모든 VPN에 강력한 SIEM이 필요한 이유는 무엇입니까?

게시 됨: 2020-08-05

가상 사설망은 지난 20년 동안 개인과 조직에서 사용되었습니다. VPN은 암호화된 정보를 한 지점에서 다른 지점으로 전송할 수 있는 보안 터널을 생성합니다. 비즈니스 세계에서는 직원이 조직의 네트워크에 연결하고 정보를 안전하게 보내고 받을 수 있습니다. VPN은 우리가 있는 가정 환경에서의 작업을 고려할 때 더 큰 역할을 수행했습니다.

사람들이 집에서 얼마나 오래 일할지는 분명하지 않습니다. 일부 조직은 팬데믹이 끝난 후에도 인력의 일부가 원격으로 근무하게 될 것임을 이미 보여주었습니다. 더 많은 사람들이 집에서 일하고 있다는 사실이 사이버 범죄자들의 관심을 끌었습니다. 그들은 가정 환경에서 일하는 것을 악용할 수 있는 취약점을 만드는 것으로 봅니다.

목차 보기
  • VPN을 겨냥한 사이버 공격
  • 기본적인 보안 조치 이상이 필요합니다.
  • SIEM 플랫폼이 조직에 어떤 이점을 줄 수 있습니까?
  • SIEM이 재택 근무 환경에서 보안 위험을 완화하는 데 어떻게 도움이 됩니까?
  • SIEM을 사용하여 CEO Fraud로 인한 피해 감지 및 완화
  • SIEM에서 수집한 정보를 사용하여 사이버 보안 개선

VPN을 겨냥한 사이버 공격

사이버 보안 보호 개인 정보 암호화 안전 암호 방화벽 액세스

Privacy Australia의 Will Ellis는 전문가의 말을 인용하여 사이버 범죄자들이 공격을 저지르는 주요 방법 중 하나가 VPN 침투를 시도하는 것임을 확인했습니다. 그가 말했듯이 “안타깝게도 많은 경우에 그들은 최근 몇 달 동안 성공적이었습니다. 이로 인해 기업과 정부 기관은 보안 조치를 강화했습니다.”

사이버 범죄자가 VPN을 뚫고 조직의 네트워크에 액세스하는 즉시 사탕 가게에 있는 아이들과 같습니다. 그들은 네트워크와 서비스를 샅샅이 뒤질 수 있습니다. 여가 시간에는 취약성, 잘못된 구성 및 약점을 찾을 수 있습니다. 데이터를 조작하거나 시스템을 파괴하거나 전송 중인 민감한 데이터를 중단할 수 있는 액세스 권한을 얻은 범죄자가 입힐 수 있는 피해에는 제한이 없습니다.

추천: VPN과 프록시: 차이점은 무엇인가요? 어느 것이 더 낫습니까?

기본적인 보안 조치 이상이 필요합니다.

안전-보안-인터넷-암호-잠금-SIEM

대부분의 조직은 이미 VPN 보안을 개선하기 위해 권장되는 기본 단계를 사용하고 있습니다. 여기에는 복잡하고 고유하며 주기적으로 변경되는 강력한 암호를 요구하는 것이 포함됩니다. 프로비저닝 또는 역할 기반 제어 액세스는 그룹별로 리소스를 제한하는 것을 의미합니다. 다단계 인증은 권한이 있는 사용자나 중요한 데이터 및 소프트웨어에 액세스해야 하는 사용자에게도 사용되고 있습니다.

이러한 단계의 중요성을 최소화해서는 안됩니다. 지속적으로 정교해지고 있는 사이버 보안 공격으로부터 자신을 보호하는 데 이러한 기본 단계가 모두 필요하다고 믿는다면 조직은 스스로를 속일 것입니다.

정교한 공격에는 보안 정보 및 이벤트 관리 플랫폼과 같은 정교한 솔루션이 필요합니다. SIEM은 VPN을 포함하여 조직이 사용하는 보안 도구에서 데이터를 수집하고 상관 관계를 지정하는 도구입니다.

SIEM을 사용하면 별도의 보안 도구에서 수집한 정보를 함께 컴파일하여 데이터를 개별적으로 보면 수집하기 쉽지 않은 보안 위협에 대한 통찰력을 얻을 수 있습니다. 이러한 플랫폼은 조직이 실제로 고위험 이벤트를 식별하고 이를 소음과 분리하는 데 도움이 될 수 있습니다.

