Google Cloud 아키텍처 프레임워크의 보안 분야에 있는 이 원칙은 전반적인 보안 전략의 일환으로 강력한 사이버 방어 프로그램을 구축하기 위한 권장사항을 제공합니다.
이 원칙은 방어자의 이점: 사이버 방어 활성화 가이드에 정의된 대로 위협 인텔리전스를 사용하여 핵심 사이버 방어 기능 전반에서 선제적으로 노력을 안내하는 것을 강조합니다.
원칙 개요
사이버 공격으로부터 시스템을 방어할 때는 공격자에 비해 활용도가 낮은 상당한 이점이 있습니다. Mandiant 창립자의 말에 따르면, '여러분의 비즈니스, 시스템, 토폴로지, 인프라에 대해서 공격자보다 여러분 자신이 더 많이 알고 있어야 합니다. 이것은 엄청나게 유리한 점입니다." 이러한 고유한 이점을 활용하는 데 도움이 되도록 이 문서에서는 방어자의 이점 프레임워크에 매핑된 사전 예방적이며 전략적인 사이버 방어 관행에 관한 권장사항을 제공합니다.
권장사항
클라우드 워크로드에 선제적인 사이버 방어를 구현하려면 다음 섹션의 권장사항을 고려하세요.
사이버 방어 기능 통합
이 권장사항은 모든 중점 영역과 관련이 있습니다.
The Defender's Advantage 프레임워크는 사이버 방어의 6가지 핵심 기능인 인텔리전스, 감지, 대응, 검증, 헌팅, 미션 컨트롤을 식별합니다. 각 기능은 사이버 방어 미션의 고유한 부분에 중점을 두지만 이러한 기능은 효과적인 방어를 제공하기 위해 잘 조정되고 함께 작동해야 합니다. 각 함수가 다른 함수를 지원하는 강력하고 통합된 시스템을 만드는 데 집중하세요. 단계적으로 도입해야 하는 경우 다음과 같은 권장 순서를 고려하세요. 현재 클라우드 성숙도, 리소스 토폴로지, 특정 위협 환경에 따라 특정 기능에 우선순위를 둘 수 있습니다.
- 인텔리전스: 인텔리전스 기능은 다른 모든 기능을 안내합니다. 가장 가능성이 높은 공격자, 공격자의 전술, 기법, 절차 (TTP), 잠재적 영향을 비롯한 위협 환경을 이해하는 것은 전체 프로그램에서 작업의 우선순위를 지정하는 데 중요합니다. 인텔리전스 기능은 이해관계자 식별, 인텔리전스 요구사항 정의, 데이터 수집, 분석 및 공유, 자동화, 사이버 위협 프로필 생성을 담당합니다.
- 탐지 및 대응: 이러한 기능은 악의적인 활동을 식별하고 해결하는 적극적인 방어의 핵심을 구성합니다. 이러한 함수는 인텔리전스 함수에서 수집한 인텔리전스에 따라 조치를 취하는 데 필요합니다. 감지 함수에는 감지를 공격자 TTP에 맞추고 견고한 로깅을 보장하는 체계적인 접근 방식이 필요합니다. 응답 기능은 초기 분류, 데이터 수집, 문제 해결에 중점을 두어야 합니다.
- 검증: 검증 기능은 보안 제어 생태계가 최신 상태이며 설계된 대로 작동하고 있음을 보장하는 연속적인 프로세스입니다. 이 기능을 통해 조직은 공격 노출 영역을 파악하고, 취약점이 있는 위치를 파악하며, 제어의 효과를 측정할 수 있습니다. 보안 검증은 탐지 엔지니어링 수명 주기의 중요한 구성요소이기도 하며 탐지 공백을 식별하고 새로운 감지를 생성하는 데 사용해야 합니다.
- 헌팅: 헌팅 기능은 환경 내에서 활성 위협을 선제적으로 검색하는 기능입니다. 이 함수는 조직의 감지 및 대응 기능이 기본 수준의 성숙도를 갖추었을 때 구현해야 합니다. 헌팅 기능은 감지 기능을 확장하고 제어의 공백과 약점을 식별하는 데 도움이 됩니다. Hunt 함수는 특정 위협을 기반으로 해야 합니다. 이 고급 기능은 강력한 인텔리전스, 감지, 대응 기능을 기반으로 합니다.
- 미션 컨트롤: 미션 컨트롤 기능은 다른 모든 기능을 연결하는 중앙 허브 역할을 합니다. 이 기능은 사이버 방어 프로그램 전반에서 전략, 커뮤니케이션, 결정적인 조치를 담당합니다. 이를 통해 모든 기능이 함께 작동하고 조직의 비즈니스 목표에 부합하는지 확인할 수 있습니다. 미션 컨트롤 기능을 사용하여 다른 기능을 연결하기 전에 미션 컨트롤 기능의 목적을 명확하게 이해하는 데 집중해야 합니다.
