데이터 가시성의 병목현상 간과 및 사이버 복원력에 미치는 영향 

조직들은 사이버 위협을 탐지, 대응 및 복구하기 위해 보안 로그에 의존합니다. 그러나 이러한 로그는 전체 데이터를 캡처하고 위협을 실시간으로 탐지할 수 있을 만큼 빠르게 처리할 때만 유용합니다. 

그러나 대부분의 로그에는 데이터 격차가 있어 위협이 크랙을 통과할 수 있습니다. 그 이유는? 스토리지 인프라.

다음은 느리거나 오래된 스토리지가 사이버 복원력을 약화시키는 방법과 이를 해결하는 방법입니다.

데이터 가시성이란?

일반적으로 데이터 가시성은 데이터가 어디에 있는지를 파악하는 것입니다. 안전한 IT 환경을 유지하는 맥락에서 데이터 가시성은 보안 분석입니다. 이는 이상 징후를 탐지하고, 위협을 식별하며, 실시간으로 이를 차단하는 능력을 의미합니다.

여러분은 다음과 같은 생각을 하고 있을 수 있습니다. 이것이 바로 보안 로그가 아닌가요? 예, 하지만 여기 많은 사람들이 부족합니다…

보안 로그: 최일선 방어 – 빠른 속도

보안 로그는 최전선 방어선입니다. 시스템 활동을 추적하여 이상을 탐지하고, 위협을 억제하며, 중요한 포렌식 증거로 사용됩니다. 그러나 데이터의 효율성은 데이터의 품질과 완전성 및 처리 속도에 따라 달라집니다.

오늘날의 사이버 위협은 평균 48분에 불과한 소회의 시간으로 빠르게 이동한다는 것이 과제입니다. 

브레이크아웃 시간은 공격자가 “획득한” 크리덴셜로 일반 사용자로 로그인한 후 권한을 관리자 수준으로 높이는 시간입니다. 공격자가 관리자가 되면 포착하기가 매우 어려워집니다. 더 악화되면서, 브레이크아웃 시간이 짧아지고 있습니다. 한 공격은 27분 만에 기록되었습니다. 보안팀에 실시간 로깅이 부족한 경우, 공격자는 누구나 알아차리기 전에 시스템을 통해 확산될 수 있습니다.

로그 속도가 느리면 손상에 대한 대응을 방해하지 않고 할 수 있습니다. 스토리지 인프라가 바로 여기에 있습니다…

스토리지: 로그 성능을 위한 간과되는 병목 현상

고가의 상품으로 가득 찬 대규모 창고를 상상해 보세요. 이 회사는 연중무휴로 해당 지역을 순찰하는 잠금형 도어, 카메라 및 가드 등 보안을 갖추고 있습니다. 하지만 어느 날 밤, 도둑들이 길을 찾았습니다.

그들은 도난당한 직원 자격 증명을 사용하여 건물에 들어온 다음 청소복을 입고 혼합합니다. 감지되지 않은 상태로 이동하면 알람을 비활성화하고 도어를 잠금 해제합니다.x

도둑들은 다음과 같은 이점을 가지고 있습니다. 카메라는 30분마다만 녹화되며 가드는 충분히 순찰하지 않습니다. 누군가가 무언가 잘못되었다는 것을 알게 되었을 때, 그들은 상품이 가득 찬 트럭을 적재하고 멀어졌습니다.

이는 현재 많은 스토리지가 존재하는 방식을 보여줍니다.

수집(수집) 및 처리 속도가 너무 느리면, 실시간으로 완전한 정보를 수신하지 못해 데이터 격차가 발생합니다.

그런 다음 위협 헌팅 팀은 보안 요원이 선반이 치워진 후에만 의심스러운 움직임에 대해 너무 늦게 경고를 받는 것과 같은 이상 현상을 감지할 수 있습니다.

75%의 조직이 사각지대를 가지고 있습니다.

2024 플렉세라 설문조사에 따르면, 놀랍게도 75%의 IT 리더들이 IT 생태계에 가시성 격차가 있다고 응답했습니다. 이러한 사각지대는 심각한 보안 위험을 야기하며, 데이터 환경이 복잡해짐에 따라 문제가 증가하고 있습니다. 

