전문가 Q&A

기업의 정보가 외부에 활동 탐지하는 ASM(Attack Surface management)솔루션인 Cortex Xpanse을 제공합니다.

2차공격이 발생하기전에 고객 디지털 자산이 언제 어디에 있었는지 탐지하여 사전 대응할수 있는 정보를 제공합니다.

차세대방화벽을 활용하여 사용자 및 서비스 기반의 정책을 통하여 Zero Trust 망분리 환경을 제공할수 있습니다.

차세대방화벽은 네트워크 보안과 사용자의 유해사이트 접속에대한 보안기능에 대응하는 솔루션입니다.

웹방화벽은 내부 웹서버를 위한 웹 전용 보안기능을 제공하기때문에 별도로 필요합니다.

아 그렇군요...빠른 답변 감사합니다.

IP, 포트를 넘어 어플리케이션 및 유저 단에서 트래픽을 보고 제어하는 점이 가장 큰 차이점입니다. IPS, Anti-virus, 샌드박스, URL필터링, VPN, DNS, DLP 등 보안 옵션을 선택하여 적용할 수 있습니다. SSL 복호화 장비를 별도로 사용하시는 경우가 많은데 저희 차세대 방화벽은 기본 탑재 기능입니다. 여러 분산 장비들을 하나의 플랫폼으로 통합하여 관리하실 수 있으며 장기적인 관점에서 비용적으로 이점이 있다고 이해하시면 되겠습니다.
필요하신 자료가 있으시면 ekim@paloaltonetworks.com로 문의 부탁드립니다.

공급망 보안강화를 위해

Prisma Cloud는 SBOM for CI/CD Security 기능을 제공하고 있습니다.

SBOM(Software bill of materials) 기반의 패키지,버전,라이센스,취약점,레포지토리 정보에 대한 가시성을 제공합니다.

공급망 그래프(Supply Chain Graph)에서 잘못된 구성 및 취약점 수를 기준으로 정렬된 저장소 내의 모든 파일을 볼 수 있습니다. 그래프는 인프라, 이미지, 오픈 소스 및 시크릿을 식별하고 해당 데이터를 결합하여 위험 체인을 식별합니다.

유익한 답변과 정보 감사합니다

Dataiku는 데이터 사이언스 전체 영역을 커버합니다. 수집된 데이터가 저장된 데이터소스의 연결, 전처리, 모델링, 학습, 배포, 모니터링, 시각화 등 전체의 영역을 커버합니다.

데이터 사이언스의 전체 영역은 데이터 수집, 분석, 정제, 모델개발, 학습, 배포 등 넓은 영역이 있고, 이러한 영역을 프로세스화하여 관리할 수 있도록 거버넌스를 적용할 수 있는데, CDS는 데이터의 분석, 정제 등 부분들과 AutoML을 통한 모델 개발 및 학습 정도가 일반적인 영역입니다.

통계적인 기법 등 데이터를 분석할 수 있는 이론적인 소양이 있으면 좋습니다. 이러한 지식을 기반으로 쉽게 사용이 가능한 솔루션이 더해지면, 보다 빠르게 CDS를 양성하실 수 있습니다.

도메인의 전문가는 현업담당자이고, 외부 인원은 도메인 지식이 없는 경우 괴리가 발생할 수 있습니다. 현업담당자가 도메인 지식을 기반으로 예측을 위한 목적의 데이터를 준비하는 과정에 대해서 쉽게 수행이 가능한 플랫폼을 기반으로 CDS를 양성하고, 조직내 전문가와 함께 협업을 진행하는 것이 이상적입니다. 로드맵은 조직의 상황에 따라 다르기 때문에, 별도로 요청을 주시면, Dataiku와 함께 방안을 논의할 수 있습니다.

검증되지 않은 컨테이너 이미지를 사용하는 부분이 주요 원인입니다. 해서 보안 검증된 이미지를 사용하고 주기적인 스캐닝을 통해 보안 취약성이 발견된 컨테이너는 배포를 차단하는 것이 좋습니다.