사이버 방어의 모든 측면에서 인텔리전스 기능 사용
이 권장사항은 모든 중점 영역과 관련이 있습니다.
이 권장사항에서는 인텔리전스 기능을 강력한 사이버 방어 프로그램의 핵심 부분으로 강조합니다. 위협 인텔리전스는 위협 행위자, TTP, 침해 지표 (IOC)에 관한 지식을 제공합니다. 이 지식을 바탕으로 모든 사이버 방어 기능 전반에서 조치를 안내하고 우선순위를 지정해야 합니다. 인텔리전스 기반 접근 방식을 사용하면 조직에 영향을 미칠 가능성이 가장 높은 위협에 대처하도록 방어를 조정할 수 있습니다. 이 접근 방식은 리소스를 효율적으로 할당하고 우선순위를 지정하는 데도 도움이 됩니다.
다음 Google Cloud 제품 및 기능을 사용하면 위협 인텔리전스를 활용하여 보안 운영을 안내할 수 있습니다. 이러한 기능을 사용하여 잠재적 위협, 취약점, 위험을 파악하고 우선순위를 지정한 후 적절한 조치를 계획하고 구현합니다.
Google Security Operations (Google SecOps)를 사용하면 보안 데이터를 중앙에서 저장하고 분석할 수 있습니다. Google SecOps를 사용하여 로그를 공통 모델로 매핑하고, 로그를 보강하고, 로그를 타임라인에 연결하여 공격을 포괄적으로 살펴보세요. 감지 규칙을 만들고, IoC 일치를 설정하고, 위협 헌팅 활동을 수행할 수도 있습니다. 또한 이 플랫폼은 위협을 식별하는 데 도움이 되는 사전 정의된 관리형 규칙인 선별된 감지를 제공합니다. Google SecOps는 Mandiant 일선 인텔리전스와도 통합할 수 있습니다. Google SecOps는 업계를 선도하는 AI와 Mandiant의 위협 인텔리전스, Google VirusTotal을 고유하게 통합합니다. 이 통합은 위협을 평가하고 조직을 표적으로 삼는 공격자와 잠재적인 영향을 파악하는 데 매우 중요합니다.
Google AI를 기반으로 하는 Security Command Center Enterprise를 사용하면 보안 전문가가 여러 클라우드 환경에서 보안 문제를 효율적으로 평가, 조사, 대응할 수 있습니다. Security Command Center의 이점을 누릴 수 있는 보안 전문가로는 보안 운영 센터 (SOC) 분석가, 취약점 및 상황 분석가, 규정 준수 관리자가 있습니다. Security Command Center Enterprise는 보안 데이터를 보강하고, 위험을 평가하며, 취약점에 우선순위를 부여합니다. 이 솔루션은 고위험 취약점을 해결하고 활성 위협을 해결하는 데 필요한 정보를 팀에 제공합니다.
Chrome Enterprise Premium은 위협 및 데이터 보호 기능을 제공하여 무단 반출 위험으로부터 사용자를 보호하고 멀웨어가 기업 관리 기기에 침투하지 못하도록 방지합니다. 또한 Chrome Enterprise Premium은 브라우저 내에서 발생할 수 있는 안전하지 않거나 잠재적으로 안전하지 않은 활동에 대한 가시성을 제공합니다.
Network Intelligence Center와 같은 도구를 통한 네트워크 모니터링은 네트워크 성능을 파악할 수 있도록 지원합니다. 네트워크 모니터링을 통해 비정상적인 트래픽 패턴을 감지하거나 공격 또는 데이터 유출 시도를 나타낼 수 있는 데이터 전송량을 감지할 수도 있습니다.
방어자의 이점 이해 및 활용
이 권장사항은 모든 중점 영역과 관련이 있습니다.
앞서 언급한 바와 같이 비즈니스, 시스템, 토폴로지, 인프라를 철저히 이해하면 공격자보다 유리합니다. 이러한 지식의 이점을 활용하려면 사이버 방어 계획을 수립할 때 환경에 관한 이 데이터를 활용하세요.
Google Cloud 는 위협을 식별하고, 위험을 파악하고, 적시에 대응하여 잠재적 피해를 완화할 수 있도록 다음과 같은 기능을 제공합니다.
Chrome Enterprise Premium은 무단 반출 위험으로부터 사용자를 보호하여 기업 기기의 보안을 강화하는 데 도움이 됩니다. 민감한 정보 보호 서비스를 브라우저로 확장하고 멀웨어를 방지합니다. 또한 멀웨어 및 피싱 방지와 같은 기능을 제공하여 안전하지 않은 콘텐츠에 노출되는 것을 방지합니다. 또한 확장 프로그램 설치를 제어하여 안전하지 않거나 검증되지 않은 확장 프로그램이 설치되지 않도록 할 수 있습니다. 이러한 기능을 사용하면 운영을 위한 안전한 기반을 구축할 수 있습니다.
