벨기에 NIS2 법률에 설명된 신원 보안

Silverfort 영상
3
차례

이 게시물을 공유하기 :

벨기에는 2월에 NISXNUMX를 국가법으로 전환한 최초의 유럽 국가였습니다. “NIS2법”. 이는 정치적 불안정성으로 인해 이전 과정에서 모두 늦게 진행된 프랑스, ​​네덜란드, 독일 이웃들과 긍정적인 방식으로 그들을 차별화했습니다.

동시에 NIS2 준수를 시행하는 현지 기관인 CCB(Center for Cybersecurity Belgium)가 다음을 발표했습니다. 세이프온웹@워크 이니셔티브. 이는 조직의 규모와 활동 부문을 기반으로 법률에서 요구하는 모든 조치에 대한 자세하고 실용적인 프레임워크를 제시합니다.

CCB의 권장 사항을 자세히 살펴본 후 이 블로그 게시물에서는 다음과 관련된 주요 요구 사항을 분석합니다. 신원 보안, 모든 벨기에의 "필수" 및 "중요" 기관이 구현해야 할 것입니다. 또한 우리는 어떻게 강조할 것인가 Silverfort 이러한 조직이 이러한 조치를 준수하도록 도울 수 있습니다.

CCB의 접근 방식은 주로 다음에서 가져옵니다. NIST CSF 프레임워크, 정보 시스템을 보호하기 위한 5가지 핵심 기능인 식별, 보호, 탐지, 대응 및 복구를 식별합니다. 벨기에의 NIS2법은 각 기관의 규모와 중요성에 비례하여 각 기능에 대한 투자를 요구합니다. 또한 Safeonweb@work 프레임워크에서 정보 시스템의 보안을 설계하고 강화하기 위한 효과적인 조치를 수립하는 ISO27001 및 ISO27002 표준에 대한 수많은 참조를 찾을 수 있습니다. 이러한 표준은 전 세계적으로 인정을 받았으며 모든 조직이 사이버 보안 프로그램을 구축할 수 있는 견고한 기반을 구성합니다.

보호 NIS2의 요구 사항

NIST 프레임워크의 5가지 기능 각각에는 ID 구성 요소가 있습니다. 그러나 CCB의 권장 사항에서 보호 및 탐지에 대한 장이 분명히 가장 관련성이 높습니다. 전자에는 ID 관리에 전념하는 전체 섹션(PR.AC)도 포함됩니다. 인증, 그리고 액세스 제어. ID 전문가는 디렉토리와 사용자 보안과 관련된 주요 조치를 찾을 것입니다.

Safeonweb@work 문서의 부록 A에 있는 "기본" 보증 수준에서는 규모나 중요도 수준에 관계없이 NIS2의 적용을 받는 모든 기관에 적용되는데, "핵심" 측정 항목의 절반 이상이 정확히 PR.AC 섹션에서 나온다는 사실을 강조할 가치가 있습니다. 따라서 CCB의 정보 시스템 보안 프레임워크에서 신원이 차지하는 비중을 강조하기 어렵습니다.

따라서 우리는 NIS2의 적용을 받는 모든 기관에 필요한 이러한 주요 조치에서 다음을 발견합니다.

  • 사용자 및 자격 증명에 대한 적절한 관리에는 프로비저닝 및 액세스 권한 취소, 정기 감사, 강력한 인증 중요 시스템에 대한 보안 강화 및 의심스러운 행동 감지(PR.AC-1)
  • 원격 액세스 및 SaaS 애플리케이션 보안 MFA (PR.AC-3).
  • 구현 최소 특권 특히 민감하거나 중요한 시스템에 대한 접근 권한을 강화하고 개인 계정과 관리 계정을 분리합니다(PR.AC-4).
  • 네트워크 보안 및 중요 시스템 세분화(PR.AC-5).

"중요" 또는 "필수" 보증 수준(부록 B 및 C 참조)에 속하는 엔터티의 경우 추가 조치도 의무화되어 있습니다. 여기에는 원격 액세스에 대한 식별 및 거버넌스(PR.AC-3), 주요 외부 및 내부 경계 주변의 연결 및 통신에 대한 보다 엄격한 모니터링(PR-AC-5), 문서화된 위험 평가, 각 거래의 위험에 비례하는 액세스 제어 구현(PR.AC-7, "필수" 보증 수준에서만 해당)에 대한 요구 사항이 포함됩니다.

