사이버 복원력이 팀 스포츠라면, 바로 이런 사람이 필요합니다.

복서 마이크 타이슨(Mike Tyson)은 “누구나 얼굴에 주먹을 맞기 전까지는 그럴싸한 계획을 가지고 있다”고 말했습니다.

이는 잠재적인 보안 관련 사고에 대비해 가능한 모든 준비를 다하고도 막상 현실이 닥치면 플레이북이 필요없게 되는 상황을 겪게 되는 최고 정보 보안 책임자(CISO)와 보안 팀이 자주 사용할 수 있는 문구입니다. 아무리 많은 대비를 했더라도 보안 관련 사고는 조직의 기존 절차, 기술, 인력을 한계 상황까지 밀어부칠 수 있습니다.

재해 복구에 플레이북이 중요하지 않다고 주장하는 것은 아니지만(물론 매우 중요합니다), 진정한 핵심은 복원성 기반을 갖추는 것입니다. 여기에는 잘 교육받고 준비된 팀이 적절한 도구로 무장해 위급한 순간에 바로 행동에 나설 수 있도록 돕는 것이 포함됩니다. 명확한 명령, 완전한 우선순위를 갖춘 복구 계획(영문자료), 복구 장비 인식, 복원력 있는 데이터가 있으면 당황할 가능성이 줄어듭니다.

보고서 다운로드: 사이버 복원력을 달성하려면 팀워크가 필요합니다(영문자료)

역동적인 팀이 필요합니다 

사이버 보안은 지식, 조정, 부서 간 준비가 필요한 팀 스포츠입니다. 보안 사고에 대응하는 모든 조직에서 가장 중요한 와일드카드는 바로 사람입니다. 직원들이 자신의 역할을 알고 있나요? 보안 관련 사고에 개입할 준비가 되어 있나요?

퓨어스토리지가 최근 진행한 패널 토론에 참석한 한 CISO는 “전투가 일어나면, 다양한 개성이 나타나고, 대비했던 것들이 시험대에 오르곤 합니다.”라고 말했습니다. 그렇기 때문에 중요한 순간에 행동할 수 있도록 잘 준비된 긴급 대응팀을 갖추는 것이 중요합니다. 여기에는 다음이 포함될 수 있습니다:

• 디지털 포렌식 전문가. 이 그룹은 조사 결과의 무결성을 유지하고 증거로서의 적합성을 보장하기 위해, 세부 절차에 따라 영향을 받은 컴퓨터와 보안 로그(영문자료) 및 기타 도구에서 증거를 수집하고 분석합니다. 여기에는 보안 로그 데이터를 사용하여 이벤트 발생 원인 재구성, 물리적 및 가상 디바이스에서 손실된 데이터 복원, 인시던트 증거 수집 및 분석, 디지털 증거의 입증 가능한 보관 체인 확보, 법 집행 기관과의 연락 및 협력, 법적 절차에서의 증언 등이 포함됩니다.
• 법률 자문. 법률 고문은 사고와 관련된 의무, 잠재적 갈등 및 책임을 이해하는 데 도움을 줍니다. 법률 고문은 법 집행기관, 수사기관 및 이해관계자와 소통하는 방법에 대해 조언할 수 있으며, 정책 및 절차 초안을 작성할 때 귀중한 의견을 제공할 수 있습니다.
• 정보보안(InfoSec). 정보보안은 특히 데이터 보안과 관련된 사이버 보안의 하위 집합입니다. 정보보안팀은 중요한 보안 관련 사고의 조사, 평가, 추적, 해결 및 보고를 조정합니다. 또한 보안 침해 프로토콜을 제정하고 보안 사고를 보고해야 하는지 여부를 결정하는 역할을 담당합니다.
• 정보 기술. 당연히 IT 팀은 긴급 대응의 모든 단계에 적극적으로 참여하게 됩니다. 여기에는 모든 IT 및 네트워크 자산과 엔드포인트의 매핑, 보안 사고 상황의 식별 및 평가, 피해를 최소화하기 위한 봉쇄 조치, 위협의 근절 또는 제거, 시스템을 이전 상태로 복원, 향후 보안 및 사고 대응 노력을 개선하기 위한 사후 분석 등이 포함됩니다.
• 미디어 관계 및 기업 커뮤니케이션. 조직은 보안 사고가 발생하는 동안과 그 이후에 일관되고 정확한 설명을 전달할 수 있어야 합니다. 미리 정해진 연락 창구를 통해 내부 커뮤니케이션을 포함한 커뮤니케이션을 통제 및 조정하고 언론 매체, 관련 비즈니스 조직 및 외부 이해관계자와의 커뮤니케이션을 관리할 수 있습니다.
• 투자자 관계. 보안 사고 발생 시 소중한 파트너 및 투자자와 소통할 한 담당자 또는 팀을 지정하면, 이들이 질서 있는 커뮤니케이션을 하고 사고의 재정적 영향을 평가하는 데 도움이 됩니다.
• 보안 사고 관리자. 보안 사고 관리자는 ERT 구조의 최상위에 위치합니다. 보안 사고 관리자의 임무는 ERT의 모든 조치를 조정하고, 각 팀원이 각자의 행동을 수행하도록 하며, 결과를 요약하고, 문제를 상위 경영진에게 전달하고, 필요한 경우 임시 역할을 할당하는 것입니다.
• 기타 중요한 팀원. 필요에 따라 팀에는 사이버 보험 제공업체(영문자료)와 지역 또는 국가 법 집행 기관이 포함될 수 있습니다.

