For too long, security has been cast as a bottleneck – swooping in after developers build and engineers test to slow things down. The reality is blunt; if it’s bolted on, you’ve already lost. The ones that win make security part of every decision, from the first line of code to the last boardroom conversation...
The post Cultural Lag Leaves Security as the Weakest Link appeared first on Security Boulevard.
보안과 IT 간 협업이 필요하다는 점은 분명하지만, CISO와 CIO의 관계는 그리 순탄하지 않다. 이는 새로 임명된 CISO들이 역할을 잡아가는 과정에서 겪는 적응 문제만도 아니다.
가트너 조사에 따르면 재직 기간이 2년 미만인 CISO의 약 3분의 1이 주요 보안 관련 사안에서 CIO와 갈등을 겪는 것으로 나타났다. 특히 5년 이상 경력을 가진 CISO의 절반이 조직의 사이버 회복력 강화나 기업 전체의 사이버 리스크 허용 범위 조율 등과 같은 핵심 분야에서 동일한 갈등을 경험하고 있다고 답한 점은 더욱 눈에 띈다.
가트너 사이버보안 리서치팀의 연구 및 콘텐츠 총괄 부사장 크리스틴 리는 갈등이 CISO와 CIO의 관계 이상을 보여주는 신호가 될 수 있다고 설명하면서도, 갈등 그 자체가 항상 문제를 의미하는 것은 아니라고 지적했다.
연구진과 경험 많은 임원, 그리고 여러 경영 자문가들은 실제로 CIO와 CISO가 조율되지 않은 채 따로 움직이고 있음을 드러내는 더 뚜렷한 징후들이 존재한다고 말했다.
보안 책임자와 자문가들은 CISO가 CIO와의 관계에서 점검해야 할 위험 신호로 다음과 같은 사례들을 제시했다.
1. CIO가 CISO의 권고나 결정을 무시하거나 번번이 뒤집는다.
테크 기업 트랜센드의 상주 CISO이자 유나이티드헬스그룹의 전 CISO인 에이미 카드웰은 이런 상황에서 CIO가 “의견 고맙지만, 우리는 우리가 하려는 대로 진행하겠다”라고 말하는 식으로 전개되는 경우가 많다고 설명했다.
2. CIO와 CISO가 갈등을 해결하지 못한다.
조직이 발전하려면 일정 수준의 갈등은 필요하다. 다양한 시각과 의견은 최고경영진에게 새로운 선택지를 제공하고 조직 전체에 이익이 되는 절충점을 찾도록 돕는다.
그러나 CIO와 CISO가 갈등을 상급 경영진까지 끌어올리지 않고는 해결하지 못한다면 근본적인 문제가 자리 잡고 있다는 신호일 수 있다. 카드웰은 “어깨를 나란히 하고 있는가, 아니면 코를 맞대고 있는가를 봐야 한다. 만약 코를 맞대고 있다면 그건 정렬되지 않았다는 뜻”이라고 말했다.
가트너 조사에 따르면 경험 많은 CISO의 87%가 CIO와의 갈등 해결 수준을 ‘좋다’ 또는 ‘매우 좋다’라고 평가했다. 가트너의 크리스틴 리는 이 수치가 갈등 그 자체가 관계 이상을 의미하지 않는다는 점을 보여준다고 설명했다. 오히려 “진전을 이루거나 합의에 도달하지 못하는 상황이 CIO-CISO 관계가 깨졌다는 신호”라고 전했다.
3. CIO가 정보를 공유하지 않는다.
트랜센드의 카드웰은 “이건 매우 큰 경고 신호”라고 지적했다.
4. CIO가 CISO의 이사회 보고 내용을 수정하거나 막는다.
CISO가 이사회에 정기적으로 직접 보고하지 않는 것도 문제지만, 카드웰은 CIO가 CISO가 이사회에 반드시 전달해야 한다고 판단한 내용을 바꾸는 것은 더욱 심각한 상황이라고 말했다.
그는 “이는 ‘좀 더 표현을 다듬자’거나 ‘스토리를 더 잘 전달할 수 있다’는 조언 수준을 넘어선다. 사실을 삭제하거나, 윤리적 문제를 야기할 수 있는 방식으로 내용을 바꾸는 것은 단순한 코칭이 아니다”라고 설명했다.
5. CIO가 이사회나 다른 임원 앞에서 CISO의 의제를 훼손한다.
리 역시 “CIO가 CISO의 신뢰도나 의견을 적극적으로 깎아내리거나, CISO와 이사회·임원진 간의 모든 대화를 중재하려 든다면 이는 분명 좋지 않은 신호”라고 말했다.
여기에는 중요한 회의나 조직의 IT 전략 논의에서 CISO의 우선순위를 대변하지 않는 행동도 포함된다.
6. IT가 관련된 비즈니스 이니셔티브에서 CISO가 배제된다.
올바른 파트너십이라면 모든 IT 프로젝트의 초기 단계부터 CIO와 CISO가 함께 움직이는 것이 자연스럽다. 그러나 CISO가 중요한 기술 프로젝트를 진행 후반부에 와서야 알게 되거나, 집요하게 질문해야만 정보를 얻을 수 있다면 관계를 재정비해야 한다는 뜻이다.
소프트웨어 기업 레그스케일의 CISO 데일 호크는 “새 프로젝트나 벤더, 마이그레이션 이야기가 나오는데 CISO가 아무것도 모른다면 이는 근본적인 문제다. 이런 경우 보안은 결국 ‘사후 부착’되는 수준에 그친다”라고 지적했다.
그는 이어 “좋은 관계에서는 놀랄 일이 없으며, 지속적인 소통과 대시보드 공유가 자연스럽게 이루어진다”라고 말했다.
7. 일대일 대화가 없다.
레벨블루의 CIO 마리아 카도우는 CIO와 CISO가 이메일, 그룹 회의, 양측의 팀원을 통한 간접 전달(정보가 자연스럽게 위로 올라올 것이라는 기대)에만 의존한다면 이는 건강한 관계라고 보기 어렵다고 말했다.
카도우는 “우리는 서로 직접 대화하지 않기에는 다뤄야 할 정보가 너무 많다. 정기적이든 필요에 따른 즉석 대화든, 이를 대체할 수 있는 방식은 없다”라고 설명했다.
8. CIO와 CISO가 서로의 우선순위·과제·전략 등을 알지 못한다.
카도우는 “CIO라면 CISO가 무엇을 우려하는지 잘 알고 있어야 하고, CISO 역시 CIO의 세계에서 어떤 일이 벌어지고 있는지 파악하고 있어야 한다”라고 말했다.
9. CISO와 CIO가 역할 분담을 두고 충돌한다.
또 다른 문제의 신호는 공동 책임이 있는 영역에서 어느 한쪽이 발생한 부족함을 상대방 탓으로 돌리는 경우다.
10. 한쪽이 이미 상대방이 보유한 역량을 가진 기술을 중복 구매한다.
이 문제는 어느 쪽에서든 생길 수 있다. 그러나 관련해 더 큰 문제는 CIO가 CISO에게 구매해야 할 제품이나 사용해야 할 벤더·서비스 제공업체를 일방적으로 지시하는 상황이다.
EY 미주지역 사이버보안 역량 총괄 아얀 로이는 “일부 경우에는 CIO의 선택이 보안 관점에서 맞는 답일 수도 있다. 하지만 그렇지 않은 경우도 있다. 중요한 건 일방적인 지시는 충분한 분석이 이루어지지 않았다는 뜻”이라고 설명했다. 이어 “CIO는 CISO가 적절한 솔루션을 선택할 수 있도록 재량을 부여해야 한다. CISO는 평가를 수행하고 최적의 선택을 할 수 있어야 한다”라고 설명했다.
11. CIO가 사이버 위생(cyber hygiene)을 우선순위로 두지 않는다.
대표적인 사례는 보안팀이 시급한 조치가 필요하다고 판단해 우선순위를 매긴 취약점을 패치하지 않거나, 패치를 미루는 경우다.
12. 기술 제품이 보안 결함이나 통제 공백을 안은 채 출시된다.
글로벌 결제·환전 기업 컨베라의 CISO 사라 매든은 “이 경우 가장 먼저 던져야 하는 질문은 ‘왜 제품 설계 단계에서 이를 발견하지 못했는가’이며, 그 답은 대체로 IT와 보안의 협업 부족에 있다”라고 지적했다.
컨설팅 기관 아포지 글로벌 RMS(Apogee Global RMS)의 설립자이자 구글 클라우드 CISO 오피스의 전 임원인 MK 팔모어는 CIO와 CISO가 성공하려면 두 역할 간 관계가 강하게 구축돼 있어야 한다고 강조했다.