관리를 보다 편리하게 하고 보안을 강화하는 방안을 설명드리자면 세가지를 들 수 있을거 같습니다.

1. 역할 기반 접근 제어 (RBAC)
중앙집중식 Role 관리: Role 바인딩을 사용하여 사용자가 수행할 수 있는 작업을 정의
이를 통해 각 사용자에게 필요한 최소한의 권한만 부여

템플릿과 정책 재사용: 공통된 접근 제어 요구 사항에 대한 템플릿을 생성하고, 필요시 재사용합니다.
이를 통해 정책 설정의 일관성을 유지하고 설정 오류를 낮출수 있을것 같습니다.

2. 서비스 계정 관리
서비스 계정 사용: 애플리케이션 또는 파드 수준에서 서비스 계정을 사용을 통해 개별 사용자가 아닌, 서비스나 애플리케이션 단위의 권한을 할당할 수 있습니다.

서비스 계정에 대한 접근 제한: 서비스 계정의 접근 권한을 엄격하게 관리

3. 정책 자동화 및 관리 도구
사용자 관리 및 통합 도구: 사용자 관리 및 접근 제어를 위한 통합 도구를 사용하여 효율성을 높입니다.
예

SUSE NeuVector는 크게 컨테이너 이미지에 대한 CVE 데이타 기반의 Scan 기능을 제공하며 런타임 환경의 컨테이너 프로세스를 감시하여 사용되는 프로세스나 네트워크 트래픽을 모니터링 하고 학습하여 학습되지 않은 연결은 거절하여 운영 안정성을 보장합니다.

DevOps는 개발(Dev)과 운영(Ops)의 결합을 통해 더 빠르고 효율적인 소프트웨어 개발 및 배포를 목표로 합니다.
전통적인 보안 관리 체계에서는 개발과 운영을 분리하는 것이 일반적이었으나, DevOps는 이러한 경계를 허물고 협업과 통합을 강조합니다.
이로 인해 발생할 수 있는 보안 위험과 취약성을 최소화하고 인증 과정에서 필요한 증거를 확보하는 방안에 대한 몇 가지를 살펴본다면

관리적 보안 위험 최소화
역할 기반 액세스 제어 (RBAC)
자동화된 보안 프로세스
지속적 모니터링과 감사
정책 및 절차의 명확화
보안 문화의 조성

인증에서 필요한 증거 확보
문서화된 정책 및 절차
감사 로그 및 보고서
보안 교육 및 사용자 인식 프로그램 적극 도입
CI/CD 파이프라인 내 보안 통합

이정도를 설명드릴 수 있을것 같습니다.

자세한 답변 감사합니다, 다만 개발과 운영을 동일한 직원이 수행하던 직원이퇴사하거나 악위적인 행위를 할수가 있는 상태이므로 안심할 정도의 예방책으로 보기에는 부족한 게 현실이고 실제 사례가 발생하고 있는 걸로 압니다 개발과 운영을 분리하는 건 과거의 문화가 아니라 과학적인 이론에 근거한 원칙으로 알고 있으며 ,서비스 개발과 바즈니즈를 우선시하는 문화애서 비롯된 개발방법론이 DevOps라서 이 방법론이 과학적으로 안전성을 담보할 수 있는 개발과 운영을 분리한 업무체계가 필요해 보이네요

정형 데이터의 경우 각 DBMS 타입 간 호환성을 고려하면 크게 무리가 없으나, 비 정형의 경우 DBMS 의 지원 여부에 따라 저장 방식이 다를 수 있으므로 AP 관점도 변환 여부도 고려가 필요합니다.

[답변] 설정 위협의 수준과는 별개로, 고객사의 도메인이 포함된 이메일 계정이라면 모두 수집하여 Identity 인텔리전스를 통해서 제공합니다. 이렇게 수집되어 제공되는 정보 중, 고객사 판단에 따라 어떤 계정을 우선적으로 처리할지 우선순위를 결정해 볼 수 있습니다. 예를 들어 관리자 계정이나 서비스 계정에 자주 쓰이는 이름 패턴 등을 이용할 수 있습니다.