데이터 가시성의 주요 과제는 다음과 같습니다.

• 압도적인 데이터 볼륨: 보안팀은 기하급수적인 데이터 성장을 따라갈 수 없습니다.
• 단편화된 시스템 및 사일로: 분리된 로그는 위협이 숨어 있는 사각지대를 생성합니다.
• 느린 인프라 지연 감지: 로그를 처리하는 데 시간이 너무 오래 걸리면 보안팀이 충분히 빠르게 대응할 수 없습니다.

물론, 보안 툴을 업그레이드할 수는 있지만, 고성능 스토리지 없이는 최고의 툴도 제한됩니다.

사각지대가 악화될 수 있는 이유

사이버 공격의 빈도와 복잡성이 증가하고 있으므로, 그 어느 때보다 더 많은 데이터를 처리해야 합니다. 이를 위해서는 더 많은 스토리지 용량과 속도가 필요합니다. 스토리지를 따라갈 수 없다면 어려운 선택에 직면하게 됩니다.

• 더 많은 소스에서 보안 로그를 수집하지만, 데이터를 더 느리게 처리합니다.
• 데이터를 신속하게 처리하지만, 더 적은 소스에서 보안 로그를 수집합니다.

두 가지 모두 데이터 격차를 야기하여 조직의 취약성을 증가시키므로, 두 가지 선택 모두 이상적이지 않습니다.

비정상적인 로그인, 예기치 않은 시스템 액세스 또는 권한 에스컬레이션과 같은 작은 활동으로 이상 현상이 시작될 수 있습니다. 이러한 경고 신호가 즉시 탐지되지 않으면 공격자는 시스템을 통해 더 많은 피해를 입힐 수 있습니다.

하지만 그렇게 할 필요는 없습니다.

실시간 이상 탐지의 성능 활용

확장 가능한 고성능 스토리지만이 진정한 데이터 가시성을 제공합니다. 사이버 위협 팀이 실시간으로 이상 징후를 확인할 수 있기 때문에 침해가 발생하기 전에 탐지할 수 있으며, 이를 통해 사이버 복원력을 강화할 수 있습니다.

물류창고의 비유로 돌아가면, 완전한 데이터 가시성을 확보할 수 있는 방법은 다음과 같습니다.

• 카메라는 입구에서 익숙하지 않은 얼굴에 즉시 플래그를 지정하고 즉시 보안 요원에게 이미지를 전송합니다.
• 도둑이 침입하면 카메라와 센서가 이상한 활동을 즉시 감지하고 정확한 위치를 파악하며 가드에 알립니다.
• 도난이 발생하기 전에 보안 요원이 개입합니다.

“올바른 스토리지가 SIEM 운영을 개선하는 방법” 동영상을 자세히 살펴보세요.

퓨어스토리지가 진정한 데이터 가시성을 제공하도록 설계된 방법

모든 데이터는 스토리지에 있습니다. 그러나 스토리지는 문제가 발생할 때까지 간과되는 경우가 많습니다.

주요한 감독은 많은 조직이 최신 사이버 보안 요구 사항에 맞게 구축되지 않은 범용 솔리드 스테이트 드라이브(SSD)를 사용하는 것입니다. 상용 SSD는 모든 소스에서 데이터를 수집하고 완전한 데이터 가시성을 제공할 수 있을 만큼 빠르게 상호 연관시킬 수 있는 속도와 대역폭이 부족합니다.

퓨어스토리지 아키텍처는 이러한 한계를 극복하여 진정한 비정상 가시성을 제공합니다.

퓨어스토리지^® DirectFlash^® 모듈(DFM)은 다음을 통해 기존 스토리지 병목현상을 제거합니다.

• NAND 스토리지에 직접 액세스하여 느린 외부 컨트롤러 우회
• 회선 속도에서 보안 데이터를 수집 및 상호 연관시켜 실시간 인사이트 극대화
• 보안팀을 위한 완전한 데이터 가시성 지원으로 위협이 제때에 포착됩니다.

퓨어스토리지의 타의 추종을 불허하는 유입 및 처리 속도를 통해 사이버 위협 헌팅 팀은 이를 따라잡지 못하고 있습니다. 위협이 발생하기 전에 이를 저지합니다.