팔모어는 “두 직책에 있는 사람들이 서로 원만할 뿐 아니라 협력적이어야 한다. 각자 맡은 영역과 목표가 있지만, 실제로는 서로 없이는 일을 완수할 수 없다”라며 “따라서 서로를 의지해야 하고, 서로를 의지해야 한다는 사실을 인지해야 한다”라고 설명했다.
협력적 관계가 부족하면 피해를 보는 것은 CIO와 CISO만이 아니다. 팔모어를 비롯한 여러 전문가는 CIO-CISO 관계가 틀어지면 양쪽 조직과 기업 전체에도 부정적 영향을 미친다고 지적했다.
부킹닷컴의 CSO 마니 윌킹은 “갈등이 심한 CIO-CISO 관계는 목표·우선순위·커뮤니케이션에서 불일치로 나타난다”라며 “기술·보안 리더가 같은 방향을 보지 못하면 운영과 성과 모두에서 문제가 드러난다. 프로젝트 마감이 지연되거나 취약점이 증가하는 식”이라고 설명했다.
관계를 악화시키는 요인은 다양하다. 우선 카드웰은 여전히 보안 부서가 ‘안 된다’고 말하는 부서로 인식되거나 실제로 그렇게 행동하는 경우가 있다고 말했다. 그는 “CIO는 ‘안 된다’고 말할 여유가 없다. CIO의 역할은 비즈니스가 하려는 일을 가능하게 하는 데 있다”라며 “따라서 CISO 역시 ‘비즈니스가 원하는 바를 어떻게 실현할 수 있을까’를 중심에 둬야 한다”라고 설명했다.
보안 부서가 ‘안 된다’고만 하지 않더라도, 카드웰은 CISO가 ‘된다’는 답에 도달하기까지 지나치게 오래 걸리는 것도 문제라고 지적했다.
그는 “문제 유형에 따라 빠르게 해결할 수 있는 방법은 수십 가지가 있다”라며 “CISO라면 다양한 가격대·일정·장단점·보안 점수를 갖춘 여러 옵션을 CIO와 비즈니스에 제시해 상황에 맞는 선택이 가능하도록 해야 한다”라고 말했다.
관계를 악화시키는 또 다른 이유로 팔모어는 CIO가 보안을 충분히 우선순위에 두지 않는 경우를 들었다.
그는 “때로는 CISO가 보안에만 집중해 비즈니스 지원 관점이 부족하거나, 반대로 CIO가 보안에는 관심이 없고 비즈니스 추진에만 집중하는 경우도 있다”라고 설명했다.
이 밖에도 CIO가 IT 전반에 대한 통제 권한을 강하게 유지하려 하면서 보안을 배제하거나, 그 반대의 상황도 발생한다.
레벨블루의 최고보안책임자이자 신뢰 책임자인 코리 다니엘스는 “일부 보안 리더는 자신만이 보안을 책임진다고 생각해 고립된 섬처럼 행동하고, 돌아갈 배도 없는 상태에 스스로 놓이기도 한다”라고 말했다.
전문가들은 관계 악화의 배경에는 구조적 요인도 존재한다고 분석했다. 윌킹은 “역할과 책임이 명확하지 않으면 책임 공백이나 중복이 생겨 불필요한 위험을 초래할 수 있다”라고 지적했다.
카도우는 여기에 더해 “조직의 예산 배분 방식이 CIO와 CISO를 같은 예산을 두고 경쟁하는 관계로 만들 수 있다”라고 설명했다.
이러한 문제의 상당수는 윌킹이 말하는 “엔터프라이즈 리스크에 대한 공유된 맥락과 정렬 부족”에서 비롯된다.
그는 “CIO는 가동 시간, 확장성, 민첩성으로 평가받고, CISO는 데이터 보호, 컴플라이언스 준수, 위협 완화를 중심으로 평가받는다. 이 두 우선순위가 어떻게 교차하는지에 대한 공통된 관점이 없다면 두 역할은 충돌하는 것처럼 보일 수 있다”라고 말했다.
이어 “보안은 너무 자주 ‘문을 지키는 역할’로 취급되지만 실제로는 전략적 파트너여야 한다. 협업이 거래적 관계로 느껴지는 이유도 여기에 있다”라고 설명했다. 또한 “부킹닷컴에서는 사이버보안을 비즈니스 전략의 출발점부터 통합해 제품 설계, 데이터, 고객 신뢰를 논의하는 모든 과정에 포함시키고 있다”라고 덧붙였다.
CIO와 CISO 모두 관계가 나빠졌을 때 이를 개선해야 할 분명한 동기가 있다. 리는 “CIO-CISO 관계는 매우 중요하다. 두 역할 모두 조직의 기술·사이버보안 목표를 달성하기 위해 효과적으로 협력해야 한다”라며 “모든 기술에는 사이버보안 노출이 따르며, 이는 기술 도입과 비즈니스 성과에 직접적인 영향을 준다. 그래서 CIO는 보안에 관심을 가져야 하고, CISO는 보안이 비즈니스 성과를 위한 것임을 이해해야 한다. 두 역할은 서로의 우선순위를 달성하기 위해 함께 움직여야 한다”라고 설명했다.
CISO는 CIO와의 관계를 개선하기 위해 다양한 노력을 기울일 수 있다. 인공지능 확산, 경제적 불확실성 등 변화가 큰 현재 환경을 관계를 점검하고 초기화하며, 협업을 막아온 문제를 해결할 기회로 활용해야 한다.
CISO가 취할 수 있는 주요 단계는 다음과 같다.
• 조직의 리스크 관점에 대해 CIO는 물론 C-레벨 경영진과 이사회와도 명확한 공감대를 형성하기
• 보안 전략이 조직의 전체 전략과 IT 로드맵과 일치하도록 조정하기
트랜센드의 카드웰은 “CISO는 ‘CIO가 훌륭한 방향을 잡았다. 이를 어떻게 안전하게 구현할 수 있을까’를 고민해야 한다”라고 설명했다.
• CIO와 CISO 각각의 책임 범위를 명확히 하기
레벨블루의 다니엘스는 “역할의 경계가 어디에 있는지 분명해야 한다”라고 말했다.
• 정기적·비정기적으로 CIO와 직접 소통하는 일을 최우선 과제로 두기
• 관계 관리에 집중하기
다니엘스는 “대화하고, 만날 준비를 하고, 양측 팀이 함께 협업하도록 만들고, 신뢰를 쌓아야 한다”라고 설명했다.
• CIO의 우선순위, 동기, 과제 등을 이해하고 자신의 것도 공유하기
다니엘스는 “상대의 입장에서 한 걸음 걸어보는 방식이 필요하다”라고 조언했다.
• 비즈니스 지원 중심의 사고방식으로 전환하기
레그스케일의 CISO 데일 호크는 “처음부터 ‘안 된다’가 아니라 ‘어떻게 하면 안전하게 이 목표에 도달할 수 있을까’라는 질문으로 접근해야 한다”라고 강조했다.
dl-ciokorea@foundryco.com
Boardroom conversations about cyber can no longer be siloed apart from strategy, operations, or geopolitics.
The post Cybersecurity Is Now a Core Business Discipline appeared first on SecurityWeek.
Get details on 4 new AppSec requirements in the AI-led software development era.
The post 4 New AppSec Requirements in the Age of AI appeared first on Security Boulevard.
사이버보안 시장이 정상적 판단을 잃었다고 진단할 수 있는 상황이 이어지고 있다.
매주 새로운 업체가 등장하고, 투자자는 완성되지 않은 아이디어에 자금을 투입하며, CISO는 실제 침해 사고를 막지 못할 제품 제안에 파묻히는 현상이 반복되고 있다. 업계의 소음은 점점 더 커지지만, 정작 보안의 핵심 원칙은 철저히 외면되고 있다.
대다수 보안 제품이 데모 단계에서도 인상적인 모습을 보여주지 못하는 상황이 반복되고 있다. 공식 발표를 확인해도 존재 이유가 의문인 경우가 많다. 보안 업체는 ‘보안을 재정의하겠다’고 강조하지만, 정작 어떤 문제를 해결하는지조차 명확하게 제시하지 못한다. 제품이 실제 운영 환경을 위해 만들어진 것이 아니라 투자 유치를 위한 형태로 구성돼 있으며, 현장 요구가 아닌 존재하지도 않는 질문에 대한 답변 같은 기능이 중심이 되는 경우가 흔하다. 그와 동시에 기업을 무너뜨리는 핵심 취약점은 매년 반복적으로 동일한 형태로 기업을 공격하고 있다.
