범죄적 마인드의 이터널 선샤인

범죄적 마인드의 이터널 선샤인

​

사이버 보안 또는 IT 분야에서 일하는 모든 사람은 끊임 없이 창의적인 위협 행위자를 처리할 때 좌절감을 느낍니다. 연일 속보 업계 뉴스에서는 범죄 조직이나 해커가 방어를 리버스 엔지니어링하거나 약점을 발견하거나 다른 목적으로 기능이나 도구를 사용하여 웹 사이트, 데이터베이스 또는 장치에 어떻게 침투했는지에 대한 또 다른 이야기를 폭로하는 것 같습니다. 그것은 의도된 것이었다. SQL 주입부터 디지털 이미지에 숨겨진 코드, AI 기반 GPT 기술이 엄격한 행동 규칙을 우회하도록 설득하는 것까지, 이 사람들은 보통 사람들을 훨씬 능가하는 수준의 독창성과 에너지를 가지고 있는 것 같습니다.

​

그 조각을 어떻게 얻을 수 있습니까? 이 전쟁에서 위협 행위자가 유리한 이유는 무엇입니까? 아니면 그러한 평가가 정확할까요?

​

사실은 해결 방법과 취약점을 찾는 영리함에도 불구하고 무언가를 구축하는 것보다 무언가를 부수는 것이 여전히 더 쉽다는 것입니다. 그들은 오직 한 가지만 찾으면 됩니다. 처음부터 소프트웨어를 개발하거나 장치를 설계하는 사람들도 지능적이고 추진력이 있지만 설계 문제, 품질 보증, 시프트 레프트/지속적인 테스트, 기한 및 예산을 처리하고 여전히 실행 가능한 제품을 생산해야 합니다. 그들은 이러한 결함을 찾는 데 도움을 주기 위해 펜 테스터와 윤리적 해커를 고용합니다. 그들은 버그 바운티를 지불하고 끊임없이 새로운 반복 및 업그레이드를 통해 제품을 개선하려고 노력합니다.

​

그러나 언론의 주목을 받는 것은 해커이며 종종 코드나 기계 깊숙이 숨겨진 약점을 발견한 대가로 보상을 받습니다.

​

능동성은 규범에 도전하는 것을 의미합니다.

​

선제적 보안, 심층 방어, 제로 트러스트 - 개발자와 조직이 지속적으로 수용하고 실행해야 하는 모든 방식입니다. 그러나 안전한 국경을 만드는 것의 대부분은 인적 요소에 뿌리를 둔 관행에서 비롯됩니다. 그것은 심리학과 생리학을 기반으로합니다. 신뢰와 오류에 관한 것입니다. 예를 들어, 은행이나 오피스 타워와 같은 비즈니스 장소에 들어가 목적을 가지고 걷는 사람은 기본적으로 비즈니스가 있는 것처럼 보이는 이러한 환경에서 집처럼 보이고 종종 도전받지 않을 것입니다. 이 사람은 예의바른 직원이 문자 그대로 문을 열어 주도록 하여 이 바쁜 방문객을 돕거나 그들에게 도전하여 난처한 상황을 야기하지 않도록 할 수도 있습니다.

​

효과적인 보안은 또한 목에 또 다른 맷돌을 달고 있습니다. 보안 담당자가 업무를 올바르게 수행하면 아무도 눈치채지 못합니다. 모든 것이 제대로 작동하는 것처럼 보이는 한, 이 사람들의 재능과 성취는 본질적으로 눈에 띄지 않습니다. 사이버 세계에서 이것의 가장 큰 예 중 하나는 달력이 1999년에서 2000년으로 이동할 때 수행할 작업에 대한 지침이 없는 두 자리 날짜 시계가 있는 수백만 대의 컴퓨터가 관련된 세기 전환기 도전인 Y2K였습니다. 이 이야기는 이제 25년이 넘었고 단순히 끔찍한 일이 없었기 때문에 많은 사람들에게 아무것도 아닌 버거로 여겨집니다. 그러나 전 세계적으로 수천 명의 컴퓨터 엔지니어가 전 세계적으로 2,000억 달러에서 8,000억 달러(당신이 읽은 보고서에 따라 다름)의 비용으로 문제를 해결했기 때문에 끔찍한 일이 발생하지 않았습니다.

​

매일이라도 스마트폰이 작동하고 WiFi가 연결되고 인터넷이 실행되고 있으면 모든 것이 잘되고 유지하는 사람들은 잊혀집니다.

​

이러한 유형의 사고 방식의 문제는 운영의 정상성을 제도화하고 결과적으로 위협 행위자와 보조를 맞추기 위해 필요한 위험 인식을 희석한다는 것입니다. 사실, 억압되고 있는 위험에 대한 과민성은 창의적인 나쁜 배우를 게임의 최상위에 두는 것과 동일한 신경 에너지입니다. 그들은 다음 약점을 찾고, 새로 출시된 이 코드를 테스트하고, 패치가 아직 소비자에게 도달하지 않은 취약점을 악용해야 합니다. 위협 행위자에게는 이 에너지가 높게 유지됩니다. 나머지 사람들에게는 공손함과 충분한 시간의 굶주림이 결합된 일반적인 안전감이 동일한 본능을 밀어냅니다. 사이버 보안 전문가가 이러한 긴급성을 잊었다는 의미는 아닙니다. 단순히 더 나은 도구에 대한 그들의 요청이 너무 자주 귀가 먹먹하고 만족스러운 귀에 떨어진다는 것입니다.

