오늘날 사이버 방어에서 공급망이 가장 약한 링크인 이유
수년간의 경고에도 불구하고 공급망 위험은 여전히 사이버 보안의 가장 취약하고 과소평가되는 측면 중 하나입니다.
올해 가장 충격적이고 세간의 이목을 끄는 사이버 사건 중 상당수는 한 가지 핵심 요소를 공유했습니다. 공격자가 대상 회사로 이동하는 경로는 외부 공급업체를 통해서였습니다.
ThreatAware의 CEO이자 공동 창립자입니다.
사이버 보안의 근본적인 진실은 볼 수 없는 것은 통제할 수 없으며, 네트워크 내부가 아닌 공급망의 외부 공급업체, 공급자 또는 파트너로부터 위험이 발생할 때 그 위험이 배가된다는 것입니다.
그러나 많은 조직에서는 여전히 자체 평가 설문지와 오래된 규정 준수 인증서를 보안 증거로 의존하고 있습니다.
조직이 모든 파트너의 보안을 실시간으로 확인할 수 있을 때까지 보안보다는 가정에 계속 의존하게 될 것입니다. 공격자가 이미 공급망의 약점을 귀하보다 더 잘 이해하고 있다면 이는 위험한 입장입니다.
공급망 공격이 계속 발생하는 이유는 무엇입니까?
주요 이유 중 하나는 공격자가 자신의 노력에 대해 최고의 수익을 얻기를 원하며 잘 방어된 회사에 침입하는 가장 쉬운 방법 중 하나가 파트너를 통하는 것임을 배웠기 때문입니다. 열쇠를 훔쳐 뒷문으로 들어갈 수만 있다면 보안이 잘 되어 있는 건물의 정문을 부수려는 강도는 없을 것입니다.
규모의 이점도 있습니다. 여러 고객에게 IT, HR, 회계 또는 판매 서비스를 제공하는 회사는 자신을 보호할 리소스가 더 적을 수 있으며, 이는 자연스러운 공격 지점입니다.
소규모 공급업체, 서비스 제공업체 및 계약업체는 자신이 지원하는 대규모 조직과 동일한 수준의 보호를 구현하기 위한 예산과 리소스가 부족한 경우가 많지만, 여러 환경에 대한 액세스 권한을 갖고 있는 경우가 많습니다.
해결하려면 공동의 노력이 필요한 광범위한 문제이지만 지금까지의 대응은 부족했습니다. 대부분의 공급업체 점검은 여전히 정적이며 자체 검증된 스프레드시트, 설문 조사 및 인증서를 중심으로 진행됩니다.
Cyber Essentials, ISO 27001 또는 SOC 2와 같은 체계는 구조를 제공하지만 한때 좋은 의도가 있었음을 확인할 뿐 오늘날 무엇이 진실인지는 알려주지 않습니다.
이러한 체계는 가치가 있지만 특정 시점의 스냅샷만 제공합니다. 실제로 보안태세는 매일 바뀌고 있습니다. 웹 사이트 인증서는 다단계 인증 적용 여부, 장치 암호화 여부 또는 엔드포인트 적용 여부에 대해 아무 것도 알려주지 않습니다.
사이버 위험의 성격이 급격하게 변화하는 경우 연간 공급업체 감사는 보안 상태에 대한 가장 정확한 증거를 제공할 수 없습니다. 그 결과, 규정 준수가 더욱 편안한 담요가 되는 신뢰를 기반으로 한 생태계가 탄생했습니다.
한편 공격자는 각 감사 주기 사이의 지연을 이용하여 공격을 중지하도록 설계된 확인 프로세스보다 훨씬 빠르게 이동합니다.
검증이 지속적인 프로세스로 발전하지 않는 한 위반 사항이 공급망을 통해 계속 확산됨에 따라 우리는 계속해서 문서에 의존할 것입니다. 그러면 각 공급업체 관계는 악용되기를 기다리는 사각지대가 됩니다. 이러한 연결의 보안을 지속적으로 측정하지 않으면 연결이 개선되지 않습니다.