보안 업체 다수는 기술을 판매한다고 생각하지만 실제로는 그렇지 않다. 업체가 판매하려는 것은 기술이 아니라, 현실적으로 해결 불가능한 위험을 관리해야 하는 보안 책임자에게 ‘신뢰’라는 감정적 자산을 제공하는 행위에 가깝다. CISO의 구매 결정은 재직 기간 동안 대형 사고를 줄이기 위한 확률 게임이며, 모든 선택은 위험을 동반한다. 이 분야에는 절대적인 ‘안전 옵션’이 없다. 완벽한 보호가 존재하지 않는다는 사실을 알고 있음에도, 개인적·기업적 리스크를 줄이기 위해 선택을 이어갈 수밖에 없다.
사이버보안은 완결형 퍼즐이 아니라 영원히 끝나지 않는 게임에 가깝다. 어떤 선택을 하더라도 완전한 승리는 존재하지 않는다. 모든 시스템의 패치를 완료하고 모든 취약 지점을 제거할 수 있다고 가정해도, 그 완전성 유지 비용은 기업 경영을 불가능하게 만들 수준이다. 이론적으로 보안을 강화하기 위해 제품 출시, 고객 서비스, 매출 활동을 모두 중단한다면 완전한 보안은 가능하다. 그러나 그러한 상태는 더 이상 보안의 목적과 부합하지 않는다.
보안 책임자의 역할은 기업을 멈추게 하지 않으면서 기업이 타격을 입지 않도록 관리하는 일이다. 따라서 단순한 가용성뿐 아니라, 앞으로 1년을 좌우할만한 대형 침해 사고를 피하는 것이 중요하다. 핵심은 균형이다. 위험이 과도하면 언론의 헤드라인에 오르게 되고, 통제가 과도하면 혁신이 중단된다. 보안 책임자의 일상은 이 두 요소 사이에서 끊임없이 균형점을 찾는 협상 과정으로 구성된다.
보안 책임자가 제품을 선택할 때는 매우 제한적인 기준을 적용한다. 우선 보안 로드맵과의 부합성, 실제 환경에서 확인 가능한 위험 감소 효과, 기존 시스템과의 무리 없는 통합성, 그리고 보안팀이 장기간 운영할 수 있는 지속 가능성이 핵심 판단 요소다. 또한 보이지 않으면 방어할 수 없기 때문에 가시성 확보가 우선순위이며, 접근 권한이 통제의 중심이기 때문에 아이덴티티 기반 접근 통제에 대한 투자가 필수적이다. 인력을 둔화시키지 않고 속도를 높여주는 자동화 기술, 그리고 선언적 구호가 아니라 실제로 설계 단계에서부터 안전성을 구현하는 방식(설계 기반 보안)을 실현하는 도구를 우선적으로 도입한다.
반면, 선택하지 않는 제품의 기준도 분명하다. 과도한 유행성 마케팅에 의존하는 기술, 이미 보유한 도구와 기능이 중복되는 보안 제품, 발표 자료에서는 그럴듯하지만 실제 운영 환경에서 효과를 검증하지 못한 기술, 보안팀의 부담만 늘리고 운영 복잡성을 증가시키는 시스템, 그리고 해결하려는 문제가 무엇인지, 위험을 어떻게 줄이는지 명확한 한국어로 설명하지 못하는 업체의 제품은 구매 대상에서 제외된다.
보안의 본질은 결국 기초 체계에 있다. 대다수 기업은 더 많은 도구가 필요한 것이 아니라, 기본을 제대로 수행해야 한다. 패치를 꾸준히 적용하고, 접근 권한을 적절하게 설정하며, 네트워크를 단일 구역이 아닌 분리 구조로 유지한다면, 대다수 기업보다 앞서 있는 상태다. 새로운 보안 도구가 없어도 충분한 수준이다. 체계적인 패치만으로도 다수의 공격 표면을 제거할 수 있고, 네트워크 분리는 침입자가 내부에서 이동하는 것을 막으며, 접근 통제는 침해 발생 시 피해 범위를 최소화한다. 이 개념은 눈에 띄는 신기술이 아니라, 오래전부터 검증된 방식이지만 투자자에게 매력적으로 보이지 않는다는 이유로 외면받고 있다.
문제의 근본은 여기에 있다. 업계는 효과가 있는 것이 아니라 잘 팔리는 것에 보상을 제공하기 시작했다. 투자 자본은 모든 것을 인공지능 기반, 자동화 기반으로 포장한 제품에 자금을 쏟아붓고, 그 사이에 기본 체계는 계속 방치된다. 업체는 유행을 좇고, 유행은 투자를 끌어오며, 보안 책임자는 반복되는 고통을 끝내줄 무언가를 찾아 과도한 기대에 의존하는 소비를 하게 된다. 겉보기에 모두 합리적으로 행동하고 있지만, 시장 전체는 점점 비정상적인 방향으로 움직이고 있다.
보안 업체만 탓할 수 있는 문제도 아니다. 보안 책임자 역시 이 시장 구조를 만든 존재다. 혁신이라는 이름에만 집중하며, 기본 체계를 외면했고, 충분히 활용하지 못하는 도구를 잔뜩 쌓아두고 그 상태를 성숙도라고 착각했다. 복잡성을 전략이라고 오해했고, 그 결과 해마다 동일한 근본 원인에 무너지는 상황이 반복되고 있다.
견고한 보안은 언제나 견고한 정보기술 운영 체계에서 시작된다. 과거에도 그랬고 앞으로도 변하지 않는다. 어떤 자산을 보유하고 있는지 파악하지 못하면 보호할 수 없다. 패치를 적용하지 않으면 이미 침해된 것이나 다름없다. 과도한 접근 권한을 부여하거나 네트워크를 분리하지 않고 운영하면, 단 하나의 자격 증명 탈취만으로도 기업 전체가 위험해진다. 필요한 해결책은 이미 존재한다. 단지 화려하지 않을 뿐이다. 꾸준함·절차·지속성처럼 투자자에게 매력적으로 보이지 않는 요소가 필요하기 때문이며, 이러한 요소는 보안 업계가 기피하는 영역이다. 보안 행사는 사진으로 남기기에 적합한 모습이 아니기 때문이다.
필자는 기술을 반대하는 입장이 아니다. 오히려 기술에 의존한다. 그러나 목적 없이 구매하지 않는다. 기본 체계를 강화하고, 절차적 규율을 유지하도록 돕고, 사람의 실수를 줄여주는 기술에 투자한다. 복잡성을 더하지 않고 운영 환경을 단순화하는 보안 기술, 그리고 불편하더라도 사실을 있는 그대로 전달하는 업체의 제품을 선택한다.
제대로 된 업체는 이러한 현실을 이해하고 있다. 혁신을 판매하는 것이 아니라 신뢰와 안정성을 제시한다. 준비된 상태로 기업을 찾아오고, 고객사의 비즈니스를 이해하며, 자사 기술이 어느 위치에 가장 적합한지 파악하고, 가능한 것과 불가능한 것을 명확히 설명한다. 보안 책임자가 찾는 것은 마법이 아니라, 끝없이 반복되는 문제를 함께 관리해줄 파트너라는 사실을 인지하고 있다.
투자자 역시 책임을 져야 한다. 실체 없는 기술에 자금을 지원하는 관행을 멈추고, 새로운 약어를 좇는 투자를 중단해야 한다. 기업 운영을 실제로 안전하게 만드는 분야—가시성 확보, 아이덴티티 기반 통제, 안전한 구성, 개발자 지원, 그리고 정보기술 위생 관리—에 자금을 투입해야 한다. 이러한 영역이야말로 기업을 위기에서 구해내는 실제적인 기반이다.
보안 책임자 역시 스스로를 피해자로만 묘사해서는 안 된다. 보안 책임자 집단이 바로 현재의 시장 구조를 만든 주체다. 성숙도와 무관한 혁신을 좇았고, 기본 체계를 외면했으며, 제대로 활용하지 못하는 보안 제품을 과도하게 도입하면서 그 상태를 성숙한 구조라고 착각했다. 만약 업계 변화가 필요하다면, 구매 방식부터 변화해야 한다. 더 적게 사고, 더 현명하게 선택해야 한다. 사람·절차·설계 구조에 대한 투자가 우선이며, 이후에 필요한 기술을 선택하는 순서가 되어야 한다. 패치가 불가능하고, 접근 권한을 통제하지 못하며, 네트워크가 여전히 단일 구조라면, 새로운 보안 제품은 필요하지 않다. 필요한 것은 기초 체계를 강화하는 규율과 절차다.
