는 CISO와 보안팀의 만트라가 될 수 있습니다. 이는 현실이 팬에게 닥칠 때에만 플레이북을 버리기 위한 것입니다. 아무리 많은 준비를 하더라도, 보안 사고는 조직의 절차, 기술 및 인력을 한계에 도달할 수 있는 방법을 제공합니다.
플레이북이 복구에 중요하지 않다는 주장은 아니지만(매우 중요함), 복원력 있는 기반을 확보하는 것이 진정한 열쇠입니다. 여기에는 순식간에 실행에 옮길 수 있는 적절한 도구를 갖춘 잘 교육되고 준비된 팀이 포함됩니다. 명확한 행진 명령, 완전한 복구 계획, 복구 장비 및 복원력 있는 데이터를 확보하면 스크램블링 가능성이 줄어듭니다.
보고서 읽기: 사이버 복구를 달성하려면 팀워크가 필요합니다.
역동적인 팀이 필요합니다.
사이버 보안은 지식, 조정 및 교차 기능 준비가 필요한 팀 스포츠입니다. 침해 사고에 대응하는 모든 조직에 가장 큰 와일드카드는 사람입니다. 그들은 자신의 역할을 알고 있습니까? 그들이 개입하고 성과를 낼 준비가 되었나요?
퓨어스토리지의 최근 패널 토론에서 CISO 중 한 명은 “전투의 열기 속에서 다양한 개성이 나타나고, 리허설한 것들이 테스트되는 경향이 있습니다.”라고 말했습니다. 그렇기 때문에 시간이 핵심일 때 대응하기 위해 준비가 잘 된 비상 대응팀이 필요합니다. 여기에는 다음이 포함될 수 있습니다.
- 디지털 포렌식 전문가. 이 그룹은 조사 결과의 무결성을 유지하고 증거로서의 적합성을 보장하기 위한 세부 절차에 따라 영향을 받는 머신과 보안 로그 및 기타 툴로부터 증거를 수집하고 분석합니다. 여기에는 보안 로그 데이터를 사용하여 이벤트로 이어진 이벤트를 재구성하고, 물리적 및 가상 디바이스에서 손실된 데이터를 검색하고, 사고 증거를 수집 및 분석하고, 디지털 증거의 확실한 관리 연속성을 보장하고, 법 집행 기관과 연락 및 협력하고, 법적 소송에서 증언을 제공하는 것이 포함됩니다.
- 법률 고문. 법적 이글은 이벤트와 관련된 의무, 잠재적 충돌 및 책임을 이해하는 데 도움이 됩니다. 이들은 법 집행 기관, 조사 기관 및 이해관계자와 소통하는 방법에 대해 조언할 수 있습니다. 또한 정책과 절차의 초안을 작성할 때 귀중한 의견을 제공할 수 있습니다.
- 정보 보안(InfoSec). InfoSec은 특히 데이터 보안과 관련된 사이버 보안의 하위 집합입니다. InfoSec 팀은 중요한 보안 사고의 조사, 평가, 추적, 해결 및 보고를 조율합니다. 또한 보안 침해 프로토콜을 제정하고 보안 사고를 보고해야 하는지 여부를 결정하는 사람이기도 합니다.
- 정보 기술. 당연히 IT 팀은 비상 대응의 모든 단계에 적극적으로 관여할 것입니다. 여기에는 모든 IT 및 네트워크 자산과 엔드포인트의 매핑, 사고 식별 및 평가, 피해를 최소화하기 위한 격리 조치, 위협 제거 또는 제거, 이전 상태로의 시스템 복구, 향후 보안 및 사고 대응 노력을 개선하기 위한 사후 분석이 포함됩니다.
- 미디어 관계 및 기업 커뮤니케이션 조직은 보안 이벤트 도중 및 이후에 일관되고 정확한 계정을 전달할 수 있어야 합니다. 사전에 결정된 연락 담당자는 내부 커뮤니케이션을 포함한 커뮤니케이션을 제어 및 조정하고, 미디어 아울렛, 계열사 및 외부 이해관계자와의 커뮤니케이션을 관리할 수 있습니다.
- 투자자 관계. 보안 사고 발생 시 소중한 파트너 및 투자자와 소통할 단일 개인 또는 팀을 지정하면, 이들이 질서 정연한 커뮤니케이션을 받고 사고의 재정적 영향을 평가할 수 있습니다.
- 사고 관리자. 인시던트 관리자는 ERT 계층 구조의 맨 위에 있는 직책을 맡고 있습니다. 이들의 임무는 ERT의 모든 조치를 조율하고, 각 팀원이 조치 항목을 수행하며, 결과를 요약하고, 고위 경영진에게 문제를 보고하고, 필요한 경우 임시 역할을 배정하는 것입니다.
