Cisco의 Jamey Heary: 민감한 정보를 처리하고 암호화된 WiFi, VPN 및 암호화된 앱을 사용하는 조직

10 월 18 일, (October 18th)Cisco Connect 2017 에 초대되었습니다 . 이 행사에서 우리는 보안 전문가 (security expert) Jamey Heary 를 만났습니다 . 그는 Cisco (Cisco)Systems 의 뛰어난 시스템 엔지니어(Systems Engineer)글로벌 보안 아키텍처 팀(Global Security Architecture Team) 을 이끌고 있습니다. Jamey 는 많은 Cisco 의 대규모 고객 을 위한 신뢰할 수 있는 보안 고문이자 설계자 입니다. (security advisor and architect)그는 또한 책 저자(book author) 이자 전 Network World 블로거입니다 .(Network World blogger) . 우리는 그와 현대 기업의 보안, 기업과 조직에 영향을 미치는 중대한 보안 문제, 모든 무선 네트워크 및 클라이언트( KRACK )에 영향을 미치는 최신 취약점에 대해 이야기했습니다. 그가 말한 내용은 다음과 같습니다.

우리의 청중은 최종 사용자와 비즈니스 사용자로 구성됩니다. 시작하고 자기 소개를 하기 위해 Cisco 에서의 업무를 비기업 방식으로 어떻게 설명하시겠습니까?

제 열정은 보안입니다. 내가 매일 하려고 노력하는 것은 고객과 최종 사용자에게 아키텍처에 대해 가르치는 것입니다. 예를 들어 보안 제품(security product) 에 대해 이야기하고 이 제품 이 다른 제품(당사 제품 또는 타사 제품)과 통합되는 방식에 대해 이야기합니다. 그러므로 나는 보안 관점(security perspective) 에서 시스템 아키텍처(system architecture) 를 다룬다 .

제이미 헤리, 시스코

보안 전문가(security expert) 로서의 경험 에서 현대 기업에 가장 중요한 보안 위협은 무엇입니까?

가장 큰 것은 사회 공학과 랜섬웨어(engineering and ransomware) 입니다. 후자는 너무 많은 회사에서 황폐화를 일으키고 그 안에 너무 많은 돈이 있기 때문에 더 나빠질 것입니다. 맬웨어 제작자가 수행하는 방법을 알아낸 것이 아마도 가장 수익성이 높은 작업일 것입니다.

우리는 "나쁜 녀석들"의 초점이 최종 사용자에게 있다는 것을 보았습니다. 그 또는 그녀는 지금 가장 약한 고리입니다. 우리는 업계로서 사람들을 훈련시키려고 노력했고 언론은 자신을 더 잘 보호할 수 있는 방법에 대해 잘 알렸지만 여전히 누군가에게 표적 이메일을 보내서 원하는 작업: 링크 클릭, 첨부 파일 열기 등 원하는 것이 무엇이든 상관없습니다.

다른 위협은 온라인 지불입니다. 기업이 온라인으로 지불하는 방식이 계속해서 개선될 것이지만 업계가 온라인으로 지불하는 보다 안전한 방법을 구현할 때까지는 이 영역이 큰 위험 요소(risk factor) 가 될 것 입니다.

보안과 관련하여 사람은 가장 약한 고리이자 공격의 주요 초점입니다. 사회 공학이 주요 보안 위협 중 하나이기 때문에 이 문제에 어떻게 대처할 수 있습니까?

우리가 적용할 수 있는 기술은 많습니다. 특히 어떤 사람들이 다른 사람들보다 더 도움이 되는 경향이 있는 산업에서 한 사람을 위해 할 수 있는 일은 많지 않습니다. 예를 들어, 의료 산업(healthcare industry) 에서 사람들은 단지 다른 사람들을 돕고 싶어합니다. 그래서 당신은 그들에게 악성 이메일을 보내고, 그들은 경찰서(police department) 처럼 다른 업계의 사람들보다 당신이 보낸 것을 클릭할 가능성이 더 큽니다 .

