지속적인 위협 노출관리(CTEM)

지속적인 위협 노출 관리(Continuous Threat Exposure Management)는 중요 자산에 대한 위험을 식별, 측정 및 우선순위를 지정하고 유효성 검증 및 인력동원을 하는 프로세스로 가트너에서 만든 개념입니다. CTEM은 사이버 공격에 가장 취약한 중요 자산을 식별하고. 이러한 자산이 공격받을 수 있는 가능성을 평가합니다. 또한 방화벽, 침입 탐지 시스템, 보안 정책 및 기타 대응책과 같은 제어 기능을 구현하여 위험 완화를 수행합니다.

CTEM (출처 : 가트너)

 

 

1. CTEM  5단계 관리방안

CTEM 5단계(출처 : 가트너)

1단계 : 범위 지정(Scoping)

조직 내의 공격받을 수 있는 영역을 명확하게 정의하고, 관련 정보를 수집 및 문제 해결을 위한 계획을 개발하는 것이 포함됩니다. 범위 설정은 높은 수준의 전략 계획부터 세부적인 엔지니어링 작업에 이르기까지 모든 세부 수준까지 잡아야 합니다. 즉 기업이 서비스하고 있는 홈페이지, 모바일 앱, 응용프로그램, 데이터, 시스템, 네트워크 장비, 소셜 미디어 계정 등이 포함됩니다.

2단계 : 발견(Discovery)

발견 단계에서는 이해관계자 인터뷰, 모든 비즈니스 영역의 조사 연구, 데이터 수집 및 분석 을 시작합니다. 또한 특정 기술이나 접근 방식, 취약점, 잘못된 구성이 있는지 지속적으로 탐색합니다.

3단계 : 우선순위 지정(Prioritization)

이 단계에서는 발견된 중요한 문제 즉, 위험수준과 긴급성, 공격범위에 따라 우순순위를 정하여 대응합니다. 발견된 취약점을  해결하기 위해 어느 정도의 개선이 필요한지 결정해야 합니다.

4단계 : 유효성 검증(Validation)

발견된 중요한 취약점을 검증하기 위해 공격할 수 있는 취약점을 확인하고,  모든 공격할 수 있는 경로를 분석하고 검증합니다.

5단계 : 인력동원(Mobilization)

유효성 검사를 통해 도출된 보안 취약점을 효과적으로 해결하고, 관련 프로세스의 문제점을 최소화 할 수 있도록 보안 팀과 비즈니스 이해관계자에게  CTEM의 실행계획을 전달해야 합니다. 

 

2. CTEM을 충족하기 위한 3가지 도전 과제

지속적인 위협 및 노출 관리(CTEM) 의 목표를 달성하는 데는 몇 가지 첨단 기술 과제가 수반 됩니다.

1)  데이터 통합 및 상관관계 :  CTEM은 위협 인텔리전스 피드, 자산 인벤토리, 네트워크 트래픽 분석, 보안 도구 등 다양한 소스의 데이터에 의존합니다. 이러한 다양한 데이터 세트를 실시간으로 통합하고 상호 연관시키는 것은 기술적으로 까다로운 작업 입니다. 효과적인 위협 탐지 및 대응을 위해서는 데이터 정확성, 일관성, 적시성이 매우 중요합니다.

2) 자동화 및 오케스트레이션 복잡성 :  CTEM은 위협과 취약성을 신속하게 수집, 분석, 대응하기 위해 자동화에 크게 의존합니다. 사고 대응 및 해결을 위한 대응방안을 포함하여 복잡한 자동화 작업절차를 개발하고 유지 관리하는 것은 기술적으로 까다로운 작업 입니다. 또한 이러한 작업절차가 변화하는 위협과 환경에 대응하는 것은 지속적인 과제입니다.

3) 확장성 및 성능 :  조직이 성장하거나 사이버 위협이 증가함에 따라 CTEM 프로그램은 증가하는 데이터 및 보안 이벤트 를 처리할 수 있도록 확장해야 합니다. 부하가 많은 상황에서도 프로그램의 최적의 성능을 보장하려면 확장 가능한 인프라, 분산 데이터 처리, 효율적인 알고리즘을 비롯한 고급 기술 솔루션이 필요합니다.

 

3.  결론

CTEM은 애플리케이션 보안 위협을 줄이고 개발 수명 주기 동안 애플리케이션에 대한 제어를 유지하는 데 도움이 되는 실행 가능하고 효과적인 방안 입니다.

조직에 대한 위험을 관리하고 완화할 때 CTEM의 이점을 고려해야 합니다. 조직에 대한 악의적인 활동을 최소화하고, 위협 및 취약성을 평가하고 대응하는 데 필요한 시간을 단축하며, 보안과 관련된 리소스와 비용을 절감할 수 있습니다.

 

출처 : 가트너, POWERDMARC