- 다른 중요한 팀원. 필요한 경우, 사이버 보험 제공업체와 지역 또는 국가 법 집행 기관을 포함할 수 있습니다.
필요한 기술
보안 침해 또는 공격 후, 컴퓨팅 리소스는 중단될 수 있으며, 침해된 리소스는 압수, 격리 또는 조사관이 사용하기 위해 필요할 수 있습니다. 사전에 설치 및 테스트된 단계적 복구 환경은 안전하고 깨끗한 IT 환경을 제공하여 중요한 시스템을 가능한 한 빨리 온라인 상태로 되돌릴 수 있도록 지원합니다.
- 혁신적인 스냅샷. “데이터 스토리지를 위한 에어백”이라는 별명을 가진 불변의 스냅샷은 기존 데이터 보존 정책에 따라 무단 수정 및 삭제로부터 데이터를 보호합니다. 초기 침입 및 정찰 후, 랜섬웨어는 데이터를 실행, 암호화 및/또는 유출하려고 시도합니다. 스냅샷이 없고, 랜섬웨어 공격이 백업 데이터 또는 백업 메타데이터를 암호화하는 경우, 데이터 복구 가능성이 적기 때문에 랜섬웨어 요구 사항에 취약합니다.
- 복구를 위해 깨끗한 어레이를 제공하는 사이버 복구 SLA.
- 데이터 “벙커”를 갖춘 계층형 복원성 아키텍처 계층형 백업 아키텍처는 모두 복원성에 관한 것입니다. 데이터를 항상 복구하기에 최적의 위치에 배치하여 복구 시간 목표(RTO)를 달성하지 못할 수 있습니다. 계층화 스냅샷은 이들을 격리하여 재해 발생 시 가용성을 더욱 보장합니다.
퓨어스토리지 플랫폼으로 이벤트로부터 탄력성을 유지하세요
데이터 스토리지 플랫폼이 “주요 이벤트”를 “견딜 수 있는 이벤트”처럼 더 많이 만들 수 있다면 어떨까요? 퓨어스토리지 어레이는 공격을 방어할 수 없지만, 공격을 극복하고 신속하게 복구할 수 있는 역량을 제공합니다. 방법은 다음과 같습니다.
퓨어스토리지® SafeMode™ 스냅샷은 업계 유일의 스냅샷으로 이러한 이점을 제공합니다. SafeMode 스냅샷은 제가 “수퍼 임뮤터블+”이라고 부르는 것입니다. 기존처럼 변경 불가한 스냅샷이 저장되면 내부에 포함된 데이터를 변경, 편집 또는 덮어쓸 수 없습니다. 그러나 퓨어스토리지의 SafeMode 스냅샷에는 주요 이점이 있습니다. 퓨어스토리지 퓨어스토리지 어레이에 대한 관리 권한이 있는 사용자나 프로세스도 삭제할 수 없습니다.
Evergreen//One™ 가입자를 위해 엔터프라이즈급 서비스형 스토리지 구독 서비스인 Cyber Recovery and Resilience SLA는 위험을 완화하고 다음을 보장하는 고유한 애드온 서비스를 제공합니다.
- 깨끗한 복구 어레이(들)의 다음 영업일 배송*
- 복구 계획 완료까지 48시간 소요
- 8 TiB/시간 데이터 전송 속도
- 복구 계획을 마무리하는 기술 서비스 엔지니어링 팀과 어레이 도착 시점부터 영향을 받는 서비스 인프라 교체까지 현장 전문 서비스 엔지니어를 포함한 번들 서비스
- 퓨어스토리지가 준비하고 귀사와 직접 검토한 분기별 사이버 복원성 보고서
- 보고서에서 확인된 취약점을 해결하고자 하는 경우, 퓨어스토리지 보안 아키텍트가 제공하는 복구 서비스
사이버 복원력은 강력한 데이터 보안과 팀 간 협업에서 시작됩니다. 퓨어스토리지 퓨어스토리지 와 451 Research의 IT 운영 및 보안 코호트 간 관계 개선에 대한 새로운 보고서를 다운로드하세요.
*배송 일정: 북미 및 EMEA로 어레이의 다음 영업일 배송. 아시아 및 호주/뉴질랜드행 3영업일 지역에 따라 빠른 배송이 가능할 수 있습니다.

A Speedy Recovery
Get back up and running quickly after a cybersecurity event with SafeMode snapshots.