그래서 우리는 이 문제가 있습니다. 하지만 우리는 기술을 사용할 수 있습니다. 우리가 할 수 있는 일 중 하나는 모든 최종 사용자가 사용할 수 있는 공격 표면(attack surface) 을 크게 줄일 수 있는 세분화 입니다. 우리는 이것을 " 제로 트러스트 "라고 부릅니다. 사용자가 (zero trust)회사 네트워크(company network) 에 연결할 때 네트워크는 사용자가 누구인지, 조직에서 사용자의 역할이 무엇인지, 사용자가 액세스해야 하는 응용 프로그램이 무엇인지 이해하고 사용자의 시스템을 이해하고 기계의 보안 태세(security posture) 는 무엇이며 매우 상세한 수준입니다. 예를 들어, 사용자가 가지고 있는 애플리케이션의 보급과 같은 것을 말할 수도 있습니다. 보급률 은 우리가 효과적인 것으로 확인된 것으로 (Prevalence)전 세계(world use) 에서 얼마나 많은 사람들이 사용하는지를 의미합니다.이 응용 프로그램 및 주어진 조직의 수. Cisco 에서는 해싱을 통해 이 분석을 수행합니다. 애플리케이션의 해시를 가져오고 수백만 개의 엔드포인트를 가지고 있으며 "이 앱의 보급률은 0.0001%입니다."라고 말합니다. 보급률(Prevalence) 은 앱이 전 세계와 조직에서 사용되는 양을 계산합니다. 이 두 가지 조치는 매우 의심스러운 부분이 있는지, 자세히 살펴볼 가치가 있는지 여부를 파악하는 데 매우 유용할 수 있습니다.

네트워크 세계(Network World)모바일 장치 관리(Mobile Device Management) ( MDM ) 시스템 에 대한 흥미로운 기사 시리즈가 있습니다. 그러나 최근 몇 년 동안 이 주제는 덜 논의된 것 같습니다. 그러한 시스템에 대한 업계의 관심이 줄어들고 있습니까? 당신의 관점에서 무슨 일이 일어나고 있습니까?

몇 가지 일들이 발생했는데 그 중 하나는 MDM 시스템이 시장에서 상당히 포화 상태가 되었다는 것입니다. 거의(Almost) 모든 대규모 고객이 그러한 시스템을 갖추고 있습니다. 일어난 또 다른 일은 개인 정보 보호 규정 및 사용자의 개인 정보 보호 사고 방식(privacy mindset) 이 변경되어 많은 사람들이 더 이상 개인 장치(스마트폰, 태블릿 등)를 조직에 제공하지 않고 MDM 소프트웨어(MDM software) 설치를 허용하도록 변경되었다는 것입니다. 그래서 우리는 경쟁이 치열합니다. 기업은 직원이 사용하는 장치에 대한 전체 액세스 권한을 갖고 싶어하므로 자체적으로 보안을 유지할 수 있고 직원은 이러한 접근 방식에 매우 저항하게 됩니다. 양측 사이에는 이러한 끊임없는 전투가 있습니다. 우리는 의 보급을 보았다MDM 시스템은 (MDM)회사 문화와 가치(company culture and values) , 각 조직이 직원을 대하는 방식 에 따라 회사마다 다릅니다 .

이것이 BYOD(BYOD) ( Bring Your Own Device ) 와 같은 프로그램의 채택에 영향을 줍니까 ?

예, 완전히 그렇습니다. 대부분의 경우 회사 네트워크에서 자신의 장치를 사용하는 사람들이 매우 통제된 영역에서 사용하고 있습니다. 다시 말하지만(Again) , 세분화가 작동합니다. 내 장치를 회사 네트워크에 가져오면 인터넷, 일부 내부 회사 웹 서버(web server) 에 액세스할 수 있지만 절대 데이터베이스 서버, 회사의 중요한 앱 또는 해당 장치에서 중요한 데이터. 이는 Cisco 에서 프로그래밍 방식으로 수행하여 사용자가 (Cisco)회사 네트워크(company network) 에서 필요한 곳으로 이동할 수 있지만 회사에서 사용자가 이동하기를 원하지 않는 곳이 아닌 개인 장치에서 수행하는 것입니다.