Security Command Center Enterprise는 포괄적이고 지속적인 위험 분석 및 관리를 제공하는 지속적인 위험 엔진을 제공합니다. 위험 엔진 기능은 보안 데이터를 보강하고, 위험을 평가하고, 취약점을 우선순위로 지정하여 문제를 신속하게 해결하는 데 도움이 됩니다. Security Command Center를 사용하면 조직에서 약점을 선제적으로 파악하고 완화 조치를 구현할 수 있습니다.
Google SecOps는 보안 데이터를 중앙 집중화하고 타임라인이 포함된 보강된 로그를 제공합니다. 이를 통해 방어자는 진행 중인 침해를 선제적으로 식별하고 공격자의 동작에 따라 방어를 조정할 수 있습니다.
네트워크 모니터링은 공격을 나타낼 수 있는 비정상적인 네트워크 활동을 식별하는 데 도움이 되며 조치를 취하는 데 사용할 수 있는 조기 지표를 제공합니다. 데이터 도난을 사전에 방지하려면 데이터 무단 반출을 지속적으로 모니터링하고 제공된 도구를 사용하세요.
방어 체계를 지속적으로 검증하고 개선
이 권장사항은 모든 중점 영역과 관련이 있습니다.
이 권장사항에서는 전체 공격 노출 영역에서 강점과 약점을 파악하기 위해 구체적인 테스트와 제어의 지속적인 검증의 중요성을 강조합니다. 여기에는 다음과 같은 방법을 통해 관리, 운영, 직원의 효과를 검증하는 것이 포함됩니다.
또한 위협을 적극적으로 검색하고 그 결과를 사용하여 감지 및 가시성을 개선해야 합니다. 다음 도구를 사용하여 실제 위협에 대한 방어 기능을 지속적으로 테스트하고 검증하세요.
Security Command Center Enterprise는 취약점을 평가하고 해결 우선순위를 지정하는 지속적인 위험 엔진을 제공하므로 전반적인 보안 상태를 지속적으로 평가할 수 있습니다. Security Command Center Enterprise는 문제의 우선순위를 지정하여 리소스를 효과적으로 사용하도록 지원합니다.
Google SecOps는 위협 사냥 및 선별된 감지를 제공하여 제어의 약점을 사전에 식별할 수 있도록 지원합니다. 이 기능을 사용하면 위협 감지 능력을 지속적으로 테스트하고 개선할 수 있습니다.
Chrome Enterprise Premium은 진화하는 새로운 위협을 해결하고, 무단 반출 위험 및 멀웨어에 대한 방어 기능을 지속적으로 업데이트하는 데 도움이 되는 위협 및 데이터 보호 기능을 제공합니다.
Cloud Next Generation Firewall (Cloud NGFW)는 네트워크 모니터링 및 데이터 유출 모니터링을 제공합니다. 이러한 기능을 사용하면 현재 보안 상태의 효과를 검증하고 잠재적인 취약점을 파악할 수 있습니다. 데이터 유출 모니터링을 사용하면 조직의 데이터 보호 메커니즘의 강도를 검증하고 필요한 경우 사전에 조정할 수 있습니다. Cloud NGFW의 위협 발견 항목을 Security Command Center 및 Google SecOps와 통합하면 네트워크 기반 위협 감지를 최적화하고, 위협 대응을 최적화하고, 플레이북을 자동화할 수 있습니다. 이 통합에 관한 자세한 내용은 클라우드 방어 통합: Security Command Center 및 Cloud NGFW Enterprise를 참고하세요.
사이버 방어 노력 관리 및 조정
이 권장사항은 모든 중점 영역과 관련이 있습니다.
앞의 사이버 방어 기능 통합에서 설명한 대로 미션 컨트롤 기능은 사이버 방어 프로그램의 다른 기능을 상호 연결합니다. 이 기능을 사용하면 프로그램 전반에서 조정 및 통합 관리가 가능합니다. 또한 사이버보안을 담당하지 않는 다른 팀과 협력하는 데도 도움이 됩니다. 미션 컨트롤 기능은 역량 강화와 책임성을 장려하고, 민첩성과 전문성을 촉진하며, 책임감과 투명성을 유도합니다.
다음 제품과 기능을 사용하면 미션 컨트롤 기능을 구현하는 데 도움이 됩니다.
- Security Command Center Enterprise는 사이버 방어 운영을 조정하고 관리하기 위한 중앙 허브 역할을 합니다. 이 도구는 내장된 Google SecOps 대응 기능과 함께 도구, 팀, 데이터를 통합합니다. Security Command Center는 조직의 보안 상태를 명확하게 파악하고 여러 리소스에서 보안 구성 오류를 식별할 수 있도록 지원합니다.
