그래서 보안팀은 이번 분기에 수백 개의 취약점을 패치하는 데 시간을 쏟았다. 대시보드는 안심되는 녹색으로 빛나고, 모두가 하이파이브를 나눈다. 그 후 최고 경영진으로부터 ‘우리가 정말로 더 안전해졌나?’라는, 영혼을 갉아먹는 질문이 돌아온다. 모두가 알고 싫어하는 어색한 침묵이 흐른다. 왜냐하면 솔직한 대답—그리고 대부분의 리더들이 짐작하는—은 아마도 ‘아니오’이기 때문이다.
이것은 새로운 문제가 아니다. 규모나 예산에 상관없이 모든 보안팀을 괴롭히는 영원한 질문이다. 우리는 무슨 일이 일어날 수 있는지에 대한 데이터는 넘쳐나지만, 우리의 고유한 비즈니스 운영에 실제로 어떤 위험이 있는지에 대한 맥락은 굶주리고 있다. 바로 이 ‘노출 관리’라는 장사꾼들이 등장하는 이유다. 그 아이디어는 숭고하다: 티켓을 닫는 것과 실제로 위험을 줄이는 것 사이의 거대한 간극을 메우는 것. 시장은 예상대로, 각자 달을 약속하는 플랫폼의 쓰나미로 응답했다. 하지만 늘 그렇듯, 중요한 질문은 그들이 무엇을 한다고 주장하는가가 아니라, 실제로 무엇을 제공하는가이다. 그리고 더 중요하게는, 이 모든 소음의 대가를 누가 챙기고 있는가?
보안의 환상: 왜 패치 수는 거짓말하는가
나는 20년 동안 실리콘밸리가 존재하지 않는 문제, 또는 부분적으로만 이해한 문제에 대한 해결책을 쏟아내는 것을 지켜봐 왔다. 이번 노출 관리 추진은 섬뜩할 정도로 익숙하다. 이 새로운 위젯을 사기만 하면 위험이 마법처럼 줄어들 것이라고 한다. 하지만 이 플랫폼들은 근본적으로 무엇인가? 원본 기사는 그것들을 네 가지 맛으로 분류하는데, 솔직히 말하면 대부분은 같은 오래된 한계를 포장하는 다른 방식일 뿐이다.
꿰매어 붙인 포트폴리오 플랫폼이 있다. 이것들을 사이버 보안의 프랑켄슈타인 괴물이라고 생각하라. 대형 업체가 작은 전문 도구들—취약점 스캐너, 클라우드 보안 장치 등—을 삼키고 자신들의 로고를 붙이는 식이다. 통합된 것처럼 보이게 할 수는 있지만, 내부적으로는 각 부분이 자체 사일로에서 작동한다. 다른 언어를 사용하고, 다른 데이터 모델을 쓰며, 서로의 존재를 거의 인정하지 않는다. 그래서 물론 많은 발견 사항을 얻겠지만, 그것들을 상관관계로 묶는 것은? 공격자가 악용할 수 있는 취약점의 체인을 이해하는 것은? 행운을 빈다.
그 다음에는 데이터 통합 플랫폼이 있다. 이들은 보안 세계의 디지털 사서들이다. 기존 도구들이 뱉어내는 모든 데이터를 흡수하여 어떤 종류의 질서로든 분류하고 보기 좋게 제시하려고 한다. 문제는? 그들은 주어진 것만으로 작동할 수 있다는 것이다. 기존 스캐너가 연결되지 않고 맥락 없는 노이즈를 생성한다면, 결국 그 똑같은 연결되지 않은 노이즈의 더 예쁜 버전만 얻게 될 것이다. 마법 같은 상관관계도, 더 깊은 통찰력도 없다. 마치 신선한 재료는 잔뜩 있지만 요리사는 없는 것과 같다.
다음은 단일 도메인 전문 플랫폼이다. 이들은 한 가지 일에 매우 능숙하다. 클라우드 설정 오류의 달인이거나, 외부 공격 표면에 레이저처럼 집중할 수도 있다. 깊이 파고들 수 있고, 좁은 틈새에서는 확실한 정보를 얻을 수 있을 것이다. 문제는? 실제 공격자들은 한 도메인에만 머무르지 않는다. 그들은 잘못 설정된 S3 버킷에서 훔친 자격 증명으로, 또는 내부 서버에서 발견된 오래된 하드웨어의 잊혀진 CVE로 이동한다. 플랫폼이 퍼즐의 한 조각만 본다면, 더 크고 무서운 그림을 놓치게 된다.
마지막으로, 소위 통합 플랫폼이다. 이들은 실제로 사물이 어떻게 연결되는지 이해하도록 처음부터 구축된 것들이다. 자격 증명, 설정 오류, 악용 가능한 취약점, 신원 문제 등 다양한 유형의 노출을 단일 엔진 내에서 발견하고 상관관계로 묶도록 설계되었다. 여기서 꿈꾸는 것은 환경의 디지털 트윈을 구축하여, 공격자가 온프레미스 서버, 클라우드 인스턴스 및 그 사이의 모든 것을 통해 실제로 A 지점에서 B 지점으로 어떻게 이동할 수 있는지 매핑하는 것이다.
