당사를 포함한 거의 모든 은행이 취약성 관리 문제로 골머리를 앓고 있습니다. 우리는 취약점에 파묻혀 어떤 취약점을 먼저 해결해야 하는지 파악하는 데 어려움을 겪었습니다. IBM X-Force Red의 베테랑 해커 팀과 파트너 관계를 맺은 후 취약성 관리 상황을 훨씬 더 효과적으로 제어할 수 있게 되었으며, 관행과 결과 모두에서 지속적인 개선을 이루고 있습니다.
우리 팀은 충분히 빨리 줄어들지 않는 심각한 취약점의 백로그를 포함하여 엄청난 수의 취약점으로 인해 압도당했습니다. 문제 중 하나는 집계된 트렌드 데이터를 개선 담당자에게 실행 가능한 정보로 효과적으로 추출하지 못한다는 점이었습니다.
X-Force Red 팀은 이 복잡한 문제를 해결하기 위해 뛰어들었습니다. 프로그램을 시작한 지 4개월 만에 심각한 취약점이 60% 감소하고 총 취약점이 거의 45% 감소했습니다.
금융 서비스 기업은 다른 산업 분야의 기업보다 300배 더 자주 사이버 보안 공격의 희생양이 되기 때문에 당사는 취약성 관리 프로그램에 투자하고 우선순위를 두고 있습니다.
우리는 높은 수준의 심각한 취약점 백로그를 가지고 있었습니다. 방대한 양으로 인해 문제를 보고하고, 우선순위를 정하고, 추적하는 것이 정말 어려웠습니다. 취약성 관리를 위한 엔터프라이즈급 솔루션이 부족했습니다.
여러 시스템과 스캐너에서 많은 수의 취약점을 추출하는 복잡한 스프레드시트로 구성된 비효율적인 솔루션을 사용했기 때문에 결국 취약성 관리 팀과 패치를 담당하는 다른 팀 모두 복잡한 보고서를 분석하고 데이터를 드릴다운할 수 없게 되었습니다. 보고서에는 전체 취약점 수와 공식 기반 주요 위험 지표가 표시되었지만, 해당 지표가 어떻게 계산되고 어떤 취약점이 특정 시스템에 영향을 미치는지에 대한 인사이트가 필요했습니다.
우리는 몸이 마비된 것 같았습니다. 취약성 스캐너의 결과를 통해 얼마나 많은 취약성이 있는지 확인할 수 있었지만 데이터를 특정 시스템 및 소유자와 안정적으로 상호 연관시킬 수는 없었습니다. 효과적인 보고가 없으니 시스템 관리자는 패치를 어디서부터 시작해야 할지 몰랐고 취약성 팀은 유용한 지침을 제공할 수 없었습니다.
스트레스가 우리 팀을 짓눌렀습니다. 데이터가 너무 불투명해서 통제력을 잃은 것 같았습니다. 매달 취약점 수치가 줄어들기를 바라며 경영진에게 보고했지만, 결과를 통제할 수 없다는 것을 알고 있었습니다. 우리는 무력감을 느꼈습니다.
게다가 당시 공급업체는 제기된 우려를 해결하려는 노력을 보이지 않았고, 작업 진행을 방해하는 보고 모델의 문제를 해결하지 않았습니다. 우리는 취약성 관리 프로그램을 점검하고 공급업체를 바꿔야 했습니다.
우리는 취약점, 특히 심각한 취약점의 백로그를 해결하는 데 도움이 되는 전문 지식, 도구 및 인텔리전스를 갖춘 서비스를 찾았습니다. 2018년 11월에 X-Force Red 취약성 관리 서비스를 선택한 것이 큰 도움이 되었습니다. X-Force Red의 베테랑 해커 팀은 즉시 회사의 다양한 기술 영역과 비즈니스 라인을 분석했습니다. 이들은 데이터 모델을 점검하고, 중요한 데이터 품질 문제를 수정하고, 오늘날에도 계속 개선하고 있는 자동화를 도입했습니다.
이전에는 각 취약점을 수동으로 검토하고 수백만 개의 취약점 중 어떤 취약점이 잠재적으로 가장 해로운지 파악하려고 노력했지만, X-Force Red의 자동 순위 공식은 가장 중요한 취약점의 우선순위를 보다 효율적이고 효과적으로 지정하는 데 도움이 되었습니다.
X-Force Red 팀은 공식을 투명하게 만들었기 때문에 알고리즘이 어떻게 작동하는지 정확히 알 수 있었습니다. X-Force Red는 해커 사고방식을 적용하여 범죄자가 취약점을 무기화하고 있는지 여부와 노출된 자산의 가치에 따라 취약점의 우선순위를 정했습니다. 자동화된 우선순위 지정은 이전의 수동 방법을 사용할 때 며칠이 걸렸던 것에 비해 단 몇 분 만에 완료되었습니다. 이렇게 빠르게 처리한 덕분에 취약점을 즉시 수정하여 공격을 예방할 수 있었고 팀원들은 다른 작업에 집중할 수 있었습니다.
