사이버 보안에서 이상 탐지란 무엇입니까?

이상은 정상 또는 예상되는 행동, 결과 또는 패턴과 다른 행동, 결과, 행동 또는 일련의 행동을 말합니다. 일반적인 관행과의 불규칙성이나 일탈이라고 생각할 수 있습니다.

위에서 언급한 행동이나 행동의 식별 및 탐지는 단순히 이상 탐지로 정의됩니다. 따라서 예상되거나 자연스러운 패턴을 충족하지 않는 활동이나 데이터 포인트를 찾아내는 것을 이상 탐지라고 합니다. IT 환경에서 이상 징후를 감지하는 핵심 자산은 제로 트러스트 보안 프레임워크이며, 이에 대해서는 기사 뒷부분에서 설명합니다.

사이버 보안에서 이상 탐지란 무엇입니까?

사이버 보안에서 이상 탐지 는 구조적 결함, 보안 구성 오류 및 잠재적인 디지털 공격을 찾는 데 도움이 됩니다. 사이버 보안 이상 탐지라는 기치 아래 작동하는 세 가지 주요 하위 섹션이 있습니다.

• Unsupervised Anomaly Detection: 사전 지식이 없는 드문 사건이나 활동을 탐지하는 것입니다.
• Semi-Supervised Anomaly Detection: 레이블이 지정된 예제를 사용하여 정상적인 동작의 예외를 감지합니다.
• 감독된 이상 탐지: 이 기술은 레이블이 지정된 데이터 세트를 사용하여 이상을 탐지합니다. 레이블은 비정상 동작과 정상 동작을 구분합니다.

변칙의 유형은 무엇입니까?

사이버 보안 위협을 나타내는 세 가지 일반적인 이상 유형이 있습니다.

1. 시간 이상

예상치 못한 또는 이상한 시간에 발생하는 모든 활동은 시간 이상으로 간주됩니다. 모든 사용자에 대해 조직의 모든 활동에 대해 특정 시간을 지정하는 것이 가장 좋습니다.

이 경우 활동이 예정되지 않은 시간에 발생할 때마다 식별됩니다. 다음은 시간 이상 현상의 실제 예입니다. 오전 9시부터 오후 5시까지 활성화되도록 예약된 직원 계정이지만 그의 계정은 오후 10시에 로그인되어 있습니다.

2. 변칙 수 계산

호스트나 직원이 여러 활동을 동시에 또는 단기간에 수행하는 경우 개수 이상 현상이 관찰됩니다. 관리자는 주어진 기간에 수행할 수 있는 활동의 수를 지정해야 합니다.

지정된 활동의 해당 수(기준선)를 초과하면 시스템에 카운트 이상이 관찰되었다는 경고가 표시됩니다. 예를 들어 라우터의 최대 구성 변경 수를 11로 설정했지만 라우터가 20개 이상의 구성 변경을 겪는 경우입니다.

3. 패턴 이상

예상치 못한 일련의 이벤트가 발생하면 패턴 이상이 관찰됩니다. 이러한 이벤트가 개별적으로 발생하면 비정상적인 활동으로 간주되지 않을 수 있지만 함께 예상되는 패턴에서 벗어납니다. 따라서 이름이 "패턴 이상"입니다.

모든 사용자와 호스트가 따라야 하는 조직 내에서 예상되는 활동 패턴에 대한 기준선을 만들어야 합니다. 그런 다음 발생하는 모든 활동을 기준 패턴과 비교하여 패턴에 비정상적인 동작이 있는지 지적할 수 있습니다.

제로 트러스트

현재의 하이브리드 작업 루틴에서는 기업 데이터 및 앱에 대한 액세스가 모바일 사용자, 제3자 계약자 및 데스크톱 사용자에게 동시에 제공되어야 함을 알 수 있습니다 . 그러나 잠재적인 디지털 공격의 위험도 증가했습니다. 제로 트러스트 모델은 작업을 완료하는 데 필요한 최소한의 권한을 허용하고 비정상적인 활동이 수행되면 경고를 생성합니다.