모든 사람의 레이더에서 가장 뜨거운 보안 문제 는 (security issue)WPA2 암호화(WPA2 encryption) 체계 를 사용하는 모든 네트워크 클라이언트 및 장비에 영향을 미치는 " KRACK "( Key Reinstallation AttaCK )입니다. (Key Reinstallation AttaCK)Cisco 는 이 문제를 해결하기 위해 고객을 돕기 위해 무엇을 하고 있습니까?

우리가 수년 동안 의존했던 것 중 하나가 이제 크랙이 가능하다는 것은 엄청난 놀라움입니다. 그것은 SSL(SSL) , SSH 및 우리가 근본적으로 믿는 모든 문제를 상기시켜줍니다 . 그들 모두는 우리가 신뢰하는 "가치 없음"이 되었습니다.

이 문제에 대해 10개의 취약점을 식별했습니다. 그 10개 중 9개는 클라이언트 기반이므로 클라이언트를 수정해야 합니다. 그 중 하나는 네트워크 관련입니다. 이를 위해 Cisco 는 패치를 출시할 예정입니다. 문제는 액세스 포인트(access point) 에만 해당 되며 라우터와 스위치를 수정할 필요가 없습니다.

Apple 이 (Apple)베타 코드(beta code) 로 수정 사항을 제공하여 클라이언트 장치가 곧 완전히 패치 되는 것을 보고 기뻤습니다 . Windows 에는 이미 패치가 준비되어(patch ready) 있습니다 . Cisco 의 경우 경로는 간단합니다. 액세스 포인트에 하나의 취약점이 있고 패치와 수정 사항을 릴리스할 예정입니다.

모든 것이 해결될 때까지 고객이 스스로를 보호하기 위해 무엇을 하라고 권하시겠습니까?

어떤 경우에는 암호화 내부에서 암호화가 사용되기 때문에 아무 것도 할 필요가 없습니다. 예를 들어 은행 웹사이트로 이동하면 통신 보안을 위해 TLS 또는 SSL(TLS or SSL) 을 사용하므로 이 문제의 영향을 받지 않습니다. 그래서 스타벅스(Starbucks) 처럼 오픈 와이파(WiFi) 이를 이용한다고 해도 크게 상관은 없습니다. WPA2 에서 이 문제 가 더 많이 발생하는 곳은 개인 정보 보호 측면(privacy side) 입니다. 예를 들어, 내가 웹사이트에 가서 다른 사람들이 그것을 알기를 원하지 않는다면 WPA2 가 더 이상 효과적이지 않기 때문에 이제 그들은 알게 될 것입니다.

자신을 보호하기 위해 할 수 있는 한 가지는 VPN 연결을 설정하는 것입니다. 무선에 연결할 수 있지만 다음으로 해야 할 일은 VPN 을 켜는 것 입니다. VPNWiFi 를 통과하는 암호화된 터널을 생성하기 때문에 괜찮습니다 . VPN 암호화(VPN encryption) 도 해킹되어 새로운 솔루션을 찾아야 할 때까지 작동 합니다. 🙂

소비자 시장(consumer market) 에서 일부 보안 공급업체는 VPN 을 바이러스 백신 및 전체 보안 제품군과 번들로 제공하고 있습니다. 그들은 또한 더 이상 방화벽과 바이러스 백신, VPN(VPN) 도 필요하다는 것을 소비자에게 교육하기 시작했습니다 . 기업의 보안에 대한 Cisco 의 접근 방식 은 무엇입니까 ? 또한 VPN(VPN) 을 필수 보호 계층(protection layer) 으로 적극적으로 홍보하고 있습니까?

