기업에서 위험을 평가하고 우선순위를 지정하며 완화하는 방법 등 위험 대비 태세를 관리하는 것은 결코 쉬운 일이 아닙니다. 하지만 공격면이 계속 급속하게 확장됨에 따라 이러한 작업은 점점 더 복잡해지고 비효율적이 되었습니다. (한 글로벌 설문조사에 따르면 SOC 팀원들은 평균적으로 업무 시간의 1/3을 위협이 되지 않는 사고를 처리하는 데 씁니다.)
하지만 노력과 어려움을 줄이면서 위험을 완화할 수 있다면 어떨까요?
이 게시물에서는 보안 액세스 서비스 에지(SASE)와 웹 앱 및 API(WAAP)보안 포트폴리오 전반에 걸쳐 기능을 통합하는 새로운 제품군 덕분에 Cloudflare에서 고객이 이를 수행하도록 지원하는 방법을 살펴봅니다. 다음 설명을 보시죠.
이 접근 방식이 공격면을 더 많이 보호하면서 SecOps 노력을 줄이는 데 도움이 되는 이유
3가지 핵심 사용 사례(확장된 CrowdStrike 파트너십을 통한 Zero Trust 적용 포함)
Cloudflare에서 이러한 기능을 기반으로 탐색하고 있는 다른 신규 프로젝트
Cloudflare for Unified Risk Posture
오늘, 저희는 확장되는 공격면 전반에 걸쳐 자동화된 동적 위험 대비 태세 실행을 통해 기업에 도움을 줄 수 있는 새로운 사이버 보안 위험 관리 기능 제품군인 Cloudflare for Unified Risk Posture를 발표합니다. 이제 하나의 통합 플랫폼으로 조직에서는 다음을 누릴 수 있습니다.
사람 및 앱 전반에 걸친 zero-day 위험 평가: Cloudflare에서는 사용자 엔터티 및 행동 분석(UEBA) 모델을 통해 사람이 제기하는 위험과 악의적 페이로드, zero-day 위협, 봇 감지 모델을 통해 앱, API, 사이트에 대한 위험을 평가합니다.
동급 최고의 파트너와 위험 지표 교환: Cloudflare에서는 동급 최고의 엔드포인트 보호(EPP) 및 ID 공급자(IDP) 파트너로부터 위험 점수를 수집하고, 원격 측정 값을 보안 정보 및 이벤트 관리(SIEM), 추가 분석을 위한 확장 감지 및 대응(XDR) 플랫폼의 기능을 제공할 수 있으며 이 모든 것이 통합 API와의 원타임 통합으로 이루어집니다.
대규모로 자동화된 위험 제어 실행: Cloudflare에서는 이러한 동적 자사 및 타사 위험 점수를 기반으로 전 세계 모든 위치에서 사람과 앱에 대한 일관된 위험 제어를 실행합니다.
그림 1: Unified Risk Posture 다이어그램
앞서 언급했듯이 이 제품군은 Cloudflare의 SASE 및 WAAP 보안 포트폴리오의 기능을 Cloudflare의 전역 네트워크에 통합한 것입니다. 이제 고객은 기존 포트폴리오에 포함되어 기본 제공되는 위험 관리 기능을 활용할 수 있습니다.
이번 출시는 자사에서 진화하는 위험에 더 쉽게 적응할 수 있도록 자사 가시성, 제어, 타사 통합을 확장하려는 점진적인 노력을 기반으로 합니다. 예를 들어, 2024 Security Week의 일환으로 저희는 행동 기반 사용자 위험 점수의 일반 가용성과 앱이 직면한 위험을 분석하는 데 도움이 되는 AI 지원 도우미의 베타 가용성을 발표했습니다. 그리고 최근 2023년 가을 통합을 통해 클라우드 이메일 보안 고객이 CrowdStrike Falcon® Next-Gen SIEM 대시보드 내에서 위협 감지를 수집하고 표시할 수 있다고 발표했습니다.
위험 태세를 추가로 관리하기 위해 다음과 같은 새로운 Cloudflare 기능 및 통합을 활용할 수 있습니다.