기본적으로 제로 트러스트 모델은 사이버 환경의 모든 사용자를 동등하게 대우하는 사이버 보안 프레임워크입니다. 조직의 리소스와 데이터에 대한 액세스 권한을 부여받기 전에 모든 사용자에게 권한을 부여하고 지속적으로 검증 및 확인해야 합니다.

제로 트러스트 프레임워크는 다음 원칙에 따라 작동합니다.

1. 자동인증

제로 트러스트 모델을 통해 조직은 신원 확인 및 모니터링 시스템을 자동화할 수 있습니다. 이는 보안 수준에서 높은 유연성을 제공합니다. 이 프레임워크를 통해 조직의 보안 팀은 소비자 활동에 대한 완충 대응을 준비할 수 있습니다. 이상 징후가 감지되면 즉각적인 조치를 시작할 수 있음을 의미합니다.

2. 최소 권한 할당

고객과 직원은 작업을 완료하는 데 필요한 최소한의 액세스 권한만 얻습니다. 이를 통해 보안 팀은 위협을 적시에 줄이고 기밀 애플리케이션 및 데이터의 노출을 최소화할 수 있습니다. 제로 트러스트 모델은 승인을 받기 전에 모든 진입 요청이 자동으로 철저하게 검사되도록 합니다.

3. 논스톱 모니터링

보안 팀은 사용자와 직원이 따르는 기업 데이터 및 리소스에 액세스하는 프로세스를 지속적으로 모니터링합니다. 정상적인 패턴에서 벗어나는 것이 관찰되면 경고가 발행되고 위협 완화가 시작됩니다. 지속적인 모니터링은 인바운드 및 외부 사이버 위협을 지적하고 종료하는 데 도움이 됩니다.

제로 트러스트 모델의 목표는 지능형 사이버 위협이 조직에 해를 끼치는 것을 방지하는 것입니다. 제로 트러스트 프레임워크는 HIPAA, CCPA, FISMA, GDPR 및 기타 데이터 개인정보 보호법 준수를 보장합니다.

제로 트러스트가 보안을 유지하는 비즈니스 영역은 무엇입니까?

비즈니스는 데이터, 자산, 애플리케이션 및 최종 사용자/고객의 네 가지 주요 구성 요소를 기반으로 합니다.

★ 데이터

제로 트러스트 전략은 기업 데이터의 이상 탐지, 액세스 및 권한 수준을 관리할 수 있습니다. 또한 비즈니스 환경 내에서 무단 다운로드 또는 정보 전송을 쉽게 식별할 수 있습니다.

★ 자산

클라우드 기반 워크로드와 함께 디지털 공격자는 가상 머신, 컨테이너 및 기능과 같은 비즈니스 자산도 표적으로 삼습니다. 제로 트러스트 프레임워크는 이러한 상황을 해결할 수 있는 적절한 도구를 제공합니다. 기업은 중요한 자산을 정확히 찾아내고 역할 기반 액세스를 사용하여 액세스 요청을 확인함으로써 보안 노력에 집중합니다.

★ 응용 프로그램

애플리케이션의 사용 및 액세스 가능성은 런타임에 지속적으로 모니터링됩니다. 이를 통해 보안 팀은 사용자 행동을 이해하고 설정 패턴의 편차를 감지할 수 있습니다. 제로 트러스트는 사용상의 모든 변경을 비정상적인 활동으로 취급합니다.

★ 고객

비즈니스의 고객 또는 최종 사용자에는 파트너, 직원 및 타사 계약자도 포함됩니다. 그들은 모두 다른 액세스 권한과 ID를 사용하고 관리되는 장치와 관리되지 않는 장치에서 기업 응용 프로그램과 데이터에 액세스합니다. 이로 인해 제로 트러스트 보안 모델로 해결할 수 있는 많은 관리 및 보안 문제가 발생합니다.

결론

사이버 세계에서 이상 징후는 잠재적인 공격을 나타내므로 이상 징후를 탐지하는 것은 사이버 보안에 있어 매우 중요합니다. 디지털 보안 위협이 증가함에 따라 업데이트되고 완벽한 보안 인프라가 필요합니다. 따라서 제로 트러스트 보안은 IT 인프라의 이상을 감지하고 완화하는 훌륭한 방법입니다.