과대광고와 실질적 도움을 구분하는 5가지 질문
건축은 중요하다. 그것은 우리가 실제로 무엇을 볼 수 있는지, 무엇을 신뢰할 수 있는지, 그리고 우리가 직면한 위협에 대해 무엇을 할 수 있는지를 결정한다. 그러니 이 번쩍이는 새 플랫폼을 평가할 때, 판매 제안에 그냥 고개만 끄덕이지 마라. 어려운 질문을 시작하라.
1. 실제로 무엇을 볼 수 있으며, 얼마나 깊이 이해하는가?
이것이 기본이다. 공격자들은 CVE만 악용하는 것이 아니다. 그것은 그림의 약 1/4에 불과하다. 나머지는? 훔친 자격 증명, 엉성한 설정, ‘모두에게 열쇠’로 설정된 권한, 그리고 일반적인 신원 문제의 혼돈을 생각하라. 꿰매어 붙인 플랫폼은 획득한 부품의 최소 공통 분모에 의해 제한된다. 통합기는 흡수하는 데이터 피드의 포로다. 단일 도메인 전문가는 말 그대로 전문가다. 진정으로 통합된 플랫폼은 다양한 유형의 노출을 기본적으로 발견해야 하며—AI 워크로드와 아무도 이야기하지 않는 귀찮은 머신 신원과 같은 새로운 것도 따라잡아야 한다.
하지만 무언가를 보는 것만으로는 충분하지 않다. 플랫폼은 그것에 대해 무엇을 알고 있는가? 다른 도구에서 데이터를 빨아들이는 플랫폼은 해당 도구가 수집하기로 한 피상적인 세부 정보에 갇혀 있다. 기본 탐색기는 장점이 있다. 각 노출에 대한 인텔의 깊이, 얼마나 쉽게 악용될 수 있는지부터 정확히 어떻게 수정할 수 있는지까지 제어한다. 플랫폼이 특정 유형의 노출을 놓친다면 그것은 맹점이다. 그것들을 보지만 표면 수준의 정보만 제공한다면, 당신은 그냥 노이즈 속을 헤매고 있는 것이다.
2. 내 전체 환경에 걸쳐 공격 경로를 매핑할 수 있는가?
일부 꿰매어 붙인 플랫폼은 ‘공격 경로’를 보여주지만, 이것들은 종종 네트워크 지점 사이에 그려진 이론적인 선일 뿐이다. 실제 공격자 행동을 모델링하지는 않는다. 통합기는? 경로를 전혀 보여주지 않는다. 그냥 연결되지 않은 문제 목록만 얻는다. 실제 테스트는 플랫폼이 다른 환경의 경계를 넘어가는 경로를 추적할 수 있는지 여부이다. 해킹된 온프레미스 기계에서 클라우드 자격 증명을 캡처하는 공격자는, 악용이 클라우드 외부에서 시작되었기 때문에 모든 정교한 클라우드 방어를 우회할 수 있다. 자체적으로는 낮은 우선순위로 보이는 취약점도, 오래된 하드웨어의 노출된 CVE에 접근할 수 있게 해준다면 중요한 발판이 될 수 있다.
“실제 테스트는 플랫폼이 환경 경계를 넘는 경로를 추적할 수 있는지 여부입니다. 온프레미스에서 클라우드 자격 증명을 캡처하는 공격자는 모든 클라우드 네이티브 방어를 우회할 수 있습니다. 경로가 클라우드 플랫폼의 가시성 외부에서 시작되었기 때문입니다.”
이것이 진정으로 통합된 플랫폼이 빛나는 곳이다. 그것들은 개별 위협의 게시판이 아니라, 위험의 연결된 지도를 구축하고 있다. 외부 웹 앱의 약점이 클라우드에 저장된 민감한 고객 데이터 침해로 이어지는 정확한 방법을 보여주거나, 데이터 센터의 패치되지 않은 서버가 원격 작업자의 액세스 토큰을 위한 관문이 되는 방법을 보여줄 수 있어야 한다.
3. 내 비즈니스 영향에 기반하여 위험을 우선순위로 지정하는가?
이것이 수백만 달러짜리 질문이며, 대부분의 플랫폼이 실수하는 질문이다. CVSS 점수나 악용 가능성을 기준으로 취약점이 ‘치명적’이라고 말해준다. 훌륭하다. 하지만 그 취약점이 마케팅 블로그를 호스팅하는 서버에 있다면? 급여를 처리하는 서버의 동일한 CVSS 점수만큼 중요할까? 아니다. 플랫폼의 진정한 가치는 중요한 자산, 비즈니스 프로세스를 이해하고 위협을 비즈니스를 유지하는 것에 직접 연결하는 능력에서 나온다. 이를 위해서는 깊은 자산 인벤토리와 맥락화가 필요하다. 많은 플랫폼은 일반적인 위험 점수만 제공한다. 귀하의 조직의 고유한 위험 선호도 및 비즈니스 우선순위에 맞춰진 점수가 필요하다.