보안은 기술 문제가 아니다. 실행의 문제다. 이 부분이 해결되지 않는다면 아무리 많은 자금과 인공지능 기반 기술이 등장하더라도 근본적인 문제는 해결되지 않는다.
필자는 앞으로도 필요한 기술은 구매할 것이다. 실제 위험을 줄이고 기초 체계를 강화하며, 침해 사고 발생 가능성을 낮추고 복구를 용이하게 만드는 기술에는 투자를 지속할 것이다. 그러나 근본 문제를 해결하지 못한 채 시장을 어지럽히는 소음과 유행성 주장은 모두 선반에 남겨둘 것이다.
dl-itworldkorea@foundryco.com
The CISO Forum Virtual Summit brought together CISOs, researchers, and innovators to share practical insights and strategies.
The post Watch on Demand: CISO Forum 2025 Virtual Summit appeared first on SecurityWeek.
CISO burnout is increasing. Are we simply more aware of the condition? Or have demands on the CISO grown and burnout is now the inevitable result?
The post CISO Burnout – Epidemic, Endemic, or Simply Inevitable? appeared first on SecurityWeek.
PinnacleOne recently partnered with a leading UK construction company to analyze the cybersecurity risks shaping the sector in 2025. This new report explores how evolving threats intersect with the construction industry’s unique challenges, including tight project timelines, complex supply chains, sensitive data, and high-value transactions. Aimed at CISOs and security leaders, it provides actionable guidance to balance opportunity with resilience, ensuring construction firms stay secure while building the nation’s future.
The UK construction sector is a vital part of the national economy, contributing approximately 5.4% of GDP and employing around 1.4 million people. However, this critical industry is increasingly the target of cyber threat actors seeking financial gains and espionage.
PinnacleOne recently collaborated with a UK construction company to review these trends and bolster their cyber strategy. In a new report, PinnacleOne synthesizes key recommendations for construction sector cyber strategy to help CISOs stay ahead of the threat.
The construction industry’s core characteristics make it a uniquely enticing target for cyber threat actors:
For construction companies, cyber risk is inherently business risk. Cyber incidents can directly impact project timelines, budgets, and even the safety and structural integrity of the built environment. The interconnected nature of the construction ecosystem means that attackers can leverage any exposed point of entry. This, combined with slim profit margins and inconsistent cybersecurity investments, elevates the risk profile for the entire industry.
By adopting a proactive, risk-based cybersecurity approach, construction firms can strengthen their resilience and protect operational continuity and client trust. Read the full report here.
The era of evaluating AI on its potential is over. For CISOs, the only conversation about AI worth having in cybersecurity is about proven performance. The executive mandate is clear – every leader is being asked how they are using AI to get better, faster, and more profitable. For CISOs, this pressure transforms the conversation from if they should adopt AI to how to do it right. The right AI investment is one that strengthens the business by delivering faster threat containment, creating more efficient security teams, and providing a quantifiable reduction in overall risk.
In a landscape where every vendor claims AI supremacy, the measure of a platform’s worth is not its model size or an arbitrary LLM benchmark, but its ability to deliver on those business imperatives. It’s time to move beyond the hype and focus on the results of implementing AI for security operations.
Security teams face unprecedented pressure from a growing volume, complexity, and speed of cyberattacks – it’s more noise, more work, more risk. Tried-and-true security methods and manual workflows are struggling to keep pace, resulting in overwhelmed analysts, overlooked alerts, and greater organizational risk. In response, security teams not only need new tools, but also a fundamental shift in how they approach security.
To guide this transformation, SentinelOne created the Autonomous SOC Maturity Model, a framework showing how advanced generative and agentic AI are essential to augment human expertise, analyze data, and automate workflows to counter threats at machine speed.
For CISOs, the challenge lies in cutting through the deafening market noise to identify actual AI-driven value. True AI value manifests when organizations can accelerate their threat detection and response times while reducing critical metrics such as MTTD and MTTR. By automating routine and repetitive tasks, AI enables experienced analysts to focus their expertise on proactive threat hunting and deeper investigation.
Organizations implementing AI in their security programs aim for substantial gains in efficiency, demonstrably lower risk, and a reduction in the probability and severity of security incidents. Tools driven by AI become essential to security teams when they improve the analyst workflow and provide security professionals of all levels with amplified capabilities. Most people are now familiar with generative AI: tools that help assist you with work.
In security, that means generating readable content from raw data (incident summaries, queries, investigative insights) to help an analyst understand what’s happening faster. It’s about speeding up comprehension. Agentic AI goes further. This isn’t about just providing assistance, it’s about systems that can do the work. Advanced AI systems, particularly those that leverage agentic capabilities, can now handle data recall and correlation, and even initiate decision-making steps with precision, enabling teams to respond faster and more accurately.
The most effective AI complements and amplifies human expertise and vice versa, driving towards a more resilient security posture. Ultimately, the goal of a well-designed AI system is where the human role is elevated to strategic oversight and supervision of AI actions, applying their expertise and deep institutional knowledge of tools and processes in a more effective way. The role of the analyst shifts from manually triaging and investigating a queue of alerts to applying their expertise for the supervision of an autonomous system. AI agents can reason through multi-step tasks, decide on next actions, prioritize what matters most, and move workflows forward autonomously, while maintaining transparency and keeping a human in the loop.
Navigating the AI vendor landscape is challenging. Use this checklist to prioritize solutions that deliver smarter, faster, and more integrated security, ensuring you invest in true value, not just hype.
1. Does It Deliver Unified, Actionable Visibility?
2. Does It Support Open Standards for Better Detection?
3. Does It Drive Action and Containment?
4. Does It Empower Analysts and Foster Autonomy?
5. Does It Act as a True Force Multiplier?
Confronted with these challenges and choices, how can security leaders separate credible AI solutions from the hype? The answer lies in data-driven evaluations and an honest look at real-world implementations. Security leaders should evaluate solutions that demonstrate how advanced AI capabilities translate into measurable security and business outcomes.
A recent IDC white paper, “The Business Value of SentinelOne Purple AI” [1] offers precisely this kind of quantitative evaluation. IDC conducted in-depth interviews with organizations using SentinelOne’s Purple AI, a solution that leverages cutting-edge generative AI and agentic AI to accelerate workflows like investigation, hunting, triage, and response.
The findings from these real-world deployments provide compelling insights into the tangible benefits AI can deliver when aligned with the needs of security leaders for speed, efficiency, and risk reduction. With the Singularity Platform and Purple AI, customers experienced significant improvements:
These customer outcomes are attributed to Purple AI’s capabilities, including natural language querying, automated event summarization, suggested next investigation steps, and the automation provided by its agentic AI features like Auto-Triage. Organizations found that Purple AI enabled them to enhance their security operations, become more operationally efficient, and improve overall security outcomes, reducing operational risk and increasing business confidence.
Don’t just take our word for it – hear from existing Purple AI customers featured in the report about how they:
When AI – incorporating both generative and agentic strengths – is thoughtfully implemented to address the demands of security teams, it moves the needle for security operations in a very real and measurable way. The key is to look past the marketing slogans and focus on validated outcomes. Generative and agentic AI will undoubtedly shape the future of the security operations center, and CISOs must move from cautious curiosity to strategic adoption.
Is AI a distraction or your next competitive advantage? Get the definitive answer in our on-demand webinar, Beyond the Buzz: Separating AI Hype from Security Outcomes. We present IDC’s quantitative evaluation of real AI implementations and feature insights from current Purple AI customers, IDC Research Vice President Chris Kissel, and SentinelOne’s Senior Director of Product Management Adriana Corona.
To learn more about how to transform security operations with Purple AI’s revolutionary approach to the Autonomous SOC, visit our web page or request a demo from a product expert.
[1] IDC Business Value White Paper, sponsored by SentinelOne, The Business Value of SentinelOne’s Purple AI, #US53337725, July 2025
Ransomware’s transformation from a targeted cybercrime to a significant threat to national security has increasingly drawn attention at international forums like the Counter Ransomware Initiative (CRI) Summit. The 2023 Summit, which brought together representatives from 50 countries, signifies a growing, yet cautious, acknowledgment of the need for collaborative strategies in tackling this complex issue.
In this post, we discuss the key findings emerging from the Summit, shedding light on the collective approach adopted by nations to combat the surge in ransomware attacks. We’ll delve into the role of advancing technologies such as Artificial Intelligence (AI) in fortifying cybersecurity measures, the pivotal role of information sharing in preempting attacks, and the strategic policy initiatives aimed at undermining the operational frameworks of ransomware syndicates.