Cloudflare Zero Trust와 이메일 로그 데이터를 CrowdStrike Falcon Next-Gen SIEM과 공유하는 새로운 통합_(지금 이용 가능)_
Cloudflare의 사용자 위험 점수를 Okta와 공유하여 액세스 정책을 시행하는 새로운 통합_(2024년 2분기 말 출시)_
장치 상태 확인 결과에 따른 사용자 위험 점수를 포함한 새로운 자사 UEBA 모델_(2024년 2분기 말 출시)_
위험 관리의 평가, 교환, 적용 단계를 Cloudflare 플랫폼으로 통합하면 보안 리더가 더 적은 노력으로 위험을 완화할 수 있습니다. 공개 인프라와 내부 인프라를 모두 방어하는 사이버 보안 벤더로서 Cloudflare는 늘어나는 공격면을 폭넓게 보호할 수 있는 독보적인 위치에 있습니다. 동적 퍼스트 파티 위험 점수, 유연한 통합, 자동화된 시행을 결합하면 다음과 같은 두 가지 주요 비즈니스 성과를 달성할 수 있습니다.
수동 정책 구축을 줄이고 사고에 대한 민첩성을 강화하여 SecOps에 드는 노력을 줄입니다. 즉, 클릭 수를 줄임으로써 정책을 구축하고, 워크플로우를 자동화하며, 사고에 대한 평균 감지 시간(MTTD)과 평균 응답 시간(MTTR)을 줄일 수 있습니다.
사람과 앱을 포괄하는 가시성과 제어 기능을 통해 사이버 위험을 줄입니다. 즉, 중요 사고가 감소하고 위협은 더 많이 자동으로 차단됩니다.
세계 최고의 구인 사이트 Indeed와 같은 고객은 이미 Cloudflare와의 협업을 통해 이러한 영향을 확인하고 있습니다.
"Cloudflare에서는 더 적은 노력으로 위험을 더 효과적으로 완화하고 조직 전체에 Zero Trust를 제공하는 방법을 간소화하도록 지원합니다."— Anthony Moisant, Indeed상무, 최고 정보 책임자 겸 최고 보안 책임자.
문제: 공격면이 너무 커서 위험 과다 발생
위험 상태 관리는 본질적으로 공격 벡터의 내부 위험과 외부 위협을 모두 다루어야 하는 광범위한 과제입니다. 다음은 CISO와 보안팀에서 사람, 앱, 데이터 등 일상적인 세 가지 차원에서 추적하는 위험 요소의 예시입니다.
인적 위험: 피싱, 소셜 엔지니어링, 맬웨어, 랜섬웨어, 원격 액세스, 내부자 위협, 물리적 액세스 손상, 타사/공급망, 모바일 장치/BYOD
앱 위험: 서비스 거부, zero-day 익스플로잇, SQL 삽입, cross-site scripting, 원격 코드 실행, 자격 증명 스터핑, 계정 탈취, 섀도우 IT 사용, API 남용
데이터 위험: 데이터 손실/노출, 데이터 도난/유출, 개인정보 침해, 규제 준수 위반, 데이터 변조
이러한 특정 위험과 공격 벡터를 차단하기 위해 포인트 솔루션이 등장했습니다. 하지만 그러나 시간이 지남에 따라 조직에서는 서로 대화하고 위험에 대한 보다 전체적인 관점을 구축할 수 있는 기능이 제한된 많은 서비스를 축적해 왔습니다. 각 도구에서 생성되는 세분화된 원격 측정으로 인해 이미 역량이 부족한 보안 담당자에게는 정보 과부하가 발생했습니다. 보안 정보 및 이벤트 관리(SIEM)와 확장 감지 및 대응(XDR) 플랫폼은 환경 전반에서 위험 데이터를 집계하고 분석을 기반으로 위협을 완화하는 데 있어 중요한 역할을 하지만, 이러한 도구가 효과적으로 작동하려면 여전히 시간, 리소스, 전문 지식이 필요합니다. 이러한 모든 문제는 기업에서 하이브리드 근무를 수용하고, 새로운 디지털 앱을 구축하며, 최근에는 AI를 실험하며 공격면이 빠르게 확장되면서 더 악화되었습니다.
Cloudflare에서 위험 상태 관리를 지원하는 방법
Cloudflare for Unified Risk Posture는 이러한 복잡성을 제어할 수 있도록 지원하기 위해, 비즈니스에서 이미 사용하고 있는 보안 도구를 보완하면서 IT 환경과 전 세계에서 위험을 평가하고, 지표를 교환하며, 동적 제어를 적용할 수 있는 단일 플랫폼을 제공합니다.