예를 들어 직원이 뉴욕 시에서 VPN에 연결할 수 있습니다. 45분 후 동일한 직원이 미네소타주 미니애폴리스에서 조직의 VPN에 연결합니다. SIEM 플랫폼은 이것이 물리적으로 불가능하다는 것을 알 수 있어야 하며 조사가 필요한 의심스러운 행동으로 플래그를 지정할 수 있어야 합니다.

SIEM 플랫폼이 조직에 어떤 이점을 줄 수 있습니까?

위험-보안-위협-사이버-범죄-사기-바이러스-해킹

SIEM 솔루션은 실시간 위협 탐지를 제공합니다. 효율성을 높이고, 비용을 절감하고, 잠재적인 위협을 최소화하고, 보고 및 로그 분석을 개선하고, IT 컴플라이언스를 촉진합니다. SIEM 솔루션은 다양한 장치 및 애플리케이션의 이벤트 로그를 연결할 수 있으므로 IT 직원은 잠재적인 보안 침해를 신속하게 식별, 대응 및 검토할 수 있습니다. 사이버 보안 위협이 더 빨리 식별될수록 미치는 영향이 줄어듭니다. 때로는 손상을 완전히 방지할 수 있습니다.

SIEM 플랫폼을 통해 IT 팀은 조직의 보안 도구가 보호하는 모든 위협에 대한 큰 그림을 볼 수 있습니다. 맬웨어 또는 바이러스 백신 필터의 단일 경고는 그다지 큰 문제가 아니거나 경보를 울리지 않을 수 있습니다. 그러나 방화벽, 바이러스 백신 필터 및 VPN에서 동시에 경고가 발생하면 심각한 위반이 진행 중임을 나타낼 수 있습니다. SIEM은 여러 위치에서 알림을 수집한 다음 중앙 집중식 콘솔에 표시하여 응답 시간을 최대화합니다.

VPN 대 RDS 대 VDI: 안전한 원격 액세스를 위해 무엇을 선택 해야 할까요 ?

SIEM이 재택 근무 환경에서 보안 위험을 완화하는 데 어떻게 도움이 됩니까?

SIEM-보안-정보-이벤트-관리

코로나바이러스 대유행으로 인해 조직은 많은 조직이 수리한 것보다 더 빨리 현장 직원에서 완전 원격 인력으로 전환해야 했습니다. 즉, 고객에게 일관된 서비스를 제공하는 것과 높은 수준의 사이버 보안을 유지하는 것 사이에서 균형을 유지하고 절충해야 했습니다.

이 변경 사항을 성공적으로 처리할 수 있는 규칙 및 방어를 수동으로 구성하는 것은 시간이 많이 걸립니다. 아직 SIEM 플랫폼을 사용하고 있지 않은 조직은 자택 대기 명령의 처음 몇 주 동안 실망스럽고 위험하며 비용이 많이 드는 따라잡기 게임을 했습니다.

이미 SIEM을 사용하고 있는 조직은 더 쉽게 전환할 수 있습니다. 행동 분석과 기계 학습을 활용한 종합적인 시스템을 갖추고 있었기 때문에 업무 환경의 변화에 ​​자동으로 적응할 수 있었습니다. 이것은 IT 팀의 많은 스트레스를 덜어줍니다.

행동 분석의 주요 이점 중 하나는 조직과 사용자의 기본 정상 활동을 확인한 다음 해당 정상 활동에서 편차가 있을 때 자동으로 감지하고 경보를 울리는 기능입니다. 이러한 방식으로 조직의 보안 제어는 유연하며 비즈니스 환경 변화에 따라 변경될 수 있습니다. 직원들이 재택근무를 하는 것이 새로운 표준이 된 것과 같이 새로운 것으로 자동 조정됩니다.

SIEM을 사용하여 CEO Fraud로 인한 피해 감지 및 완화

keyboard-laptop-red-copy-hacking-cyber-security-data-SIEM

재택 근무 환경으로 인해 이메일 커뮤니케이션이 그 어느 때보다 중요해졌습니다. 사무실에서 일하던 일의 일부였던 대면 상호작용이 사라졌기 때문이다. 불행하게도 수많은 이메일이 앞뒤로 전송되고 있기 때문에 경영진, 이사 또는 기타 책임자의 이름으로 사기성 이메일이 전송될 가능성이 있습니다.

CEO 사기는 비교적 새로운 형태의 사이버 범죄입니다. 사회 공학 공격은 사기를 치는 개인에게 돈이나 기밀 정보를 보내도록 조직의 사람을 속이는 데 사용됩니다.