Furthermore, we’ll reflect on the real-world challenges in countering adaptive cyber threats and highlight the recent law enforcement breakthroughs against notable ransomware groups. This post explores the steps being taken at an international level to address the ransomware menace and the ongoing efforts to shape a more resilient global cybersecurity infrastructure.
Member countries gathered in Washington D.C. on October 31 to November 1 to reinforce the need for a global front against the escalating ransomware crisis. Some of the key areas of discussion to emerge were:
The Summit’s approach to building collective resilience against ransomware was multi-dimensional, acknowledging that tackling such a complex issue requires a blend of legal, financial, technological, and cooperative strategies. Concerted effort is needed to create a more robust and unified defense against the burgeoning threat of ransomware, which continues to challenge global security and economic stability.
During the event, a significant spotlight was cast on using Artificial Intelligence (AI) and Machine Learning (ML) in the fight against ransomware. This focus underscores a broader shift in cybersecurity tactics, moving towards more proactive and adaptive defense mechanisms.
The CRI Summit also underscored the importance of information sharing in building a collective defense against ransomware.
A key outcome of the Summit was the formulation of decisive policy initiatives aimed at disrupting the financial lifeline of ransomware operations.
The 2023 Counter Ransomware Initiative (CRI) Summit marks a step in the right direction towards global collaboration against cyber threats. However, the reality remains that many organizations and critical infrastructures are still vulnerable, continuing to fuel the ransomware industry. Despite the advancements and strategic discussions at the Summit, the prevalence of these threats highlights the urgent need for comprehensive and proactive measures.
At SentinelOne, we have been harnessing the power of AI and machine learning for over a decade, staying ahead in the cybersecurity landscape. These technologies, crucial in the fight against ransomware, must be complemented by a stronger alliance between private and public sector leaders. Setting a new standard in cybersecurity and working towards eliminating ransomware as a viable attack method requires a unified effort that transcends individual strategies and recommendations.
If you are ready to experience the advanced protection that SentinelOne offers, our dedicated team is here to assist you. Request a demo and see firsthand how our solutions can safeguard your digital landscape against the evolving cyber threats of today and tomorrow.
The post The 2023 Counter Ransomware Initiative Summit | Stepping Up Global Collaboration in Cybersecurity appeared first on SentinelOne DE.
Für Cyberkriminelle stellt das Active Directory (AD) ein wertvolles Ziel dar. Sie nehmen es regelmäßig ins Visier, um ihre Berechtigungen auszuweiten und den Zugriff zu erweitern. Leider ist das AD für den Geschäftsbetrieb unverzichtbar und muss daher für alle Benutzer eines Unternehmens leicht zugänglich sein. Das erschwert Schutzmaßnahmen zusätzlich. Laut Microsoft werden täglich mehr als 95 Millionen AD-Konten angegriffen. Dies macht das Ausmaß des Problems deutlich.
Schutzmaßnahmen für das AD sind zwar eine Herausforderung, lassen sich mit den richtigen Tools und Taktiken aber durchaus bewerkstelligen. Nachfolgend finden Sie zehn Tipps, mit denen Unternehmen ihr Active Directory effektiver vor häufigen aktuellen Angriffstaktiken schützen können.
Sobald die Angreifer den Perimeterschutz überwunden und sich im Netzwerk festgesetzt haben, führen sie Erkundungen durch, um potenziell wertvolle Ressourcen zu identifizieren und festzustellen, wie sie an diese gelangen können. Am besten eignen sich dafür Angriffe auf das AD, weil sich diese als normale Geschäftsaktivitäten tarnen lassen und dadurch nur selten erkannt werden.
Eine Lösung, die die Auflistung von Berechtigungen, delegierter Administratoren und Dienstkonten erkennen und verhindern kann, ermöglicht es dem Sicherheitsteam, Angreifer in den ersten Phasen eines Angriffs aufzuspüren. Zudem können Angreifer mit gefälschten Domänenkonten und Anmeldedaten auf Endpunkten getäuscht und anschließend auf Köderobjekte umgeleitet werden.
Häufig speichern Benutzer ihre Anmeldedaten in ihren Workstations. Meist geschieht dies versehentlich, mitunter aber auch absichtlich – in der Regel aus Bequemlichkeit. Angreifer wissen das und nehmen diese gespeicherten Anmeldedaten ins Visier, um sich damit Zugriff auf die Netzwerkumgebung zu verschaffen. Mit den richtigen Anmeldedaten können sie viel Schaden anrichten. Zudem suchen sie immer nach einer Möglichkeit, ihre Zugriffsrechte auszuweiten.
Unternehmen können Angreifern den Weg ins Netzwerk erschweren, indem sie gefährdete privilegierte Konten identifizieren, Konfigurationsfehler beheben und gespeicherte Anmeldedaten, freigegebene Ordner sowie andere Schwachstellen entfernen.
Pass-the-Ticket-Angriffe (PTT) sind äußerst effektiv, da sie Angreifern laterale Bewegungen im Netzwerk und die Erweiterung von Berechtigungen ermöglichen. Da Kerberos ein zustandsloses Protokoll ist, lässt es sich leicht missbrauchen, sodass Angreifer innerhalb des Systems problemlos Tickets fälschen können. Golden Ticket- und Silver Ticket-Angriffe sind die gravierendste Form von PTT-Angriffen, mit denen Domänen kompromittiert und Persistenz erzielt werden soll.
Um sich davor zu schützen, müssen Unternehmen anfällige Kerberos-TGTs (Ticket Granting Tickets) und -Dienstkonten erkennen können, um Konfigurationsfehler, die PTT-Angriffe ermöglichen könnten, zu identifizieren und davor zu warnen. Zudem kann eine Lösung wie Singularity Identity die Nutzung gefälschter Tickets auf Endpunkten verhindern.
Mit Kerberoasting-Angriffen können Angreifer auf einfache Weise privilegierten Zugriff erlangen, während DCSync- und DCShadow-Angriffe dazu dienen, Persistenz in der Domäne eines Unternehmens zu erzielen.
Das Sicherheitsteam muss in der Lage sein, das AD kontinuierlich zu überwachen und AD-Angriffe in Echtzeit zu analysieren. Zudem muss es vor Konfigurationsfehlern gewarnt werden, die zu solchen Angriffen führen könnten. Außerdem muss eine Lösung Cyberkriminelle auf Endpunktebene davon abhalten, Konten auszukundschaften, und das Risiko für diese Angriffe somit minimieren.
Häufig nehmen Angreifer in Skripten gespeicherte Kennwörter ins Visier, die im Klartext oder in umkehrbarer Verschlüsselung vorliegen. Oder sie nutzen Gruppenrichtliniendateien aus, die sich in Domänenfreigaben wie Sysvol oder Netlogon befinden.
Eine Lösung wie Ranger AD hilft beim Auffinden dieser Kennwörter, damit das Sicherheitsteam Risiken beseitigen kann, bevor Angreifer sie ausnutzen. Zudem bieten Lösungen wie Singularity Identity Mechanismen, mit denen falsche Sysvol-Gruppenrichtlinienobjekte im Produktions-AD bereitgestellt werden können, die Angreifer täuschen und von Produktionsressourcen ablenken.
Angreifer können das SID-Verlaufsattribut (Windows Sicherheits-ID) mithilfe der SID-Injektionstechnik ausnutzen und sich dadurch lateral in der AD-Umgebung bewegen sowie ihre Zugriffsrechte erweitern.
Um dies zu verhindern, müssen Sie Konten identifizieren, für die im SID-Verlaufsattribut und dazugehörigen Berichten bekannte privilegierte SID-Werten festgelegt sind.
Delegierung ist eine AD-Funktion, mit der Benutzer oder Konten ein anderes Konto imitieren können. Wenn beispielsweise ein Benutzer eine Web-Anwendung aufruft, die auf einem Web-Server gehostet ist, kann die Anwendung die Anmeldedaten des Benutzers imitieren, um damit auf Ressourcen zuzugreifen, die auf einem anderen Server gehostet sind. Jeder Domänenrechner mit uneingeschränkter Delegierung kann sich mit den entsprechenden Anmeldedaten bei jedem anderen Service in der Domäne als ein Benutzer ausgeben. Leider missbrauchen Angreifer diese Funktion, um sich damit Zugang zu anderen Netzwerkbereichen zu verschaffen.
Durch die kontinuierliche Überwachung von AD-Schwachstellen und Delegierungsrisiken kann das Sicherheitsteam diese Schwachstellen identifizieren und beheben, bevor sie ausgenutzt werden können.