Cloudflare에서 완화할 수 있는 구체적인 위험은(위의 샘플 글 머리 기호에 언급된 모든 위험을 포함하여) 광범위하지만, 다음 세 가지 사용 사례는 Cloudflare의 역량을 모두 갖춘 사례이므로 오늘부터 바로 이용해 보시기 바랍니다.
사용 사례 #1: Cloudflare와 CrowdStrike로 Zero Trust 실행
이 첫 번째 사용 사례는 고객의 현재 보안 생태계에 Cloudflare를 적용하는 유연성을 통해 Zero Trust 모범 사례를 더 쉽게 도입할 수 있도록 돕는 것입니다.
Cloudflare에서는 동급 최고의 EPP 및 IDP 파트너와 통합하고 보안 신호를 수집하여 모든 목적지에 대한 액세스 요청에 대해 ID 및 장치 상태 확인을 적용합니다. 한 번에 여러 공급자를 온보딩하여 상황에 따라 각기 다른 정책을 시행할 수도 있습니다. 예를 들어, CrowdStrike Falcon®과 통합하면 공통 고객은 위치, 네트워크, 사용자와 관계없이 조직의 모든 엔드포인트에 걸쳐 실시간 보안 상태 평가를 지속적으로 제공하는 Falcon Zero Trust Assessment(ZTA) 점수에 기반한 정책을 시행할 수 있습니다. 또한, 고객은 모든 액세스 요청을 포함하여 Cloudflare에서 생성된 활동 로그를 원하는 클라우드 스토리지나 분석 공급자에게 푸시할 수 있습니다.
오늘, 저희는 조직들이 SIEM Falcon Next-Gen SIEM Cloudflare Zero Trust SIEM Zero Trust 과 로그를 공유하여 더 심층적인 분석과 추가 조사를 할 수 있도록 하는 새로운 통합을 위해 CrowdStrike와의 확장된 파트너십을 발표합니다. Falcon Next-Gen SIEM은 자사 및 타사 데이터, 기본 위협 인텔리전스, AI, 워크플로우 자동화를 통합하여 SOC 혁신을 주도하고 더 나은 위협 보호를 시행합니다. Cloudflare Zero Trust와 이메일 로그를 Falcon Next-Gen SIEM과 통합하면 공동 고객은 Zero Trust 네트워킹 및 이메일 위험을 식별 및 조사하고 다른 로그 소스와 함께 데이터를 분석하여 숨겨진 위협을 발견할 수 있습니다.
"CrowdStrike Falcon Next-Gen SIEM은 기존 SIEM 및 SIEM의 대안으로 자리 잡은 제품보다 최대 150배 더 빠른 검색 능력을 제공합니다. 저희는 변혁적인 원격 측정 기능을 Cloudflare의 강력한 Zero Trust 기능과 결합하여 전례 없는 파트너십을 제공합니다. 위험 관리 퍼즐의 가장 중요한 두 가지 조각을 통합함으로써 모든 규모의 조직에서 반드시 해결해야 하는 오늘날의 증가하는 위협에 대처할 수 있도록 합니다."— Daniel Bernard, CrowdStrike 최고 비즈니스 책임자
다음은 Cloudflare와 CrowdStrike가 함께 작업하여 Zero Trust 정책을 시행하고 새로운 위험을 완화하는 방법을 보여 주는 워크플로우 예시입니다. Cloudflare와 CrowdStrike는 활동 및 위험 데이터를 교환하고 위험 기반 정책 및 복원 단계를 시행함으로써 서로를 보완합니다.
그림 2: Cloudflare와 CrowdStrike를 통한 Zero Trust 시행
1단계: 조사 자동화
2단계: Zero Trust 시행
3단계: 복원
Cloudflare와 CrowdStrike는 조직에서 사용자 손상을 감지하는 데 도움을 줍니다.
이 예에서 Cloudflare는 최근 위험한 웹 사이트로의 웹 브라우징 및 피싱 이메일을 차단하여 1차 방어선 역할을 하고 있습니다. 이러한 로그는 CrowdStrike Falcon Next-Gen SIEM으로 전송되어 조직의 분석가에게 의심스러운 활동에 대해 알립니다.
동시에 CrowdStrike Falcon Insight XDR은 자동으로 사용자의 장치를 스캔하고 감염된 것을 감지합니다. 그 결과로 장치의 상태를 반영하는 Falcon ZTA 점수가 낮아집니다.