CEO 사기는 COVID-19 이전에 존재했습니다. 불과 3년 만에 23억 달러 이상의 손실을 낼 수 있는 것으로 추산됩니다. 사람들이 경영진과 일대일로 접촉하는 사무실 환경에서 일할 때 많은 조직이 스스로 이메일 사기를 쉽게 식별할 수 있다고 잘못 생각했습니다.

그러나 CEO 사기 사례를 검토할 때 사기꾼과 피해자 사이에 여러 이메일이 오가며 피해자가 더 현명하지 않은 것이 분명합니다. CEO 사기는 적절한 도구 없이는 잡을 수 있는 정교하고 사실상 불가능한 사기 유형입니다. 비교적 안전한 사무실 환경에서 잡기 어려웠다면 직원들이 분산되고 대면 접촉이 줄어드는 지금을 상상해보세요.

CEO 사기는 두 가지 방식으로 나타납니다. 하나는 고위 관리자의 이메일 계정이 해킹된 경우입니다. 다른 하나는 합법적인 비즈니스 도메인과 유사한 도메인에서 이메일이 전송되는 경우입니다. 첫 번째로 사기꾼은 고위 직원의 이메일 계정을 손상시킵니다. 두 번째 사례에서, 타이포스쿼팅은 직원들이 감독 위치에 있는 개인으로부터 정보를 받았다고 믿도록 속이는 데 사용됩니다.

SIEM 솔루션이 도움이 될 수 있습니다. 이를 통해 조직은 손상된 자격 증명 위험보다 앞서 나갈 수 있습니다. CEO, 관리자 또는 책임 있는 위치에 있는 다른 개인의 이메일 계정이 손상된 경우 SIEM 솔루션은 위반이 발생하기 전에 이를 식별하고 중지하는 데 도움을 줄 수 있습니다. 이는 SIEM 솔루션이 네트워크 전체에서 데이터를 모니터링하기 때문입니다. 여기에는 Active Directory 서비스, O365, 방화벽, 저장소 단위, Salesforce 등이 포함됩니다.

모든 정보가 SIEM에 게시되면 데이터가 수집되고 고급 분석을 통해 상호 연관되고 검사됩니다. 목표는 침해 지표를 찾거나 의심스러운 행동이 발생하는지 보여주는 패턴을 찾는 것입니다. 이 정보는 기록되어 조직의 보안 팀에 즉시 전송될 수 있습니다.

이것은 실시간으로 발생하기 때문에 피해를 입히기 전에 많은 공격을 예방할 수 있습니다. 고급 머신 러닝을 학습하여 네트워크에 몰래 침투하는 느린 공격을 식별할 수 있습니다. 비정상적인 활동 패턴을 감지할 수 있으며 위협이 발생하기 전에 완화할 수 있습니다. 그들은 스피어 피싱 사기와 같은 다른 유형의 이메일 위협을 식별하는 데 이와 동일한 접근 방식을 사용할 수 있습니다. 여기에서 SIEM 솔루션이 VPN에서 제공하지 않는 가치를 추가할 수 있는 힘을 다시 한 번 확인합니다.

당신은 또한 좋아할 수 있습니다: NordVPN 대 SiteLock VPN – 어느 것이 당신에게 가장 적합합니까?

SIEM에서 수집한 정보를 사용하여 사이버 보안 개선

사이버 보안 잠금 인터넷 안전 해킹 암호화

이상이 감지되면 조직은 향후 손상을 방지하기 위해 보호 조치를 취할 수 있습니다. 한 단계는 직원들이 직면하고 있는 사이버 보안 위협에 대해 교육하는 것일 수 있습니다. 시도된 다양한 공격을 직원들에게 보여줌으로써 직원들은 위험한 행동을 완화하도록 권장됩니다.

IT 팀에게는 상식처럼 보일 수 있는 일부 예방 요령이 직원들에게는 간과될 수 있습니다. 예를 들어, 즉각적인 응답을 요구하는 메시지가 없는 이메일을 무시하도록 직원들에게 상기시켜야 합니다. 발신자의 이메일 주소 및 도메인을 자주 확인하고 실제 이메일 주소 및 도메인과 비교하도록 권장해야 합니다. 직원들은 예상치 못한 첨부 파일을 열지 말고 알 수 없는 발신자로부터 이메일을 받은 경우 추가 주의를 기울이도록 상기시켜야 합니다.

한 가지 확실한 것은 사이버 범죄자들이 취약점 검색을 멈추지 않을 것이라는 점입니다. 조직은 VPN, 바이러스 백신 도구, 맬웨어 보호와 같은 보안 기능을 사용하고 이를 SIEM 플랫폼으로 백업하여 자신, 데이터 및 직원을 보호해야 합니다.