지난 8년 동안 저는 매우 복잡한 하이브리드 환경을 갖춘 대형 다국적 소매업체를 위해 처음부터 ID 및 액세스 관리(IAM) 프로그램을 구축하고 성숙시키는 고유한 과제를 겪었습니다. 첫날에는 저와 노트북, 그리고 수많은 과제뿐이었습니다. 그 규모는 엄청났습니다. 수천 개의 비즈니스 애플리케이션, 수만 대의 서버, 전 세계적으로 거의 50만 명의 직원, 그리고 방대한 공격 표면 제한된 리소스로 보안을 유지해야 합니다. 최선의 노력에도 불구하고 우리는 끊임없이 새로운 보안 위험을 발견했으며, 이는 우리의 역동적인 특성을 강조합니다. 신원 보안.
강력한 IAM 기반 구축
엄격한 규제에서 벗어나 저와 팀은 다음과 같은 설계를 할 수 있었습니다. IAM 고유한 보안 요구 사항에 맞게 조정된 프로그램입니다. 성공적인 IAM 프로그램의 기반을 구축하기 위해 노력했습니다. 수백만 개의 계정과 포괄적인 신원 인벤토리에 기반한 액세스 권한에 대한 강력하고 고도로 자동화된 액세스 관리를 제공합니다. SSO(Single Sign-On)를 구현하여 보호합니다. 다중 요소 인증 (MFA)를 통해 수백 개의 애플리케이션을 보호하고 HR 프로세스와 긴밀하게 연결된 안전한 비밀번호 재설정 기술을 개발했습니다.
이러한 노력에도 불구하고, 우리는 결코 완전히 편안하지 못했습니다. 우리가 여는 모든 문 뒤에 새로운 위험이 있는 듯했습니다. 신원 보안은 새로운 위험이 나타나는 동안 틈을 메우는 끝없는 순환처럼 느껴졌습니다. 현대 IT 환경의 복잡성을 감안할 때, 가장 무해해 보이는 계정조차도 공격자의 진입점이 될 수 있습니다.
이 경험을 통해 나는 다음과 같은 지침 원칙을 개발했습니다. 보안은 공간과 시간의 게임이다. 목표는 보안을 점진적으로 구현하는 것이 아니라 여러 위험을 동시에 완화하는 솔루션에 전략적으로 투자하여 보안팀이 복잡성에 묻히지 않고 위협보다 앞서 나갈 수 있도록 하는 것입니다.
공간과 시간을 창조하다
기존의 보안 개선에는 종종 상당한 시간과 리소스가 소요되는 작은 단계가 포함되며, 문제의 일부만 해결합니다. 예를 들어, SSO 사용이나 비즈니스 애플리케이션을 위한 ID 거버넌스 및 관리(IGA) 구현이 있습니다. 단일 이니셔티브로는 ID 위험을 허용 가능한 수준으로 줄일 수 없습니다. 각 경우 점진적으로 적용되어 더 광범위한 이점을 얻지 못하며, 모두 구현하는 데 많은 시간과 리소스가 필요합니다.
제 과제는 제 팀이 복잡하고, 기술적으로 매우 진보적인 작업을 눈에 띄지 않게 처리하면서 수용할 수 없는 수준의 신원 위험으로 운영되는 것을 방지하기 위한 적절한 투자를 찾는 것이었습니다. 개별 사용 사례와 점진적 수정에서 특정 문제를 해결하면서도 광범위한 보호 및 확장성을 제공하는 투자로 초점을 옮겨야 했습니다. 다시 말해, 팀을 위한 공간과 시간을 만드는 투자입니다.
질문은 ~이야: 복잡성에 얽매이지 않고 어떻게 신원을 신속하게 확보할 수 있을까?
이에 답하려면 다음이 필요하다고 생각합니다. 3단계 접근 방식 조직 전체에서 완벽한 ID 보안 보호를 달성하세요.
천장과 바닥의 게임: 보안 기준선 높이기
열렬한 스포츠 팬으로서, 저는 종종 신원 보안과 팀 스포츠를 비교합니다. 스포츠에서 팀의 성공은 최고 선수에 의해 결정되는 경우가 거의 없습니다. 대신, 가장 약한 고리의 성과에 달려 있습니다. 선수의 '상한선'은 최대 잠재력 성과를 나타내는 반면, '하한선'은 최악의 성과 수준입니다.
신원 보안도 같은 원칙을 따릅니다. 조직은 상한을 목표로 하기 전에 먼저 보안 하한을 높여야 합니다. 따라서 일부 시스템에 대한 하이엔드 보호에만 집중하는 대신, 일반적인 공격 벡터와 보안 위험을 해결하는 광범위하고 기본적인 보안을 구축하는 것이 우선순위여야 합니다.
실제로 이는 강력한 보안 제어를 구현하고 모든 사람이 최신 IAM 모범 사례를 따르고 있는지 확인하는 것을 의미합니다. 사용자 계정 그리고 조직 내의 리소스. 이 기준을 확립함으로써 조직은 가장 중요한 위협을 완화하고 전반적인 위험을 줄이는 회복성 있는 기반을 만듭니다.