이 조직에서는 Cloudflare의 Zero Trust 네트워크 액세스(ZTNA)를 통해 장치 상태 검사를 설정하여 Falcon ZTA 위험 점수가 정의한 특정 임계값을 초과하는 경우에만 액세스를 허용합니다.
Falcon ZTA 점수가 해당 임계값 아래로 낮아졌으므로 ZTNA는 앱 액세스를 위한 사용자의 다음 요청을 거부합니다.
이처럼 실패한 장치 상태 확인 때문에 Cloudflare에서는 해당 사용자의 위험 점수를 높여 더욱 제한적인 제어가 가능한 그룹으로 분류합니다.
이와 병행하여, CrowdStrike의 Next-GenSIEM은 조직 환경 전반의 특정 사용자 활동과 더욱 광범위한 위험을 계속 분석해 왔습니다. CrowdStrike는 머신 러닝 모델을 사용하여 최상위 위험을 파악하고 분석가에게 각 위험에 대한 솔루션을 제안합니다.
그런 다음 분석가는 조직 전체의 위험을 더욱 줄이기 위해 사용자 장치를 격리하는 등의 복원 전술을 검토하고 선택할 수 있습니다.
사용 사례 #2: 앱, API, 웹 사이트 보호
이 사용 사례는 위협 행위자와 봇으로부터 앱, API, 웹 사이트를 보호하는 데 초점을 맞춥니다. 많은 고객이 이 사용 사례에 대하여 먼저 Cloudflare를 채택하지만, 자신의 보호를 뒷받침하는 위험 평가 알고리즘에 대해서는 모르고 있을 수 있습니다.
그림 3: ML 지원 위협 인텔리전스로 앱, API, 사이트 보호
Cloudflare의 앱 서비스는 다음과 같은 머신 러닝(ML)을 기반으로 하는 위험 모델을 사용하여 악의적인 페이로드 및 봇을 감지하고 완화합니다.
요청에 zero-day 익스플로잇이 포함되어 있는지 또는 SQL 삽입, cross-site scripting, 원격 코드 실행 페이로드 등의 일반적인 OWASP 상위 10대 위험이 포함되어 있는지 점수를 매기는 WAF attack score
저희 봇 점수(요청이 봇에서 왔을 가능성을 점수로 매김)
저희 악의적 스크립트 분류기(웹 사이트 방문자에 대한 브라우저 스크립트의 위험을 살펴 봄)
이러한 위험 모델은 전체 웹 사이트의 약 20%에서 리버스 프록시로 사용되며 하루에 약 3조 개의 DNS 쿼리를 처리하는 Cloudflare 전역 네트워크의 원격 분석을 통해 주로 학습됩니다. 이러한 고유한 실시간 가시성을 통해 위협 인텔리전스를 강화하고 zero-day를 다른 사람보다 먼저 감지하고 완화할 수 있습니다.
또한 Cloudflare에서는 ML을 사용하여 사전 고객 입력을 요구하지 않고 새로운 API 엔드포인트 및 스키마를 검색합니다. 이를 통해 조직에서 보호를 적용하기 전에 인증되지 않은 API를 발견하고 증가하는 공격면을 매핑하는 데 도움이 됩니다.
다른 벤더와 달리 Cloudflare의 네트워크 아키텍처는 공개된 인프라와 내부 인프라에 대한 위험 평가 모델과 보안 제어를 모든 서비스에서 공유할 수 있습니다. 즉, 조직에서 자체 호스팅 Jira 및 Confluence 서버와 같은 내부 서버 전면에서 앱 취약점 악용, DDoS, 봇에 대한 보호를 적용하여 새롭게 떠오르는 위협 및 zero-day 위협까지도 보호할 수 있습니다.
조직에서는 Cloudflare 보안 센터 내에서 앱, API, 웹 사이트의 위험 상태에 영향을 미치는 잠재적 구성 오류, 데이터 유출 위험, 취약점을 검토할 수 있습니다. 저희는 보안 포트폴리오 전반에 걸친 알림과 인사이트를 통합하여 이러한 위험 상태 관리의 중앙 집중식 보기에 투자하고 있습니다. 실제로, 저희는 조직에서 Cloudflare 서비스를 배포하는 방식에 결함이 있는 부분을 강조하는 업데이트를 최근 발표했습니다.
