엔터프라이즈 보안이란?
엔터프라이즈 보안은 회사의 내부 또는 독점 비즈니스 비밀뿐만 아니라 개인 정보 보호법과 관련된 직원 및 고객 데이터를 모두 포함하는 다면적인 사안입니다. 페이스북, Yahoo!, Target, Home Depot, Equifax와 같은 주요 국제 기업이 해커에게 중요한 고객 데이터를 손실해 거액의 벌금과 정부 개입에 직면함에 따라 엔터프라이즈 보안에 대한 관심이 점점 더 높아지고 있습니다. 이전에는 경쟁업체 및 위조업체로부터 독점 코드 또는 영업 비밀을 보호하는 데 가장 관심이 많았던 기업의 경우 이제 미국과 EU의 새로운 개인 정보 보호법이 적용됨에 따라 소비자 데이터를 오용하거나 손실할 경우 조직에 막대한 벌금이 부과될 수 있습니다. 비즈니스 프로세스 지원을 위해 클라우드 인프라를 활용하는 방식으로의 전환은 IT 분야 기업 보안에 새로운 당면 과제를 야기합니다.
엔터프라이즈 보안의 경우 실제로는 데이터 센터, 네트워킹 및 웹 서버 운영에 중점을 두지만 기술적으로는 인적 자원으로부터 시작됩니다. 일부 보안 연구원에 따르면, 사회 공학은 모든 성공적인 해킹 공격의 무려 3분의 2를 차지할 만큼, 근본 원인입니다. 사회 공학 공격에서는 공격자가 네트워크 또는 데이터 리소스에 대한 액세스 권한을 얻기 위해 인간의 본성, 직원 무결성 또는 개인의 속기 쉬운 약점을 악용합니다. e-메일을 통한 피싱 공격은 직원들이 링크를 클릭하여 멀웨어를 다운로드하고 설치하도록 유도합니다. 비싱(보이스/VoIP 피싱) 공격에서는 해커가 다양한 직원과의 전화 통화를 악용하여 네트워크 보안을 손상시키는 내부 정보(예: 암호 정보)를 획득합니다. 스미싱(SMS 피싱), 베이팅, 스피어피싱 및 워터링 홀은 모두 사회 공학 프로세스를 기반으로 하는 관련 해킹 기술입니다. 이러한 공격 벡터는 가장 강력한 네트워크 보안 시스템도 손상시킬 수 있으며, 교육, 조사, 심사를 통해 직원의 인식을 높여야 대응할 수 있습니다.
자동화된 해킹 공격은 스크립트 기반 공격으로, 로그인 화면, 문의 양식, 데이터베이스 검색 쿼리, 백엔드 관리 프로세스와 같은 입력 진입점을 통해 지속적으로 웹 서버 및 온라인 애플리케이션과 같은 데이터 센터 리소스를 대상으로 합니다. 스크립트 봇 공격의 일반적인 예로는 MySQL 삽입 해킹 및 교차 사이트 스크립팅 악용이 있습니다. 보호되지 않은 양식을 통해 서버에 코드를 전송할 수 있는 경우 모든 테이블 정보, 암호, 중요한 고객 금융 데이터를 포함한 전체 데이터베이스가 손실될 수 있습니다. 코드 삽입 해킹은 해커가 전체 관리 액세스 권한을 얻거나 FTP 및 명령줄을 통해 서버로 통하는 백도어를 구축할 수 있는 암호 크래킹과는 다릅니다. 침입에 성공한 해커는 데이터베이스 정보를 전송하거나 악성 원격 코드를 설치하는 프로세스를 시작하기 전에 보통 30~90일 동안 내부 액세스 권한이 있는 보안 침해된 네트워크 시스템을 정찰합니다.
VMware 보안 개요
글로벌 사고 대응 위협 보고서: 현실 조작
엔터프라이즈 보안이 중요한 이유
엔터프라이즈 보안 아키텍처
엔터프라이즈 보안 아키텍처는 물리적 액세스, 사회 공학 및 스크립트 봇 공격을 대상으로 하는 동시에 암호 입력 시스템이 크래킹되지 않도록 보호하고 사용자 입력 채널을 원격 코드 삽입으로부터 보호해야 합니다. 네트워크 방화벽은 악성 해킹 공격에 대한 주요 바리케이드로 간주됩니다. 현재 대부분의 네트워크 방화벽 소프트웨어 패키지에는 패킷 데이터를 실시간으로 검사하여 잠재적인 바이러스, 멀웨어, 웜 및 랜섬웨어를 찾는 기능이 포함되어 있습니다. 바이러스 백신 검사의 문제는 멀웨어가 감지되기 전에 이를 식별하기 위해 전문 기관에 의존하는 사후 보안 접근 방식이라는 점입니다. '제로데이' 공격에서는 보안 전문가에 의해 노출되거나 분류된 적이 없는 침해 코드가 네트워크, 소프트웨어 플랫폼, 펌웨어 기기 또는 운영 체제에 침투하는 데 사용됩니다. 제로데이 공격은 사전에 방어할 수 없기 때문에 기업은 불가피하게 위협이 발생한 후 이를 효과적으로 격리하고 억제하는 다중 계층 보안 정책을 구현해야 합니다.