구체적으로 말해서, 이러한 조치는 무엇을 의미할까요? 답은 각 기관의 규모와 중요성 수준에 따라 다릅니다. 그러나 전반적으로 CCB의 접근 방식은 실용적이며, 비즈니스 환경에서 이미 흔히 볼 수 있는 도구만 요구합니다(IAM 플랫폼, 방화벽, MFA). 레거시 시스템을 운영하는 필수 엔터티의 경우 추가 투자가 필요할 수 있습니다. 이는 현대 보안 제품과 기본적으로 호환되지 않기 때문입니다. 그 외에는 사이버 보안 관점에서 뒤처진 회사만이 진정으로 새로운 기술을 획득해야 합니다.

PR.AC 섹션을 넘어, 액세스 제어는 휴면 데이터를 보호(PR.DS-1), 조직 자산의 손실, 오용, 손상 또는 도난(PR.DS-3) 및 데이터 유출(PR.DS-5)을 방지하기 위해 설계된 조치에도 나타납니다. 정기적인 감사도 권장됩니다. Active Directory 명시적으로 언급됨(PR.DS-5) – 공격 경로를 열 수 있는 권한 오류 구성을 감지합니다.

마지막으로, 중요 시스템의 무결성을 유지 관리하고(PR.DS-6) 원격 유지 관리를 둘러싼 위험을 완화하기 위한 요구 사항(PR.MA-2)은 아마도 권한이 있는 액세스에 대한 세션 기록을 의미할 것입니다.

Detection System NIS2의 요구 사항

Safeonweb@work 이니셔티브의 "Detect" 기능에는 신원 분야와 관련된 여러 기사도 포함되어 있습니다. 놀랍지 않게도, 이러한 기사는 "Protect" 기능에 나타난 권장 사항을 아주 깔끔하게 반영합니다.

이벤트 데이터(DE.AE-1 및 3)를 집계하는 것은 무엇보다도 "핵심" 측정으로 나타나며, 특히 중요한 시스템에 주의를 기울입니다. 이 데이터는 물리적 액세스 및 사용자/관리자 보고서를 포함한 여러 소스에서 나와야 합니다.

조직은 특히 내부 인력과 외부 서비스 제공자(DE.CM-1, DE.CM-3, et DE.CM-6) 모두에서 승인되지 않은 로컬, 네트워크 또는 원격 연결(DE.CM-7)에 대해 중요한 시스템을 모니터링해야 합니다. 이러한 노력은 네트워크 및 엔드포인트 수준에서 감시 도구를 의미합니다. 일부는 액세스 포인트와 도메인 컨트롤러를 포함하는 포괄적인 보호 플랫폼으로 한 단계 더 나아가 EDR을 결합할 것을 제안할 수도 있습니다. ITDR.

전반적으로 이러한 조치는 데이터 유출이나 손상을 차단하도록 설계된 악성 활동(PR.DM 및 PR.MA)에 대한 "보호" 기능에서 제시된 요구 사항을 반영합니다.

어떠한 Silverfort NIS2 규정 준수에 도움이 필요하세요?

Silverfort 이러한 요구 사항 중 많은 부분을 준수하는 데 도움이 될 수 있습니다. 단 1개월 만에 인프라에 큰 변경 없이 당사 플랫폼은 다음을 수행할 수 있습니다.

  • PR.AC-1 :
    • 공유 계정 식별
    • 오래된 계정 식별
    • 이전 비밀번호를 사용하는 계정 식별
    • MFA(Microsoft Authenticator, Okta, Ping과 호환)를 사용하여 레거시 또는 온프레미스를 포함한 중요 시스템에 대한 액세스를 보호합니다. 듀오, Yubico 등) 또는 동적 위험 기반 정책

SilverfortITDR 화면에서 다음을 감지합니다. 섀도우 관리자실시간으로 숨겨진 특권 액세스 위험을 강조합니다.
  • PR.AC-3 :
    • 의심스러운 원격 액세스 시도에 대한 경고 또는 차단
    • 원격 액세스(RDP, SSH), 명령줄 인터페이스(PowerShell, PsExec의, WMI), MFA를 갖춘 SaaS 또는 온프레미스 애플리케이션
  • PR.AC-4 :
    • 모든 일반 계정과 공유 계정을 식별하고 모니터링합니다.
    • 온프레미스에 있는 경우에도 파일 공유, 서버, 애플리케이션, 데이터베이스 등에 대한 모든 인증을 식별하고 모니터링합니다.
    • 모든 것을 식별하고 모니터링합니다 특권 계정, 섀도우 관리자 및 도메인 관리자 포함
    • 계층화 원칙을 위반하는 모든 인증(예: 관리 작업을 위한 개인 계정이나 장치 또는 그 반대)을 감지 및/또는 차단합니다.
    • 위반된 모든 인증을 감지 및/또는 차단합니다. 최소 특권
    • 지리적, 타이밍 또는 행동적 요소를 고려하는 관리 계정 및 도구에 대한 적응형 조건부 액세스 정책을 배치합니다.