VPN 은 기업용 패키지의 일부입니다. 정상적인 상황에서는 암호화된 터널 내에서 VPN 에 대해 이야기하지 않으며 WPA2(tunnel and WPA2) 는 암호화된 터널입니다. 일반적으로 과도하고 모든 것이 잘 작동하도록 하기 위해 클라이언트 측 에서 발생해야 하는 오버헤드가 있기 때문입니다. (client side)대부분의 경우 가치가 없습니다. 채널이 이미 암호화된 경우 다시 암호화하는 이유는 무엇입니까?

이 경우 WPA2 보안(WPA2 security) 프로토콜이 근본적으로 손상 되어 바지를 입고 잡히면 WPA2 로 문제가 해결될 때까지 VPN 으로 대체할 수 있습니다 .

그러나 정보 분야(intelligence space) 에서 국방부 와 (Department)같은(Defense type) 보안 조직 은 몇 년 동안 이 일을 해왔습니다. 그들은 VPN(VPN) 과 무선 암호화 에 의존하며 VPN 중간에 있는 많은 응용 프로그램 도 암호화되므로 서로 다른 유형의 암호화를 사용하는 3방향 암호화를 얻을 수 있습니다. 그들은 그래야만 하는 "편집증"이기 때문에 그렇게 합니다. :))

Cisco Connect 에서의 프레젠테이션에서 보안에서 자동화가 매우 중요하다고 언급하셨습니다. 보안 자동화를 위해 권장하는 접근 방식은 무엇입니까?

우리는 인간으로서 보안 침해와 위협을 막을 만큼 빠르게 움직일 수 없기 때문에 자동화는 빠르게 요구 사항이 될 것입니다. 한 고객은 10분 만에 랜섬웨어로 암호화된 10,000대의 머신을 보유하고 있었습니다. 그것에 대응할 수 있는 인간적인 방법은 없으므로 자동화가 필요합니다.

오늘날(approach today) 우리의 접근 방식 은 생각보다 강하지 않지만, 위반처럼 보이는 의심스러운 행동을 발견하면 보안 시스템이 네트워크에 해당 장치나 사용자를 격리하도록 지시합니다. 이것은 연옥이 아닙니다. 여전히 몇 가지 작업을 수행할 수 있습니다. 여전히 인터넷에 접속하거나 패치 관리(patch management) 서버에서 데이터를 가져올 수 있습니다. 당신은 완전히 고립되어 있지 않습니다. 앞으로는 그 철학을 바꿔야 할 수도 있습니다. 일단 격리되면 조직에 너무 위험하기 때문에 액세스할 수 없습니다.

Cisco 는 보안 제품 포트폴리오에서 자동화를 어떻게 사용하고 있습니까?

특정 영역에서는 자동화를 많이 사용합니다. 예를 들어, 위협 연구 그룹 인 (threat research group)Cisco Talos 에서는 모든 보안 위젯에서 원격 측정 데이터를 얻고 다른 소스에서 수많은 기타 데이터를 얻습니다. Talos 그룹(Talos group)기계 학습(machine learning) 과 인공 지능을 사용 하여 매일 수백만 개의 레코드를 정렬합니다. 우리의 모든 보안 제품의 시간 경과에 따른 효능을 보면 모든 타사 효능 테스트에서 놀랍습니다.

DDOS 공격 의 사용이 느려지고 있습니까?

불행히도 공격 수단 인 (attack method)DDOS 는 여전히 건재하며 점점 더 악화되고 있습니다. 우리는 DDOS 공격이 특정 유형의 기업을 대상으로 하는 경향이 있음을 발견했습니다. 이러한 공격은 미끼와 기본 공격 무기로 사용(attack weapon) 됩니다. DDOS 공격에는 볼류메트릭 및 앱(volumetric and app) 기반 의 두 가지 유형도 있습니다 . 누군가를 쓰러뜨리기 위해 생성할 수 있는 데이터의 최신 수치를 보면 체적 측정이 통제 불능 상태가 되었습니다. 말도 안돼.