Apropos Delegierung: Privilegierte Konten mit uneingeschränkter Delegierung können unmittelbar zu Kerberoasting- und Silver Ticket-Angriffen führen. Daher müssen Unternehmen privilegierte Konten mit aktiver Delegierung erkennen und deren Aktivitäten protokollieren können.
Mit einer umfassenden Liste privilegierter Benutzer, delegierter Administratoren und Dienstkonten kann sich das Sicherheitsteam einen Überblick über potenzielle Schwachstellen verschaffen. In diesem Fall ist Delegierung nicht automatisch schlecht, denn die Funktion wird häufig für bestimmte Abläufe benötigt. Das Sicherheitsteam kann Angreifer jedoch mittels Tools wie Singularity Identity davon abhalten, diese Konten aufzuspüren.
Die Active Directory-Domänendienste (Active Directory Domain Services, AD DS) nutzen das AdminSDHolder-Objekt und den SDProp-Prozess (Security Descriptor Propagator, Propagierung der Verzeichnisdienst-Sicherheit), um privilegierte Benutzer und Gruppen zu schützen. Das AdminSDHolder-Objekt besitzt eine besondere Zugriffssteuerungsliste (Access Control List, ACL), die die Berechtigungen der Sicherheitsprinzipale regelt, die zu den integrierten privilegierten AD-Gruppen gehören. Um sich lateral zu bewegen, fügen Angreifer Konten zum AdminSDHolder hinzu und erhalten somit den gleichen privilegierten Zugriff wie andere geschützte Konten.
Tools wie Ranger AD schützen Unternehmen vor diesen Aktivitäten, da sie ungewöhnliche Konten in der AdminSDHolder-Zugriffssteuerungsliste erkennen und davor warnen.
Im AD nutzen Unternehmen Gruppenrichtlinien zur Verwaltung mehrerer operativer Konfigurationen. Dabei werden Sicherheitseinstellungen für die jeweilige Umgebung festgelegt und häufig auch Administratorgruppen konfiguriert. Zudem umfassen die Richtlinien Skripte zum Starten und Herunterfahren. Administratoren konfigurieren sie, um auf jeder Ebene unternehmensspezifische Sicherheitsanforderungen einzurichten, Software zu installieren sowie Datei- und Registrierungsberechtigungen festzulegen. Leider können Angreifer diese Richtlinien verändern und damit Persistenz im Netzwerk erzielen.
Wenn Änderungen an den Standardgruppenrichtlinien überwacht werden, kann das Sicherheitsteam Angreifer schnell erkennen und auf diese Weise Sicherheitsrisiken minimieren sowie privilegierten Zugriff auf das AD verhindern.
Unternehmen, die die gängigen Taktiken von AD-Angriffen kennen, können sich besser davor schützen. Bei der Entwicklung von Tools wie Ranger AD und Singularity Identity haben wir viele Angriffsvektoren berücksichtigt und zudem ermittelt, wie diese am besten erkannt und abgewehrt werden können.
Mit diesen Tools können Unternehmen effektiv Schwachstellen identifizieren, böswillige Aktivitäten frühzeitig erkennen und Sicherheitszwischenfälle beheben, bevor Eindringlinge ihre Zugriffsrechte erweitern und ein kleiner Angriff zu einer weitreichenden Kompromittierung wird. Der Schutz des Active Directory ist eine Herausforderung, die sich jedoch dank moderner AD-Schutzlösungen bewältigen lässt.
The post Die 10 besten Methoden zum Schutz des Active Directory appeared first on SentinelOne DE.
In der Cybersicherheitsbranche gibt es eine Fülle von Jargon, Abkürzungen und Akronymen. Da immer mehr ausgeklügelte Angriffsvektoren zur Verfügung stehen, von Endpunkten über Netzwerke bis hin zur Cloud, wenden sich viele Unternehmen einem neuen Ansatz zu, um fortschrittlichen Bedrohungen zu begegnen: Extended Detection and Response (Erweitertes Erkennen und Reagieren), was zu einem weiteren Akronym führt: XDR. Und obwohl XDR in diesem Jahr von Branchenführern und Analysten viel Aufmerksamkeit erhalten hat, handelt es sich dabei immer noch um ein sich entwickelndes Konzept, und als solches herrscht Verwirrung rund um das Thema.
Als führendes Unternehmen auf dem EDR-Markt und Pionier derder aufkommenden XDR-Technologie , werden wir oft gefragt, was diese Technologie bedeutet und wie sie letztendlich zu besseren Kundenergebnissen beitragen kann. Dieser Post soll einige häufig auftretenden Fragen rund um XDR und die Unterschiede zu EDR, SIEM und SOAR klären.
EDR bietet einem Unternehmen die Möglichkeit, Endpunkte auf verdächtiges Verhalten zu überwachen und jede einzelne Aktivität und jedes Ereignis aufzuzeichnen. Dann setzt es Informationen in Beziehung, um wichtigen Kontext für die Erkennung von hochentwickelten Bedrohungen zu liefern. Schließlich führt es automatisierte Reaktionsmaßnahmen durch, wie die Isolierung eines infizierten Endpunkts vom Netzwerk in nahezu Echtzeit.
XDR ist die Weiterwentwicklung von EDR, Endpoint Detection and Response. Anders als EDR, das Aktivitäten über mehrere Endpunkte hinweg sammelt und korreliert, erweitert XDR den Erkennungsbereich über die Endpunkte hinaus und bietet Erkennung, Analyse und Reaktion über Endpunkte, Netzwerke, Server, Cloud-Workloads, SIEM und vieles mehr.
Dies ermöglicht eine einheitliche Sicht über mehrere Tools und Angriffsvektoren hinweg. Diese verbesserte Sichtbarkeit bietet eine Kontextualisierung dieser Bedrohungen, um die Triage, Untersuchung und schnelle Abhilfemaßnahmen zu unterstützen.
XDR sammelt und verknüpft automatisch Daten über mehrere Sicherheitsvektoren hinweg und ermöglicht so eine schnellere Erkennung von Bedrohungen. Somit können Sicherheitsanalysten schnell reagieren, bevor sich die Bedrohung ausweitet. Sofort einsatzbereite Integrationen und vordefinierte Erkennungsmechanismen für verschiedene Produkte und Plattformen verbessern die Produktivität, Bedrohungserkennung und Forensik.
Wenn wir von XDR sprechen, denken manche Anwender, dass wir ein SIEM-Tool (Security Information & Event Management) auf eine andere Art und Weise beschreiben. Aber XDR und SIEM sind zwei verschiedene Dinge.
SIEM sammelt, aggregiert, analysiert und speichert große Mengen von Protokolldaten aus dem gesamten Unternehmen. SIEM begann seine Entwicklung mit einem sehr breit gefächerten Ansatz: dem Sammeln von verfügbaren Protokoll- und Ereignisdaten aus nahezu jeder Quelle im Unternehmen, um sie für verschiedene Anwendungsfälle zu speichern. Dazu gehören Governance und Compliance, regelbasierter Musterabgleich, heuristische/verhaltensbasierte Bedrohungserkennung wie UEBA und die Suche nach IOCs oder atomaren Indikatoren in Telemetriequellen.
SIEM-Tools erfordern jedoch viel Feinabstimmung und Aufwand bei der Implementierung. Sicherheitsteams können auch von der schieren Anzahl der Warnmeldungen, die von einem SIEM kommen, überfordert werden, was dazu führt, dass das SOC kritische Warnmeldungen ignoriert. Darüber hinaus ist ein SIEM, auch wenn es Daten aus Dutzenden von Quellen und Sensoren erfasst, immer noch ein passives Analysetool, das Warnmeldungen ausgibt.
Die XDR-Plattform zielt darauf ab, die Herausforderungen des SIEM-Tools für eine effektive Erkennung und Reaktion auf gezielte Angriffe zu lösen und umfasst Verhaltensanalyse, Bedrohungsdaten, Verhaltensanalysen und Analysen.
SOAR-Plattformen (Security Orchestration & Automated Response) werden von ausgereiften Sicherheitsteams verwendet, um mehrstufige Playbooks zu erstellen und auszuführen, die Aktionen über ein API-verbundenes Ökosystem von Sicherheitslösungen automatisieren. Im Gegensatz dazu wird XDR die Integration von Ökosystemen überMarketplace ermöglichen und Mechanismen zur Automatisierung einfacher Aktionen gegen Sicherheitskontrollen von Drittanbietern bereitstellen.