데이터 전송에 암호화를 사용하는 것과 권한을 가진 사용자 액세스를 위한 방화벽 설정을 구축하는 것은 물리적 액세스 제약 다음으로 엔터프라이즈 보안에서 가장 기본적인 두 가지 측면입니다. 사용자 로그인 시스템을 사용하는 대부분의 플랫폼에는 크래킹 공격을 방지하기 위해 5회 이상 잘못된 암호로 로그인 시도 시 사용자를 차단하는 잠금 절차가 포함되어 있습니다. 단일 IP 주소에서 반복적으로 발생하는 식별되지 않은 로그인 시도는 IP 차단을 통해 차단할 수 있습니다. 방화벽 소프트웨어는 데이터 패킷 전송을 알려진 멀웨어 서명과 실시간으로 대조하는 바이러스 백신 검사와 통합되어 유해한 파일을 식별하고 피싱 공격 또는 다운로드를 통해 바이러스, 웜 및 트로이 목마가 우발적으로 설치되지 않도록 방지합니다. 웹 양식에 추가 보호 계층을 추가하는 웹 애플리케이션 방화벽(WAF)을 설치하여 사이트 간 스크립팅 및 MySQL 삽입 공격을 방지할 수 있습니다. Symantec, McAfee, Trend Micro, Kaspersky, Bitdefender 등과 같은 벤더의 바이러스 백신 소프트웨어는 오늘날 엔터프라이즈 보안의 필수 요소입니다. 또한 많은 엔터프라이즈 기업은 CDN 서비스를 사용하여 운영 환경에서 DDoS 공격을 인식하고 방지합니다.
엔터프라이즈 보안의 기본 모범 사례
엔터프라이즈 보안에서 현재 효과를 보고 있는 모범 사례 패러다임은 해커가 시스템에 침투하여 하드웨어를 손상시키고 데이터를 훔칠 것을 예상하고 사용 가능한 모든 물리적 보안, 방화벽, 암호화, 사기 방지, 침입자 탐지, WAF, 바이러스 백신 등의 방식을 적용하는 것입니다. 최대한의 피해 감소 원칙에 따라 가능한 한 가장 빠른 시간 내에 침입자를 탐지하고 식별하는 동시에 벡터 공격의 확산을 방지하기 위해 데이터 격리를 강화한 시스템을 구축하는 것을 목표해야 합니다. 마이크로 세분화는 침입자가 단일 진입점에서 다른 시설로 횡방향 이동하지 않도록 방지하는 격리를 통해 엔터프라이즈 네트워크의 모든 개별 가상 머신을 보호합니다. DMZ 모델은 외부 방어 링에서 프록시 엣지 서버를 통해 강화된 격리를 통해 LAN에서 웹 프로세스를 분리한다는 점에서 방화벽, 바리케이드 및 해자와 유사합니다. VMware vSAN 데이터스토어는 엔터프라이즈 데이터베이스 암호화에 사용되며, VMcrypt Encryption은 스토리지, 아카이브 및 백업 파일에 사용됩니다.
관리 권한 에스컬레이션은 엔터프라이즈 보안 사례에서 간과할 수 없는 또 다른 중요한 문제입니다. 수퍼유저 및 관리 권한은 권한이 없는 사용자가 배포할 경우 더욱 엄격하게 제어하고 즉시 탐지되어야 합니다. 실시간 네트워크 모니터링에는 침입자, 민감한 무단 데이터 전송 및 관리 권한 에스컬레이션 문제를 더 효과적으로 탐지하기 위해 머신 러닝 및 인공 지능의 지원을 받아 분석하는 경우가 점차 증가하고 있습니다. 패치가 적용되지 않은 소프트웨어 플랫폼과 웹 서버 운영 체제는 네트워크 손상 및 데이터 침해의 주요 원인이므로, 기업은 필요한 업데이트를 운영 환경에 즉시 적용하는 데 특히 힘써야 합니다. 자동화된 보안 업그레이드를 통해 중요한 패치 적용 시 대응 속도가 크게 향상됩니다. 에이전트 없는 바이러스 백신을 하이퍼바이저 수준에 설치하고 사람의 개입 없이 멀웨어 또는 침입 공격에 자동으로 보안 대응을 적용하도록 구성할 수 있으므로 수백만 개의 가상 머신이 동시에 실행되는 클라우드 데이터 센터의 응답 시간이 향상됩니다.