이러한 보호 기준이 확립된 후에야 보안 리더는 더욱 진보된 보호로 한계를 높이는 데 집중할 수 있습니다. 그 결과, 여러 위험을 동시에 해결하는 고레버리지 보안 투자는 ROI에 승수 효과를 제공할 수 있습니다.
광범위하고 기본적인 보안을 우선시하고 여러 이점을 제공하는 투자를 활용함으로써 조직은 포괄적이고 확장 가능한 보안 전략을 만들 수 있습니다. 이 접근 방식은 아무리 "사소한" 계정이라도 침해에 취약하게 방치되지 않고 전체 조직이 진화하는 위협으로부터 더 잘 보호되도록 보장합니다.
레버리지를 유리하게 활용하세요
모든 보안 투자가 동일한 가치를 제공하는 것은 아닙니다. 일부 통제는 고립된 문제를 해결하는 반면, 다른 통제는 인접한 위험을 완화하여 레버리지를 생성합니다. 높은 레버리지 투자는 곱해진 수익을 제공하여 관련 위험을 해결해야 하는 긴급성을 줄입니다.
내 경험에 따르면 MFA 또는 사용 제한(예: 제한)을 사용하여 모든 서버 인증을 보호합니다. 서비스 계정 출처 및 목적지에 따라)는 암호 관련 및 액세스 관리 위험을 완화합니다. 품질이 좋지 않은 암호, 암호가 저장되거나 기록된 위치에 대한 불확실성, 순환 부족 인간이 아닌 정체성및 권한이 과도하게 부여된 계정에 대한 우려 사항 등은 적절한 인증 보호 기능이 있는 경우 그다지 시급하지 않은 문제입니다.
반면에 비밀번호가 안전하지 않게 저장되는 것을 방지하는 것은 레버리지로 해결할 수 없는 점진적이고 어려운 문제입니다. 비밀번호는 컴퓨터의 파일, 클라우드 스토리지 계정, 파일 공유 등에서 발견될 수 있습니다. 이 문제만 해결하려면 상당한 노력이 필요하며 다른 똑같이 시급한 위험을 완화하지 못합니다. 비밀번호가 안전하게 저장되어 있더라도 품질이 낮으면 여전히 위험에 처해 있습니다.
레버리지를 활용한 투자를 하면 기술적 위험의 긴급성이 줄어들고, 팀이 보안 한도를 구축할 수 있는 공간과 시간을 확보할 수 있습니다.
광범위한 보호 문제
레드팀 훈련에서 잘 알려진 일화가 있는데, 중요한 요점을 잘 보여줍니다. 고도의 보안 데이터 센터를 침입하기 위해 윤리적 해커가 견고하고 접근이 통제되는 문을 찾았습니다. 그들은 문을 우회하려고 하지 않고, 그 옆에 있는 석고보드 벽을 뚫고 들어갔습니다.
이 이야기는 공격자가 물과 같다는 생각을 하게 했습니다. 그들은 항상 가장 낮은 수준을 찾을 것입니다. 조직이 보안 노력을 제한된 수의 시스템이나 계정으로 제한하면 적대자는 단순히 더 낮은 곳에 매달린 과일로 방향을 바꿀 것입니다. 대부분의 사이버 공격은 재정적 동기가 있고 기회주의적이며 개인적인 것이 아닙니다.
오늘날 우리의 시스템이 얼마나 복잡하고 연결되어 있는지를 고려하면, 아무리 무해해 보이는 계정이라도 안전하거나 보호 우선순위가 너무 낮다고 가정할 수 없습니다. 확장성의 핵심은 확장 용이성을 위해 투자를 평가하는 것입니다.
쉽게 관리할 수 있는 제어 평면을 가능하게 하는 플랫폼은 점진적이고 분산된 제어보다 확장성이 뛰어납니다. 대규모로 구현할 수 없는 강력한 보안 제어는 약한 기반을 만듭니다. 확장성을 달성하려면 이러한 격차를 효율적으로 메우는 포괄적인 접근 방식이 필요합니다.
ID 보안에 대한 균형 잡힌 접근 방식
ID 보안 리더는 복잡하고 까다로운 역할을 합니다. 팀의 공간과 시간을 구매하는 투자를 우선시하면서 광범위한 보안 기반을 구축하는 것이 도움이 될 수 있습니다. 이러한 사고방식과 본질적으로 높은 보안 한도를 선택적으로 구축하도록 장려하는 규정 준수 요구 사항의 균형을 맞추면 환경을 보호하는 데 더욱 도움이 될 것입니다. 사실, 저는 이러한 균형 잡힌 행동이 만 오늘날 환경에서 위험을 줄이는 효과적인 방법입니다.
규모에 따른 위험을 줄이기 위해 레버리지, 광범위한 적용 범위, 중앙 집중식 제어를 제공하는 투자를 우선시하는 것이 중요합니다. 이러한 원칙을 염두에 두면 조직이 효율적으로 신원을 보호하고 복잡성에 빠지지 않고 진화하는 위협보다 앞서 나갈 수 있습니다.
보안 리더들에게 과제는 명확합니다. 강력한 기반을 구축하고, 확장 가능한 보안 솔루션에 투자하고, 보안 노력을 통해 ID 위협 환경보다 앞서 나가는 데 필요한 시간과 공간을 확보해야 합니다.