- Google SecOps는 팀이 로그를 매핑하고 타임라인을 만들어 위협에 대응할 수 있는 플랫폼을 제공합니다. 감지 규칙을 정의하고 위협을 검색할 수도 있습니다.
- Google Workspace 및 Chrome Enterprise Premium을 사용하면 민감한 리소스에 대한 최종 사용자 액세스를 관리하고 제어할 수 있습니다. 사용자 ID 및 요청 컨텍스트를 기반으로 세분화된 액세스 제어를 정의할 수 있습니다.
- 네트워크 모니터링은 네트워크 리소스의 성능에 관한 유용한 정보를 제공합니다. 네트워크 모니터링 통계를 Security Command Center 및 Google SecOps로 가져와 다른 타임라인 기반 데이터 포인트와 비교하여 중앙에서 모니터링하고 상관시킬 수 있습니다. 이 통합을 통해 악의적인 활동으로 인한 잠재적인 네트워크 사용량 변경사항을 감지하고 이에 대응할 수 있습니다.
- 데이터 무단 반출 모니터링은 잠재적인 데이터 손실 사고를 식별하는 데 도움이 됩니다. 이 기능을 사용하면 이슈 대응팀을 효율적으로 동원하고, 피해를 평가하고, 추가적인 데이터 유출을 제한할 수 있습니다. 또한 데이터 보호를 위해 현재 정책 및 제어 기능을 개선할 수 있습니다.
제품 요약
다음 표에는 이 문서에 설명된 제품 및 기능이 나열되어 있으며 관련 권장사항 및 보안 기능에 매핑되어 있습니다.
| Google Cloud 제품 | 관련 추천 |
|---|---|
| Google SecOps |
사이버 방어의 모든 측면에서 인텔리전스 기능 사용: 위협 탐색 및 IoC 일치를 사용 설정하고 Mandiant와 통합하여 포괄적인 위협 평가를 수행합니다.
방어자의 이점 이해 및 활용: 선제적인 침해 식별을 위해 선별된 감지를 제공하고 보안 데이터를 중앙 집중화합니다. 방어 체계 지속적으로 검증 및 개선: 위협 감지 기능을 지속적으로 테스트하고 개선할 수 있습니다.미션 컨트롤을 통한 사이버 방어 작업 관리 및 조정: 위협 대응, 로그 분석, 타임라인 생성을 위한 플랫폼을 제공합니다. |
| Security Command Center Enterprise |
사이버 방어의 모든 측면에서 인텔리전스 기능 사용:
AI를 사용하여 위험을 평가하고, 취약점에 우선순위를 지정하며, 해결을 위한 실행 가능한 통계를 제공합니다.
방어자의 이점 이해 및 활용: 포괄적인 위험 분석, 취약점 우선순위 지정, 약점 사전 식별을 제공합니다. 방어 기능을 지속적으로 검증하고 개선: 지속적인 보안 태세 평가 및 리소스 우선순위 지정을 제공합니다.미션 컨트롤을 통한 사이버 방어 노력 관리 및 조정: 사이버 방어 운영을 관리하고 조정하는 중앙 허브 역할을 합니다. |
| Chrome Enterprise Premium |
사이버 방어의 모든 측면에서 인텔리전스 기능 사용:
무단 반출 위험으로부터 사용자를 보호하고, 멀웨어를 방지하며, 안전하지 않은 브라우저 활동에 대한 가시성을 제공합니다.
방어자의 이점 이해 및 활용: 데이터 보호, 멀웨어 방지, 확장 프로그램 제어를 통해 엔터프라이즈 기기의 보안을 강화합니다. 방어 체계 지속적으로 검증 및 개선: 엑스필트레이션 위험 및 멀웨어에 대한 방어 체계를 지속적으로 업데이트하여 새로운 위협과 진화하는 위협을 해결합니다.미션 관리를 통해 사이버 방어 노력 관리 및 조정: 세분화된 액세스 제어를 포함하여 민감한 리소스에 대한 최종 사용자 액세스를 관리하고 제어합니다. |
| Google Workspace | 미션 관리를 통해 사이버 방어 노력 관리 및 조정: 세분화된 액세스 제어를 포함하여 민감한 리소스에 대한 최종 사용자 액세스를 관리하고 제어합니다. |
| Network Intelligence Center | 사이버 방어의 모든 측면에서 인텔리전스 기능 사용: 네트워크 성능에 대한 가시성을 제공하고 비정상적인 트래픽 패턴 또는 데이터 전송을 감지합니다. |
| Cloud NGFW | 방어 체계 지속적으로 검증 및 개선: Security Command Center 및 Google SecOps와 통합하여 네트워크 기반 위협 감지 및 대응을 최적화합니다. |