보이지 않는 것은 보장할 수 없습니다
단일 조직 내에서도 대부분의 보안 팀은 여전히 전체 그림을 파악하는 데 어려움을 겪고 있습니다. 제가 검토한 수많은 환경에는 항상 균열이 발생한 장치, 계정 또는 앱이 있습니다.
어떤 경우에는 조직이 존재한다고 생각했던 것보다 최대 30% 더 많은 장치를 발견하는 경우도 있습니다. 우리 내부에서 완전한 가시성을 유지할 수 없다면 수백 개의 외부 파트너의 보안 상태를 이해할 수 있다고 생각하는 것은 비현실적입니다.
그렇다면 조직은 어떻게 이러한 가시성 격차를 해소하기 시작합니까?
지속적인 검증은 어떤 모습인가요?
공급업체든 고객이든 모든 회사는 사전 예방적 방어 수준을 실시간으로 입증할 수 있어야 합니다. 이는 검증이 지속적이고 데이터 기반이며 논쟁의 여지가 없음을 의미합니다.
실시간 데이터를 사용하여 자동으로 업데이트하여 현재 상태를 표시하는 인증서, 실행 중인 시스템 및 현재 보유하고 있는 방어와 직접 관련되어 있기 때문에 스푸핑될 수 없는 인증서를 상상해 보세요.
자동화가 이를 가능하게 합니다. 지속적인 모니터링을 통해 엔드포인트 보호, MFA 또는 패치 적용과 같은 제어 기능이 활성화되어 작동하는지 확인할 수 있습니다. 고객과 공급업체 간의 공유 대시보드는 체인 전체의 보안 상태에 대한 투명한 보기를 제공할 수 있습니다.
이 세상에서 공급자는 자신이 안전하다고 주장할 뿐만 아니라 이를 입증하고 있습니다. 약속이 아닌 증거가 궁극적으로 공급망의 탄력성을 구축할 것입니다.
제3자 보증 문화를 바꾸세요
기술만으로는 공급망 문제를 해결할 수 없으며, 사고방식의 변화도 필요합니다. 너무 많은 이사회가 여전히 차세대 보안 트렌드에 주의를 빼앗긴 채 실제로 침해를 줄이는 기본 사항을 간과하고 있습니다.
침해 예방은 다른 비즈니스 KPI와 마찬가지로 측정, 보고 및 우선순위를 지정해야 합니다. 공급업체가 방어 수단이 제대로 작동하고 있음을 입증할 수 없는 경우 이는 기술적 문제가 아닌 성능 실패로 처리되어야 합니다.
수년 동안 사이버 보안은 한 번 수행하고 나중에 검토하는 규정 준수 작업으로 간주되었습니다. 이런 문화는 사라져야 합니다. 보증의 미래는 체인의 각 조직이 안전하다는 것을 입증할 수 있는 지속적인 책임에 있습니다.
가정하지 말고 자신감을 보여주세요
각 조직의 보안은 가장 약한 링크의 강도로 정의되며, 대부분의 경우 이는 제3자 연결입니다. 공격자들은 이미 이 사실을 이해하고 있지만 많은 기업은 그렇지 않습니다.
자체 인증 감사 및 정적 인증서는 위협이 얼마나 빠르게 진화하는지에 대한 현실을 더 이상 반영하지 않습니다. 진정한 탄력성을 구축하는 유일한 방법은 가정에서 증거로, 신뢰에서 증거로 이동하는 것입니다. 데이터 기반의 지속적인 검증은 공급망 보안의 새로운 표준이 되어야 합니다.
파트너가 우리가 믿는 만큼 안전하다는 것을 실시간으로 증명할 수 있을 때까지 공급망은 공격자가 정문으로 진입할 수 있는 가장 쉬운 방법으로 남아 있을 것입니다.
우리는 최고의 암호화 소프트웨어를 선보였습니다.
이 기사는 TechRadarPro의 Expert Insights 채널의 일부로 제작되었으며, 오늘날 기술 업계에서 가장 뛰어난 인재들을 소개합니다. 여기에 표현된 견해는 저자의 견해이며 반드시 TechRadarPro 또는 Future plc의 견해는 아닙니다. 협업에 관심이 있다면 여기에서 자세히 알아보세요.