X-Force Red의 도움으로 우리 팀은 취약성을 적절한 해결 담당자에게 돌릴 수 있었을 뿐만 아니라 시간이 지남에 따라 해당 담당자의 성과를 더 쉽게 측정할 수 있었습니다. 우리는 시스템 담당자를 지원하고 책임을 묻는 새로운 능력으로 큰 진전을 이뤘습니다. X-Force Red 취약성 관리 서비스를 사용하면 보고 프로세스를 빠르게 조정할 수 있습니다. 이전에는 몇 년 동안 해독할 수 없었던 데이터를 이제 이해하고 특정 형식이나 슬라이스로 데이터를 볼 수 있게 된 것은 모두 X-Force Red의 취약성 관리 서비스 덕분입니다.
숫자는 거짓말을 하지 않습니다. X-Force Red와 파트너십을 맺은 지 불과 4개월 만에 가장 심각한 취약점이 60%, 총 취약점이 44% 감소했습니다.
이제 X-Force Red의 취약점 관리 서비스의 수정 촉진 구성 요소를 구현하여 가장 심각한 문제를 관리 가능한 일괄 처리로 시스템 관리 팀에 푸시하여 문제를 해결하도록 하고 있습니다.
취약성 관리 관행의 보고 및 추적 측면 외에도 X-Force Red 팀은 스캐닝 인프라 개선을 주도하는 역할도 담당했습니다. 중복 스캔을 제거하고 스캐너 구성 문제를 해결하기 위한 재구성 덕분에 환경을 거의 두 배 더 빠르게 스캔할 수 있습니다.
우리 팀은 X-Force Red와의 지속적인 파트너십과 취약성 관리 서비스가 미래 보안에 미치는 중요한 영향에 대해 낙관적으로 생각하고 있습니다. 파트너가 기대치를 뛰어넘는 경우가 흔치 않은데, X-Force Red는 정말 만족스러웠습니다.
법률
© Copyright IBM Corporation 2019. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
2019년 9월 미국에서 제작.
IBM, IBM 로고, ibm.com 및 X-Force는 전 세계 여러 국가에 등록된 International Business Machines Corp.의 상표입니다. 기타 제품 및 서비스 이름은 IBM 또는 다른 회사의 상표일 수 있습니다. 최신 IBM 상표 목록은 https://ibm.com/legal/copyright-trademark의 '저작권 및 상표 정보'에서 확인할 수 있습니다.
이 문서는 최초 발행일 기준 최신 문서로, IBM은 언제든지 해당 내용을 변경할 수 있습니다. IBM이 현재 영업 중인 모든 국가에서 모든 제품이 제공되는 것은 아닙니다.
명시된 성능 데이터 및 고객 사례는 오직 정보 목적으로 제공됩니다. 실제 성능 결과는 특정 구성 및 작동 조건에 따라 다를 수 있습니다. 본 문서의 정보는 상품성, 특정 목적에의 적합성, 비침해성 보증 또는 조건을 포함하여 명시적 또는 묵시적 보증 없이 '있는 그대로' 제공됩니다. 제품 제공 시의 계약 조건에 따라 해당 IBM 제품을 보증합니다.
우수 보안 실천 선언문: IT 시스템 보안에는 기업 내외부의 부적절한 액세스를 예방, 탐지 및 대응하여 시스템과 정보를 보호하는 것이 포함됩니다. 부적절한 액세스로 인해 정보가 변경, 삭제, 도용, 오용될 수 있으며 다른 대상을 공격하는 데 이용되는 것을 포함하여 시스템이 손상되거나 악용될 수 있습니다. 어떠한 IT 시스템이나 제품도 완전하게 안전하다고 간주해서는 안 되며, 어떠한 단일 제품, 서비스 또는 보안 조치도 부적절한 사용 또는 액세스를 완전히 효과적으로 방지할 수 없습니다. IBM 시스템, 제품 및 서비스는 합법적이고 포괄적인 보안 접근 방식의 일부로 설계되었으며, 이에 따라 반드시 추가적인 운영 절차가 필요합니다. 또한 가장 효과적인 운영을 위해 다른 시스템, 제품 또는 서비스가 필요할 수 있습니다. IBM은 시스템, 제품 또는 서비스가 임의 사용자의 악의적이거나 불법적인 행위로부터 영향을 받지 않는다는 것을 보증하지 않으며, 귀사가 이러한 행위로부터 영향을 받지 않음을 보증하지 않습니다.