​

우리가 인간의 실패로 인식하는 것은 종종 체계적입니다.

​

그게 우리에게 무엇을 남기나요? 글쎄, 피싱. 피싱 링크를 클릭하는 사람들은 종종 그로 인한 맬웨어 침입에 대해 비난을 받습니다. 그러나 그러한 링크를 클릭하는 것은 자연스러운게 인간입니다. 전체 월드 와이드 웹, 인터넷 인터페이스는 "여기를 클릭하면 좋은 일이 생길 것"이라는 하나의 핵심 아이디어를 기반으로 구축되었습니다.

​

피싱이 활동적인 위협 행위자에 의해 계속 악용된다는 사실은 조직이 일반적으로 방정식에서 자신의 편을 버렸다는 사실과 직시해야 합니다. 이는 제품이나 프로세스가 생성되고 채택된 후 발생하는 보안을 최종 생각 또는 사후 생각으로 역으로 우선 순위를 두는 조직의 완벽한 예입니다. 피싱은 인간의 실패가 아니라 기술의 실패입니다. 누군가가 링크를 클릭함으로써 조직이 중단될 수 있다면, 이는 결국 그들의 업무의 일부이므로 세분화 문제입니다. 그것은 일어나도록 허용되어서는 안되며 "불가능"하도록 시스템에 구축되어야 하는 일입니다.

​

억지로 맞추지 말고 사람에 따라 유연하게 보안을 구축하십시오.

​

끈질긴 적에 대항하여 효과를 유지하려면 이를 사용하는 사람들을 중심으로 보안 절차를 구축해야 합니다. 그렇지 않으면 해결 방법을 찾을 수 있기 때문입니다. 얼마나 많은 사람들이 피싱 링크를 클릭하는지 보여주는 보고서에 집중하지 마십시오. 대신 그들이 이러한 문제를 얼마나 빨리 보고하고 그러한 보고를 얼마나 편안하게 느끼는지에 초점을 맞추십시오. 피싱 사고를 자진 신고해서 해고당할 수도 있다는 생각을 해서는 안 됩니다. 대신 그들은 잠재적인 사고가 있을 수 있음을 모든 사람에게 알린 것에 대해 보상을 받을 것임을 알아야 합니다. 그건 그렇고, 이것은 지난 세기 중반에 Toyota 생산 시스템의 일부로 개발되었지만 오늘날에도 여전히 관련이 있는 두 가지 핵심 관리 개념인 kaizen과 gemba의 본질입니다.

​

악위적 행위자들은 우리와 마찬가지로 사업체를 소유하거나 일합니다. 그들의 주요 이점은 다른 사람이 지은 벽에서 헐거운 벽돌을 찾을 수 있다는 것입니다. 이것은 벽을 처음부터 설계하고 만드는 것보다 항상 더 쉬울 것입니다. 우리가 눈에서 안일함을 제거하는 한, 그들의 탐색에 연료를 공급하는 에너지가 모든 사람에게 동등하게 사용 가능하다는 사실을 기억하기만 하면 됩니다.

​

보안 구축에 대해 더욱 궁금하신 사항은 탈레스에 문의하여 주십시요.

​

​

---

Thales DIS CPL소개

​

오늘날의 기업은 클라우드, 데이터, 소프트웨어를 활용하여 비즈니스의 중대한 결정을 내립니다. 전 세계 유수의 브랜드와 기업들이 클라우드와 데이터 센터에서 디바이스, 네트워크에 이르는 모든 곳에서 생성, 공유 및 저장되는 민감정보와 소프트웨어에 안전하게 접근하기 위해 탈레스의 솔루션을 활용합니다. 탈레스의 솔루션을 도입한 기업은 안정적으로 클라우드로 이전하면서도 확실하게 데이터 보안 규제를 준수할 수 있습니다. 현재, 매일 수백만 명의 소비자가 사용하는 서비스와 디바이스를 통해 탈레스의 고객들은 보다 큰비즈니스 가치를 창출하고 있습니다.

https://cpl.thalesgroup.com/ko

​

탈레스 소개

​

귀하의 데이터를 보호하는 기업들은 탈레스를 통해 자신들의 데이터를 보호합니다. 데이터 보안에 대해 중요한 결정을 내려야 하는 순간이 증가하고 있습니다. 암호화 전략을 수립하거나, 클라우드로 데이터를 이전하거나, 규제 준수 요구사항을 충족시켜야 하는 모든 순간에 탈레스를 믿고 찾아주십시오. 탈레스는 귀하의 안전한 디지털 트랜스포메이션을 지원합니다.