같은 보안 담당자인데 누구는 매일 야근을, 다른 누구는 매일 칼퇴를 한다면?
오늘은 서로 다른 회사에서 보안을 담당하고 있는 제프와 톰의 이야기를 들려드리겠습니다.
이 두 사람의 미션은 회사를 사이버 공격으로부터 보호하는 것입니다.
하지만 이들의 보안 환경은 정반대라는데요.
그럼 이 둘의 보안 방식, 운영 방식, 그리고 위협탐지 시간을 한번 비교해 볼까요?
1. 보안 방식
제프는 예방(공격 전)에 치중하는 보안 방식을 사용합니다.
알려진 멀웨어가 네트워크에 침입하기 전에 막는 방식이죠.
하지만 위의 그림처럼 멀웨어가 교묘히 잠입한 이후에는 가시성이 현저히 떨어진다는 한계가 있습니다.
즉, 도둑이 우리집에 들어왔는데 어디서 뭘하는지 모르는 거죠!
톰은 예방 차원의 보안을 넘어 공격의 전/중/후를 막기위해, 시스코의 AMP(Cisco Advanced Malware Protection)을 사용합니다.
만약 진화한 멀웨어가 이들을 요리조리 다 피해서 내부로 침입하는 상황이 생기더라도 AMP는 계속적으로 파일 활동들을 모니터링 및 기록해 악의적인 행동을 딱! 잡아낼 수 있습니다.
만약 도둑이 집안에 들어왔다 하더라도, 어디에서 뭘하는지 바로 파악이 가능하다면?
실제로 물건을 훔쳐서 나가기 전에 현장에서 잡아낼 수 있겠죠?
2. 운영방식
제프는 무려 40개가 넘는 보안 제품을 사용하고 있습니다. 그것도 서로 다른 보안 업체의 제품을 말이죠. 이 제품들을 사용하려면 대부분 박스를 추가 구축해야 하고, 관리하기에 번거로운데다가 심지어 비싸죠. 게다가 각각의 제품은 자신만의 관리 시스템을 갖고 있고, 정보를 각기 다른 방식으로 보여주지요.
제프는 힘겹게 위협 정보를 판독해 공격의 범위를 알아내고, 대응합니다.
하지만 이렇게 따로따로 운영되는 툴들이 서로 소통할 수 없기 때문에 틈이 생길 수 밖에 없습니다. 진화된 위협 요소들은 너무나도 쉽게 그 사이를 뚫고 침입할 수 있지요.
40개가 넘는 제품을 관리해야 하는데, 보안마저 부실하다니!
이렇게 억울할 수가 있나요?
한편, 톰은 AMP로 통합된 보안 시스템을 쉽게 관리하고 있습니다.
AMP는 클라우드 기반으로 되어있기 때문에, 새로운 박스를 추가하지 않아도 강력한 보안이 가능합니다. 뿐만 아니라 확장 네트워크 전반에 구축되어있는 AMP 덕분에 톰은 멀웨어 활동에 대한 뛰어난 가시성을 확보할 수 있습니다.
위협 정보와 이벤트 데이터도 모두 일관된 포맷으로 톰에게 전달되지요.
톰은 이를 쉽게 이해하고, 이에 대해 빠르게 대처할 수 있습니다.
또한 그 데이터들은 서로 다른 AMP 컨트롤 포인트에 공유되고 연결됩니다. 이건 곧 엔드포인트에 있거나 네트워크 단에 있는 AMP가 수상한 행동을 감지할 수 있음을 의미하지요. 톰이 보유하고 있는 전체적인 보안 생태계는 시스템적으로 반응하고, 보안 틈새를 없애고 위협을 빠르게 없애줍니다.
효율적인데, 강력하기까지! AMP와 톰이 환상의 팀이네요!
3. 위협탐지시간
강력한 보안의 관건인 위협탐지시간은 어떨까요?
제프는 평균 위협탐지시간(Time to Detection, TTD)이 100일이나 걸렸고,
톰은 몇 시간, 혹은 몇 분 만에 문제를 발견, 해결할 수 있었습니다.
도둑을 100일만에 잡는 경찰과 몇시간만에 잡는 경찰이 있다면?
당연히 후자에게 신고를 하겠죠? ^^
보안 담당자에게 든든한 보안 환경과 동시에 칼퇴를 선사하는 AMP와 환상의 팀을 만들어 보세요!
시스코 AMP에 대한 자세한 정보는 여기에서 확인하실 수 있습니다.