필요한 기술

보안 침해 또는 공격이 발생한 후에는 컴퓨팅 리소스가 종료되고 손상된 리소스가 압수, 격리되거나 조사관이 사용해야 할 수 있습니다. 사전에 설정하고 테스트한 단계적 복구 환경(영문자료)은 안전하고 깨끗한 IT 환경을 제공하여 중요한 시스템을 최대한 빨리 온라인 상태로 복구할 수 있도록 지원합니다.

• 변경 불가능한 스냅샷. ‘데이터 스토리지용 에어백’이라는 별명을 가진 변경 불가능한 스냅샷은 기존 데이터 보존 정책에 따라 무단 수정 및 삭제로부터 데이터를 보호합니다. 랜섬웨어는 초기 침투 및 정찰 후 데이터를 실행, 암호화 및/또는 유출(영문자료)을 시도합니다. 스냅샷이 없고 랜섬웨어 공격으로 백업 데이터 또는 백업 메타데이터가 암호화되면 데이터를 복구할 가능성이 희박해져 몸값 요구에 취약해집니다(영문자료).
• 복구를 위해 깨끗한 어레이를 제공하는 사이버 복구 서비스수준협약(SLA).
• 데이터 ‘벙커’를 갖춘 계층형 복원력 아키텍처. 계층형 백업 아키텍처(영문자료)는 모두 복원력에 관한 것입니다. 계층형 백업 아키텍처는 데이터가 항상 복구에 가장 적합한 위치에 있도록 보장하여 제로 복구시간목표(RTO) 달성을 지원합니다. 계층화된 스냅샷은 백업 아키텍처를 격리하여 재해 발생 시 가용성을 더욱 보장합니다.

퓨어스토리지 플랫폼으로 보안 사고에 대한 복원력 유지

데이터 스토리지 플랫폼이 ‘주요 사고들’를 ‘대응 가능한 사고들로 만들 수 있다면 어떨까요? 퓨어스토리지 어레이는 공격을 막을 수는 없지만, 공격을 견뎌내고 신속하게 복구할 수 있는 능력을 제공합니다. 그 방법은 다음과 같습니다.

퓨어스토리지 세이프모드 스냅샷(SafeMode Snapshot)은 업계에서 이러한 이점을 제공하는 유일한 스냅샷입니다. 세이프모드 스냅샷은 ‘슈퍼 불변+’라고 불리는데, 기존의 불변 스냅샷과 마찬가지로 일단 저장되면 그 안에 포함된 데이터를 변경, 편집, 덮어쓸 수 없습니다. 하지만, 퓨어스토리지의 세이프모드 스냅샷은 퓨어스토리지 어레이에 대한 관리 권한이 있는 사용자나 프로세스에서도 삭제할 수 없다는 큰 장점을 가지고 있습니다.

엔터프라이즈급 서비스형 스토리지인 에버그린//원(Evergreen//One)을 구독한 사용자에게는 사이버 복구 및 복원력 SLA를 통해 리스크를 완화할 수 있는 특별한 애드온 서비스를 제공합니다:

• 깨끗한 복구 어레이를 영업일 기준 익일 배송*
• 복구 계획 최종화까지 48시간 소요
• 시간당 8TiB의 데이터 전송 속도
• 복구 계획을 최종화하기 위한 기술 서비스 엔지니어링 팀과 어레이 도착 시점부터 영향을 받은 서비스 인프라 교체까지 현장 전문 서비스 엔지니어를 포함한 번들 서비스 제공
• 퓨어스토리지가 직접 작성하고 고객과 함께 검토하는 분기별 사이버 복원력 보고서
• 보고서에서 확인된 취약점을 해결하고자 하는 경우, 제공되는 퓨어스토리지 보안 아키텍처의 문제 해결 서비스

사이버 복원력은 강력한 데이터 보안과 팀 간 협업에서 시작됩니다. 퓨어스토리지와 451 Research의 새로운 보고서를 다운로드(영문자료)하여 IT 운영과 보안 코호트 간의 관계 개선에 대해 알아보세요.

*배송 일정: 북미 및 EMEA 지역에 어레이를 익일(영업일 기준) 배송합니다. 아시아 및 호주/뉴질랜드 지역은 영업일 기준 3일이 소요됩니다. 지역에 따라 빠른 배송이 가능할 수 있습니다.