  • PR.DS-5 :
    • 온프레미스를 포함한 모든 중요 시스템과 애플리케이션에 대한 세부적인 액세스 정책을 수립합니다.
    • 온프레미스를 포함한 중요 시스템에 대한 모든 악의적인 액세스를 모니터링하고 차단합니다.
    • 회계 감사 Active Directory 권한 증가 및 잘못된 구성을 감지합니다.
  • PR.DS-7 :
    • 생산 또는 테스트 환경의 무결성을 침해하는 인증 차단
    • 관리자 계정의 권한을 특정 환경이나 애플리케이션으로 제한합니다.

중지를 위한 정책 예 측면 운동 PROD에서 Application X 서버의 원격 관리를 위해 최소 권한을 구현합니다. 
  • PR.MA-2 :
    • 특정 환경이나 애플리케이션에 대한 외부 공급자의 액세스 권한을 모니터링하고 제한합니다.
    • 외부 공급자 또는 파트너의 원격 액세스를 보호하세요. MFA
    • 외부 공급자 또는 파트너 계정을 하이재킹하려는 모든 시도나 비정상적인 행동을 차단합니다.

예제 정책 Silverfort 1계층 계정으로 MFA를 트리거하려면 원격 액세스용
  • DE.AE-1 :
    • 모두 기록 Active Directory 출처, 대상, 프로토콜 및 타임스탬프를 포함한 인증
    • 모든 항목에 대한 동적 위험 점수를 계산합니다. Active Directory 계정 및 인증
  • DE.CM-1 :
    • 승인되지 않은 인증을 감지하고 차단합니다. Active Directory 또는 다른 호환 디렉토리(WFP, 반경, Entra ID, 옥타, 핑…).
  • DE.CM-7 :
    • 중요 시스템에 대한 승인되지 않은 인원 접근을 감지하고 차단합니다.
    • 중요 시스템에 대한 승인되지 않은 소프트웨어 액세스를 감지하고 차단합니다.

기대치를 넘어서는 것이 가치가 있을까?

종종 Safeonweb@work 이니셔티브는 반드시 의무화하지는 않지만 정보 시스템 보안에 기여할 추가 조치를 제안합니다("고려"라는 단어를 정기적으로 사용함으로써). 또한 다른 기관에서 사용하는 간단하고 일반적인 위생 조치도 생략합니다. 프랑스의 ANSSI, 더 강력하게 주장했습니다.

이 범주에서 중요한 시스템이나 사용자의 계층화를 언급할 수 있습니다. CCB는 개인 및 관리 작업(PR.AC-4)에 별도의 계정을 사용하고 네트워크 세분화(PR.AC-5)를 요구합니다. 그러나 관리 작업을 위해 전용 워크스테이션(PAW)이나 운영 체제를 의무화하지는 않으며, 이는 Pass-the-Hash와 같은 특정 종류의 공격을 피하는 데 도움이 됩니다.

또 다른 예: CCB는 자동화된 프로세스에 서비스 계정을 사용할 것을 권장합니다(PR.AC-1). 그러나 관리자가 자신의 계정을 사용하여 자동화된 작업을 실행하는 것을 금지하지 않으며, 의도한 목적에서 벗어나는 작업에 서비스 계정을 사용하는 것을 금지하지도 않습니다.

이는 벨기에 조직, 특히 NIS2에 따른 "필수" 기관에 놓친 기회일 수 있으며, 미래의 공격자가 성공적으로 악용할 수 있습니다. CCB는 분명히 보안상의 이점을 평가하려고 시도했으며, 금융 또는 내린 각 결정에 관련된 운영 비용. 결과는 그럼에도 불구하고 견고하며, 지금까지 보안 태세를 소홀히 했던 많은 지역 조직의 기준을 분명히 높였습니다. 그러나 최근 몇 년 동안 급증한 더욱 정교한 사이버 공격에 대한 국가 면역을 제공하지는 못할 것입니다.

방법에 대해 자세히 알고 싶습니다. Silverfort NIS2의 ID 보안 측면을 해결하는 데 도움을 주실 수 있나요?  전화 예약 전문가와 상담하거나 이 양식을 작성하여 가격 견적.

우리는 신원 보안을 한층 더 강화하기로 했습니다.

무엇이 가능한지 알아보세요.

데모를 설정하여 확인하세요 Silverfort 실제 사용 중인 ID 보안 플랫폼입니다.

데모 받기