SOAR ist komplex, kostspielig und erfordert ein sehr ausgereiftes SOC zur Implementierung und Pflege von Partnerintegrationen und Playbooks. XDR ist als „SOAR-lite“ gedacht: eine einfache, intuitive Zero-Code-Lösung, die von der XDR-Plattform aus mit angeschlossenen Sicherheitstools agieren kann.
Managed Extended Detection and Response (MXDR) erweitert die MDR-Dienste auf das gesamte Unternehmen, um eine vollständig verwaltete Lösung zu erhalten, die Sicherheitsanalysen und -abläufe, fortschrittliche Bedrohungssuche, Erkennung und schnelle Reaktion in Endpunkt-, Netzwerk- und Cloud-Umgebungen umfasst.
Ein MXDR-Dienst erweitert die XDR-Funktionen des Kunden um MDR-Dienste für zusätzliche Überwachungs-, Untersuchungs-, Bedrohungsjagd- und Reaktionsmöglichkeiten.
XDR ersetzt isolierte Sicherheitslösungen und hilft Unternehmen, die Herausforderungen der Cybersicherheit von einem einheitlichen Standpunkt aus anzugehen. Mit einem einzigen Pool von Rohdaten, der Informationen aus dem gesamten Ökosystem umfasst, ermöglicht XDR eine schnellere, tiefgreifendere und effektivere Erkennung von und Reaktion auf Bedrohungen als EDR, da Daten aus einer größeren Anzahl von Quellen gesammelt und zusammengestellt werden.
XDR sorgt für mehr Transparenz und Kontext bei Bedrohungen. Vorfälle, die sonst nicht erkannt worden wären, tauchen auf einer höheren Bewusstseinsebene auf, so dass Sicherheitsteams Abhilfemaßnahmen ergreifen und weitere Auswirkungen reduzieren sowie das Ausmaß des Angriffs minimieren können.
Ein typischer Ransomware-Angriff durchquert das Netzwerk, landet in einem E-Mail-Posteingang und greift dann den Endpunkt an. Wenn man die einzelnen Sicherheitsaspekte unabhängig voneinander betrachtet, sind die Unternehmen im Nachteil. XDR integriert unterschiedliche Sicherheitskontrollen, um automatisierte oder Ein-Klick-Reaktionsmaßnahmen im gesamten Sicherheitsbereich des Unternehmens zu ermöglichen, wie z. B. die Sperrung des Benutzerzugriffs, die Erzwingung der Multi-Faktor-Authentifizierung bei vermuteter Kontokompromittierung, die Sperrung eingehender Domänen und Datei-Hashes und vieles mehr – alles übervom Benutzer geschriebene Regeln oder über die in die Prescriptive Response Engine integrierte Logik.
Mit einem einzigen Pool von Rohdaten, der Informationen aus dem gesamten Ökosystem umfasst, ermöglicht XDR eine schnellere, tiefgreifendere und effektivere Erkennung von und Reaktion auf Bedrohungen als EDR, da Daten aus einer größeren Anzahl von Quellen gesammelt und zusammengestellt werden.
Diese umfassende Sichtbarkeit bringt mehrere Vorteile mit sich, darunter:
Darüber hinaus trägt XDR dank KI und Automatisierung dazu bei, den manuellen Arbeitsaufwand von Sicherheitsanalysten zu verringern. Eine XDR-Lösung kann proaktiv und schnell hochentwickelte Bedrohungen aufspüren, die Produktivität des Sicherheits- oder SOC-Teams erhöhen und dem Unternehmen einen massiven ROI-Schub verschaffen.
Für viele Unternehmen ist es eine Herausforderung, sich in der Anbieterlandschaft zurechtzufinden, insbesondere wenn es um Erkennungs- und Reaktionslösungen geht. Oft besteht die größte Hürde darin zu verstehen, was die einzelnen Lösungen bieten, vor allem, wenn die Terminologie von Anbieter zu Anbieter unterschiedlich ist und verschiedene Dinge bedeuten kann.
Wie bei jeder neuen Technologie, die auf den Markt kommt, gibt es eine Menge Hype, und Käufer müssen vorsichtig sein. Tatsache ist, dass nicht alle XDR-Lösungen gleich sind. SentinelOne Singularity XDR vereinheitlicht und erweitert die Erkennungs- und Reaktionsfähigkeit über mehrere Sicherheitsebenen hinweg und bietet Sicherheitsteams eine zentralisierte End-to-End-Unternehmenstransparenz, leistungsstarke Analysen und automatisierte Reaktionen über den gesamten Technologiebereich hinweg.
Wenn Sie mehr über die SentinelOne Singularity Platform erfahren möchten, kontaktieren Sie uns oder fordern Sie eine kostenlose Demoan.
The post Der Unterschied zwischen EDR, SIEM, SOAR und XDR appeared first on SentinelOne DE.
Es ist wieder soweit: Die Testrunde der MITRE Engenuity ATT&CK Evaluations (im Folgenden ATT&CK-Bewertungen genannt) für das Jahr 2021 ist abgeschlossen und Technologen in aller Welt warten nun auf die Ergebnisse. Wir bei SentinelOne sind nach wie vor begeisterte Anhänger von MITRE Engenuity. Das Unternehmen entwickelt und erweitert eine gemeinsame Cybersicherheitssprache, mit der sich die Vorgehensweise von Angreifern beschreiben lässt. Sie profitieren von dieser mühevollen Kleinarbeit, denn in den ATT&CK-Bewertungen werden all die Kräfte der Menschen gebündelt, die an vorderster Front unermüdlich ihre Infrastruktur und Ressourcen vor skrupellosen Angreifern schützen, welche an Geld gelangen, Chaos stiften oder jemandes Lebenswerk stehlen wollen. Wenn Anbieter die ATT&CK-Bewertungen nutzen – oder besser: Wenn Anbieter die ATT&CK-Bewertungen vollständig umsetzen, haben ihre Produkte und Services das Potenzial, Abwehr- und Reaktionsmaßnahmen potenziell zu vereinfachen, zu beschleunigen und wirksamer zu machen.
Dieser Beitrag richtet sich an CISOs, SOC-Analysten und Architekten. Er erläutert die Meinung von SentinelOne zu den ATT&CK-Bewertungen 2021, die Bedeutung dieser Bewertungen für Ihr Unternehmen und wie Sie die Ergebnisse nutzen können, um die Ihnen zur Verfügung stehenden Sicherheitstools besser zu verstehen und zu nutzen.
Im Schach gibt es drei taktische Spielphasen: die Eröffnung, das Mittelspiel und das Endspiel. In jeder Spielphase wird das Spiel durch mehrere Züge von einer Phase zur nächsten vorangetrieben. Während sie mit verschiedenen Strategien auf das Schachmatt hinarbeiten, wenden Spieler je nach spielerischem Können unterschiedlich ausgereifte Techniken an.
In der realen Welt haben wir es mit Angreifern zu tun, die mit leicht unterschiedlichen Methoden Schach spielen. Sie alle nutzen Tools und entwickeln Vorgehensweisen und Ansätze, um ihre Ziele zu erreichen. Sie verknüpfen legitime und untypische Verhaltensweisen zu unterschiedlichen Angriffsmustern – und wissen alle ganz genau, was sie wollen.
Mithilfe der ATT&CK-Bewertungen können wir beschreiben, wie und warum sie etwas tun. Das MITRE ATT&CK-Framework ist „eine gut gepflegte Wissensdatenbank und ein Modell für die Verhaltensweisen von Cyberangreifern. Es beinhaltet die verschiedenen Phasen eines Angriffslebenszyklus von Angreifern und die Plattformen, die sie bekanntlich ins Visier nehmen“. Sein Zweck ist die Schaffung einer gemeinsamen Sprache, deren Bestandteile endlos kombiniert werden können, um die Vorgehensweise von Bedrohungsakteuren zu beschreiben.
Lassen Sie uns das näher erläutern. Der erste zentrale Begriff ist Phasen. Ein Angreifer geht in mehreren Phasen vor, um ein Ziel zu erreichen. Ein allgemeines Beispiel:
Erstzugang → Erkennung → Laterale Bewegung → Erfassung → Exfiltration
In diesem linearen Beispiel besteht die Strategie des Angreifers – sein Ziel – letztendlich darin, Ihre Daten zu exfiltrieren. Die Vorgehensweise des Angriffs lässt sich in 5 taktische Phasen unterteilen, wobei der erste Schritt der Erstzugang und der fünfte Schritt die Exfiltration darstellt. Das Framework MITRE Engenuity ATT&CK Evaluations besteht aktuell aus 14 Taktiken, wie Sie auf der X-Achse des Enterprise Navigator-Tools erkennen können (Hinweis: Klicken Sie auf „Create New Layer“ (Neue Ebene erstellen) und dann auf „Enterprise“ (Unternehmen)).