4. 무엇이 잘못되었는지 알려주는 것 이상으로, 복구는 어떻게 처리하는가?
발견은 한 가지다. 수정은 다른 것이다. 좋은 노출 관리 플랫폼은 단순히 문제 목록을 책상 위에 던져주어서는 안 된다. 팀이 효과적인 복구를 하도록 안내해야 한다. 실행 가능한 복구 단계를 제공하는가? 작업을 자동으로 만들기 위해 티켓팅 시스템과 통합할 수 있는가? 수정을 수행하는 사람들에게 왜 패치가 필요한지 이해하도록 맥락을 제공하는가? 해결에 대한 명확하고 효율적인 경로를 제공하지 않고 취약점을 강조하는 것은 단지 더 많은 일을 만드는 것뿐이다. 최고의 플랫폼은 실패를 표시하는 것이 아니라 수정을 조율하는 데 도움을 줄 것이다.
5. 실제로 우리 팀의 효율성과 효과성을 개선하는가?
이것이 궁극적인 시험대다. 모든 판매 제안과 눈부신 시연 후에, 이 플랫폼이 실제로 보안팀의 삶을 더 쉽게 만들고 그들의 작업을 더 영향력 있게 만드는가? 아니면 관리해야 할 또 다른 도구, 지켜봐야 할 또 다른 대시보드, 경고 피로의 또 다른 원천일 뿐인가? 워크플로우를 간소화하고, 위협 분석의 수동 노력을 줄이며, 명확하고 맥락화된 통찰력을 제공하는 플랫폼은 위험을 줄이는 팀의 속도와 정확성을 눈에 띄게 향상시켜야 한다. 복잡성을 더하거나 가치를 추출하기 위해 막대한 수동 노력이 필요하다면, 그것은 핵심 목적을 달성하지 못한 것이다.
누가 실제로 돈을 버는가?
솔직히 말하자. 보안 시장은 호황을 누리고 있으며, 모든 공급업체는 노출 관리 파이에서 한 조각을 원한다. 개별 포인트 솔루션을 판매해온 회사들은 이제 그것들을 꿰매어 붙여서 당신이 솔기를 알아채지 못하기를 바라고 있다. 다른 사람들은 데이터를 통합하고, 기존 혼란 위에 예쁜 대시보드를 제공한다. 그리고 일부, 통합된 것들은 진정으로 복잡한 문제를 해결하려고 노력하고 있다.
지금 가장 많은 돈을 버는 사람들은 이러한 플랫폼, 특히 기존 기술을 재브랜딩할 수 있는 꿰매어 붙이고 통합된 솔루션을 판매하는 공급업체들이다. 그들은 새로운 범주를 만들고 단순화된 보안의 꿈을 팔고 있다. 최종 사용자에게 있어 진정한 승리는 소음을 뚫고 단순히 허영심 지표가 아닌 비즈니스 위험에 직접 연결된 실행 가능한 정보를 제공하는 플랫폼을 식별하는 데 있다.
궁극적으로 목표는 더 녹색인 대시보드가 아니다. 그것은 더 탄력적인 비즈니스이다. 그리고 그것은 티켓을 닫는 것 이상을 요구한다. 조각들이 어떻게 맞춰지고 공격자들이 그것을 어떻게 악용할 수 있는지 이해해야 한다. 보안의 환상을 사는 데 걸려 넘어지지 마라. 어려운 질문을 하라. 당신의 비즈니스가 그것에 달려 있다.
🧬 관련 통찰
- 더 읽기: TeamPCP의 무자비한 보안 스캐너 납치: 50만 대 기기, 300GB 데이터 도난
- 더 읽기: Bitter의 해킹 용역 공격, MENA 기자들을 강타하며 인도 스파이 활동 재현
자주 묻는 질문
노출 관리란 무엇인가? 노출 관리는 데이터 유출이나 운영 중단을 초래할 수 있는 사이버 위협을 식별, 우선순위 지정 및 완화하는 데 중점을 둔 보안 분야입니다. 단순한 취약점 수치를 넘어 기술적 약점을 실제 비즈니스 위험과 연결하는 맥락을 제공하는 것을 목표로 합니다.
취약점 스캐너는 노출 관리 플랫폼과 같은가? 아니요, 취약점 스캐너는 일반적으로 시스템의 알려진 보안 약점(CVE 등)을 식별하는 단일 솔루션입니다. 노출 관리 플랫폼은 이러한 취약점을 다른 유형의 노출(설정 오류 및 신원 문제 등)과 상관관계로 묶고, 공격 경로를 매핑하며, 비즈니스 영향에 기반하여 완화를 우선순위로 지정하는 것을 목표로 합니다.
통합 플랫폼은 꿰매어 붙인 플랫폼과 어떻게 다른가? 통합 플랫폼은 다양한 유형의 노출을 발견하고 상관관계로 묶도록 설계된 단일 시스템으로 처음부터 구축됩니다. 꿰매어 붙인 플랫폼은 공급업체가 인수한 별도의 도구 모음이며, 원래 구성 요소 간의 깊은 상관관계와 통합된 데이터 모델이 부족한 경우가 많습니다.