[답변] 비용 측면에서 평균 절감 비용은 말씀드리기 조금 어렵지만, https://go.recordedfuture.com/hubfs/data-sheets/secops-intelligence-module.pdf를 참고하면 인간 분석가의 조사 시간이 평균 40% 감소한다고 알려져 있습니다.

안녕하세요, 레코디드퓨처의 Advanced Query Builder 기능을 활용하시면, 다양한 조건식의 적용이 가능 합니다

[답변] 네 가능합니다! 특정 키워드/문구가 일정한 기간 동안 얼마나 많이 언급이 됐는지, 어떤 트위터 해시태그가 많이 언급 됐는지 등을 타임라인 분석을 통해 시각화 해 볼 수 있습니다.

안녕하세요, 유출된 계정은 다크웹/딥웹 에서 지속적으로 게시되고 복제되기 때문에, 지속적인 모니터링과 계정관리를 권장해 드립니다. 레코디드퓨처의 9개 모듈 중 Brand Intelligence 를 활용하시면 나의 기업이나 조직과 관련된 위협 정보를 지속적으로 활용 하실 수 있습니다.

[답변] "현재 계정을 잘 관리한다면"이란 현재 적절한 계정 관리 보안 정책이 실행되고 있는 상황인데요, 예를 들어 30일마다 사원 비밀번호 변경을 강제하는 정책 등이 있겠습니다. 하지만 Identity 인텔리전스에서 확보하는 유출 계정은 빠르면 오늘 유출된 계정까지 포함하기 때문에, 좀 더 능동적인 대응이 가능합니다. 조회는 API와 당사 플랫폼 웹 사이트 열람 두 가지 방식으로 가능합니다.

레코디드퓨처는 실시간으로 수집된 위협 인텔리전스를 증거(evidence) 기반으로 제공하고 있습니다. 그렇기 때문에 실시간 근거를 기반으로 하기 때문에, 과탐이나 오탐의 우려는 없으며, 가시성이 필요한 영역(스코프)을 함께 정의 합니다. 레코디드퓨처 컨설턴트와 데이터사이언스팀이 함께 지원해 드립니다.

[답변] 탐지 분석 소요 시간은 아까 다른 답변에서 말씀을 드렸지만, 인텔리전스 출처별로 천차만별입니다. 예를 들어 특정 다크웹 포럼은 게시글 열람을 위해 2차 인증과 포럼 활동 내역을 요구합니다 (예: 댓글 50개 이상, 게시글 10개 이상 등). 이러한 새로운 다크웹 포럼이 발견될 경우, 이를 새로운 출처로 당사 DB에 추가하는데는 다소 시간이 소요될 수 있습니다. 데이터 수집 절차가 안정화되면 실시간에 가깝게 수집/가공되어 고객사에 제공됩니다.

오탐과 과탐의 경우 자동으로 수집되는 인텔리전스뿐만 아니라 Insikt Group이 직접 분석/입력하는 인텔리전스도 있으므로, 사람이 직접 검증하여 줄여나가는 부분이 있습니다.

[답변] 고객사분들께서 가장 많이 구매하시는 모듈은 SecOps(보안운영을 위한 연동), Threat (위협 인텔리전스), Brand(브랜드 모니터링) 이렇게 세가지가 있습니다.

1) SIEM과 같은 보안운영 솔루션에 연동하는게 주 목적이라면 SecOps를,
2) 이에 더해 인텔리전스 분석가가 직접 정보를 찾고 분석하는 업무까지 하시는 경우에는 Threat 인텔리전스를,
3) 마지막으로 브랜드 보호(인터넷에서 언급되는 우리 회사의 브랜드 이름, 로고, 도메인 등)에 중점을 두신다면 Brand 인텔리전스를 선택하시면 좋습니다.

아 그럼 인텔리전스도 단독이 아닌 복합적으로 사용해야 효과가 있는것인군요.. 답변 감사합니다.

네 맞습니다. 필요한 모듈만 먼저 구매하시고, 추후 다른 인텔리전스 모듈을 추가 구매하시는 고객사분들도 많이 계십니다.