Der zweite zentrale Begriff aus dem obigen Zitat ist Verhaltensweisen. Kriminelle setzen bei jedem Schritt bestimmte Verhaltensweisen gegen Sie ein. Dabei handelt es sich um die Techniken, die sie in der jeweiligen taktischen Phase anwenden. Um zum Beispiel Erstzugang zu erlangen (Taktik Nr. 1 von oben), versendet der Angreifer eventuell eine Phishing-E-Mail mit einem Link zu einer kompromittierten Webseite, die eine ungepatchte Sicherheitslücke im Browser ausnutzt. Das ATT&CK-Framework umfasst momentan mehr als 200 Techniken (auf der Y-Achse des Navigator-Tools), die den 14 Taktiken zugeordnet sind.
Auf der nächsten Stufe sind die von Angreifern verwendeten Prozeduren. Als Prozeduren werden die genauen Mechanismen einer Technik bezeichnet.
Zum Erreichen des Endziels ist daher eine Anfangstaktik mit einer oder mehreren Techniken erforderlich, auf die eine weitere Taktik mit Techniken folgt, und so weiter. Das geht so lange, bis das Ziel des Angreifers erreicht ist. Durch die Einteilung in allgemeine Taktiken bis hin zu speziellen Prozeduren erhalten wir die TTPs – Taktiken, Techniken, Prozeduren.
Die Emulationen der MITRE Engenuity ATT&CK-Bewertungen sind so aufgebaut, dass sie die bekannten TTPs eines Angreifers nachahmen. Sie werden unter kontrollierten Laborbedingungen ausgeführt, um die Wirksamkeit jedes teilnehmenden Anbieterprodukts zu bestimmen. MITRE Engenuity beschreibt das wie folgt:
„Die ATT&CK-Bewertungen setzen Angreifer-Emulationen ein. Die Tests laufen also ‚im Stil‘ eines Angreifers ab. Dadurch können wir Tests mit einer relevanten Teilmenge von ATT&CK-Techniken durchführen. Zur Erstellung unserer Emulationspläne nutzen wir öffentliche Berichte mit Bedrohungsdaten, ordnen sie ATT&CK zu und legen dann fest, wie wir die Verhaltensweisen replizieren.“
Es geht darum, einen vollständigen logischen Angriff zusammenzustellen, der alle Phasen eines umfassenden erfolgreichen Angriffs durchläuft – von der ersten Kompromittierung bis hin zu Persistenz, lateraler Bewegung, Datenexfiltration und so weiter.
Das ATT&CK-Framework bietet Verantwortlichen, Sicherheitsexperten und Anbietern einen gemeinsamen Wortschatz und unterstützt uns mit diesem Wissen in der Bemühung um eine bessere Cybersicherheit.
Daraus ergeben sich drei Vorteile:
MITRE Engenuity betont, dass es ein „Angreifer-Modell der mittleren Ebene“ und somit weder zu allgemein, noch zu spezifisch ist. Modelle der höheren Ebene wie die Lockheed Martin Cyber Kill Chain® veranschaulichen die Ziele von Angreifern – es bleibt jedoch unklar, wie diese Ziele konkret erreicht werden. Umgekehrt dazu definieren Exploit- und Malware-Datenbanken ganz gezielt konkrete IoC-Puzzlestücke (Indicators of Compromise, Kompromittierungsindikatoren) in einem riesigen Puzzle. Sie erklären jedoch nicht, wie Kriminelle sie einsetzen und geben üblicherweise auch nicht an, wer die Kriminellen sind. Das TTP-Modell von MITRE Engenuity stellt den goldenen Mittelweg dar. Hier werden Taktiken als schrittweise Zwischenziele dargestellt und mit den Techniken wird veranschaulicht, wie jede Taktik umgesetzt wird.
Da MITRE Engenuity während der Bewertungen mit den Anbietern zusammenarbeitet, ist MITRE Engenuity quasi das „Red Team“. Der Anbieter, der für MITRE Engenuity Erkennung und Reaktion bereitstellt, ist dagegen das „Blue Team“. Zusammen bilden sie ein „Purple Team“, das bei den Echtzeit-Tests der Sicherheitskontrollen hilft, indem es die Art von Ansätzen emuliert, mit denen Eindringlinge wahrscheinlich in einem echten Angriff vorgehen würden. Die Emulationen basieren dabei auf den bekannten, tatsächlich beobachteten TTPs.
Während sich die ATT&CK-Bewertungen 2019 (das erste Testjahr) um APT3 (Gothic Panda) drehten und die ATT&CK-Bewertungen im Jahr 2020 auf die mit APT29 (Cozy Bear) verbundenen TTPs fokussiert waren, geht es in den diesjährigen Bewertungen um die Emulation der Bedrohungsgruppen Carbanak und FIN7.
Die Geschichte der weitreichenden Auswirkungen von Carbanak und FIN7 wurde umfassend dokumentiert. Carbanak wird der Diebstahl von insgesamt 900 Millionen US-Dollar von Banken und mehr als eintausend Privatkunden angelastet. FIN7 soll für den Diebstahl von mehr als 15 Millionen Datensätzen von Kundenkreditkarten aus der ganzen Welt verantwortlich sein. Das Hauptziel der böswilligen Aktivitäten ist der Diebstahl finanzieller Ressourcen von Unternehmen (z. B. Geldkarteninformationen) oder der Zugriff auf Finanzdaten über die Rechner von Mitarbeitern der Finanzabteilung, um Überweisungen auf Offshore-Konten zu tätigen.
Das sind die uns bekannten Zahlen, doch werden viele Zwischenfälle gar nicht erst gemeldet.
ATT&CK bewertet nicht die Leistung von Anbietern, sondern konzentriert sich darauf, wie es im Verlauf der einzelnen Testschritte zu den Erkennungen kam. Seit mehreren Jahren betont SentinelOne genau das, was MITRE Engenuity im Bewertungsleitfaden anschaulich darstellt: Nicht jede Erkennung hat die gleiche Qualität. Eine „Telemetrie“-Erkennung beispielsweise enthält minimal verarbeitete Daten zu einem Angreiferverhalten. Am anderen Ende des Qualitätsspektrums dagegen ist eine „Technik“-Erkennung reich an Informationen und gibt Analysten auf einen Blick Orientierung. Konsistente, auf Techniken fokussierte Erkennungen sind ideal für Unternehmen, die mehr aus ihren Tools herausholen wollen.
Mehr Informationen zu den Erkennungstypen:
In den ATT&CK-Bewertungen 2021 wurden zwei bedeutende Weiterentwicklungen eingeführt: Tests in Linux-Umgebungen sowie die Überprüfung von Schutzmaßnahmen.
Die Endergebnisse werden am 20. April 2021 veröffentlicht. Bis dahin müssen wir abwarten. Möchte jemand eine Runde Schach spielen?
Für CISOs kann es eine echte Herausforderung sein, sich in den Anbieterpositionierungen zurechtzufinden. Hier sind einige Tipps:
In Bezug auf Produktarchitekturen werden CISOs erkennen, dass diese produktorientierten Grundsätze mit den Zielen von MITRE Engenuity vereinbar sind:
Mit den folgenden bewährten Methoden können CISOs und Sicherheitsteams ihre Sicherheit stärken:
MITRE Engenuity ATT&CK Evaluations treibt mit seinen herausragenden Leistungen die Entwicklung der Sicherheitsbranche weiter voran und bringt dringend benötigte Transparenz und unabhängige Tests in den EDR-Bereich. Als Führungskraft oder Sicherheitsexperte sollten Sie nicht nur auf die Zahlen schauen, sondern das große Ganze betrachten und Anbieter danach beurteilen, ob sie einen guten Überblick und hochwertige Erkennungen liefern und gleichzeitig Ihr Sicherheitsteam entlasten.
Für die nahe Zukunft freuen wir uns, Ihnen Details zur Teilnahme von SentinelOne an den MITRE Engenuity ATT&CK Evaluations 2021 ankündigen zu können. Die Ergebnisse werden hier veröffentlicht, sobald sie verfügbar sind. Wenn Sie in der Zwischenzeit mehr darüber erfahren möchten, wie die SentinelOne Singularity-Plattform Ihr Unternehmen bei der Umsetzung dieser Ziele unterstützen kann, kontaktieren Sie uns oder fordern Sie eine kostenlose Demo an.
The post MITRE-Manie: Was es mit der Anbieterpositionierung auf sich hat und worum es eigentlich geht appeared first on SentinelOne DE.
Login