마지막으로, 조직에서 보안 이벤트를 직접 더 쉽게 조사할 수 있도록 지원하고 있으며, 최근 Log Explorer의 베타 버전을 발표했습니다. 이번 베타에서 보안팀은 검색, 분석 대시보드, 기본 제공 필터를 통해 한 곳에서 모든 HTTP 트래픽을 확인할 수 있습니다. 이러한 기능 덕분에 고객은 타사 도구에 내보내는 것보다 Cloudflare 플랫폼 내에서 더 많은 위험 요소를 모니터링할 수 있습니다.
사용 사례 #3: UEBA로 중요한 데이터 보호
세 번째 사용 사례에는 많은 고객이 사용자 위험/UEBA 점수 활용을 계획하여 중요한 데이터의 유출 및 잘못된 취급을 방지하는 일반적인 방법 한 가지가 요약되어 있습니다.
그림 4: ML 지원 위협 인텔리전스로 앱, API, 사이트 보호
1단계: 이 예에서 보안 팀에서는 중요한 데이터가 있는 트래픽을 감지하고 차단할 수 있도록 이미 데이터 손실 방지(DLP) 정책을 구성했습니다. 이러한 정책은 한 사용자가 공개 GitHub 리포지토리에 소스 코드를 업로드하려는 시도를 여러 번 반복하지 못하도록 합니다.
2단계: 이 사용자가 짧은 시간 내에 많은 수의 DLP 정책을 위반했기 때문에 Cloudflare에서는 업로드 내용이 악의적인 의도든, 양호한 의도든, 의심스러운 사용자를 고위험군으로 분류합니다. 이제 보안팀에서는 해당 사용자의 최근 로그 활동을 모두 검토하는 것을 포함하여 해당 사용자를 추가로 조사할 수 있습니다.
3단계: 그런 다음 관리자는 특정 고위험 사용자 또는 고위험 사용자 그룹에 대해 ZTNA 또는 브라우저 격리 규칙을 설정하여 다른 중요한 데이터가 포함된 앱에 대한 액세스를 차단하거나 격리할 수 있습니다.
이 워크플로우에서는 Cloudflare의 위험 상태 제어가 평가부터 시행까지 의심스러운 행동에 적응하는 방식을 전체적으로 강조합니다.
통합 위험 상태 관리를 시작하는 방법
상기 사용 사례에는 고객이 Cloudflare를 통해 위험 관리를 통합하는 방식이 반영되어 있습니다. 이러한 고객과의 대화를 통해 확장되는 공격면 전반에서 위험을 관리할 수 있도록 지원하는 당사의 비전을 확신하는 이유에 대한 몇 가지 주제가 나타났습니다.
저희 통합 플랫폼의 단순함: 저희는 사람과 앱에 대한 SASE 및 WAAP 위험 점수 매기기 및 제어 기능을 통합합니다. 또한 모든 Cloudflare 서비스에 대한 단일 API를 통해 조직에서는 Terraform과 같은 코드형 인프라 도구를 사용하여 워크플로우를 쉽게 자동화하고 사용자 지정할 수 있습니다.
저희 통합의 유연성: Cloudflare에서는 여러분이 이미 사용하고 있는 EPP, IDP, XDR, SIEM 공급자와 위험 신호를 교환하므로, 도구와 데이터로 더 많은 작업을 수행할 수 있습니다. 또한, Cloudflare의 모든 서비스에 걸쳐 적용되는 일회성 통합 덕분에 민첩하게 IT 환경 전반으로 제어 기능을 확장할 수 있습니다.
전역 네트워크 규모: 320여 개의 위치 및 13,000여 개의 상호 연결에 걸쳐 Cloudflare 네트워크의 모든 위치에서 모든 보안 서비스를 실행할 수 있습니다. 이러한 방식으로, 단일 경로 검사 및 위험 정책 시행이 사용자 및 앱과 가까운 곳에서 항상 빠르고 일관되며 복원 가능하고 제공됩니다.
Cloudflare가 위험 관리에 어떻게 도움이 되는지 확인할 준비가 되었다면 오늘 자문을 요청하세요. 2024년 RSA Conference에 참가하신다면 Cloudflare의 오프라인 이벤트에도 꼭 참석해 주시기 바랍니다.
Cloudflare가 위험을 평가하고, 위험 지표를 교환하며, 위험 제어를 시행하는 데 어떻게 도움이 되는지 알아보려면, Cloudflare 웹 사이트에서 더 많은 리소스를 찾아보세요.