DDOS 공격 의 대상이 되는 기업 유형 중 하나는 일반적으로 휴가철(holiday season) ( 블랙 프라이데이(Black Friday) 가 다가옴!)에 소매업을 하는 기업입니다. DDOS 공격 의 표적이 되는 다른 종류의 회사는 석유 및 가스와(oil and gas) 같이 논란의 여지가 있는 분야에서 일하는 회사입니다 . 이 경우, 우리는 특정한 윤리적, 도덕적 이유가 있는 사람들을 다루고 있으며, 그들은 자신이 하는 일에 동의하지 않기 때문에 DDOS 조직 또는 다른 조직을 결정합니다. (DDOS)그러한 사람들은 이유와 목적을 위해 이 일을 하는 것이지 관련된 돈을 위해서가 아닙니다.

사람들은 자신의 장치뿐만 아니라 자신의 클라우드 시스템( OneDrive , Google Drive , Dropbox 등)을 조직에 가져옵니다. 이는 조직에 또 다른 보안 위험(security risk) 을 나타냅니다. Cisco Cloudlock 과 같은 시스템은 이 문제를 어떻게 처리합니까?

Cloudlock 은 두 가지 기본적인 작업을 수행합니다. 첫째, 사용 중인 모든 클라우드 서비스에 대한 감사를 제공합니다. 모든 웹 로그를 Cloudlock(Cloudlock) 에서 읽을 수 있도록 Cloudlock 을 웹 제품과 통합 합니다. 그것은 조직의 모든 사람들이 어디로 가고 있는지 알려줄 것입니다. 예를 들어 많은 사람들이 자신의 Dropbox 를 사용하고 있다는 것을 알고 있습니다.

Cloudlock 이 하는 두 번째 일은 모두 클라우드 서비스와 통신하는 API 로 구성된다는 것입니다. (API)이렇게 하면 사용자 가 Box회사 문서(company document) 를 게시하면 Box 는 즉시 Cloudlock 에 새 문서가 도착했으며 검토해야 한다고 말합니다. 그래서 우리는 문서를 보고, 분류하고, 문서의 위험 프로필(risk profile) 을 파악하고, 문서가 다른 사람과 공유되었는지 여부를 파악할 것입니다. 결과에 따라 시스템은 Box 를 통한 해당 문서의 공유를 중지 하거나 허용합니다.

Cloudlock 을 사용하면 "회사 외부의 누구와도 이 정보를 공유해서는 안 됩니다. 공유할 경우 공유를 끄십시오."와 같은 규칙을 설정할 수 있습니다. 또한 각 문서의 중요도에 따라 요청 시 암호화를 수행할 수도 있습니다. 따라서 최종 사용자(end user) 가 중요한 비즈니스 문서 를 암호화하지 않은 경우 (business document)Box 에 게시할 때 Cloudlock 은 해당 문서를 자동으로 암호화합니다.

 

이 인터뷰와 그의 솔직한 답변에 대해 Jamey Heary 에게 감사드립니다 . 연락하고 싶다면 Twitter에서(on Twitter) 그를 찾을 수 있습니다 .

이 기사의 끝에서 아래에서 사용 가능한 댓글 옵션을 사용하여 우리가 논의한 주제에 대한 의견을 공유하십시오.



About the author

안녕! 제 이름은 하드웨어 해커입니다. 저는 10년 이상의 컴퓨터 수리 및 개조 경험이 있습니다. 노트북에서 태블릿, 스마트 TV에 이르기까지 거의 모든 것을 고칠 수 있습니다. 내 기술을 통해 고객이 문제를 빠르고 효율적으로 해결하도록 도울 수 있습니다. 내 블로그는 사람들이 올바른 도구를 사용하여 컴퓨터와 가전제품을 수리하는 방법을 배울 수 있도록 돕는 데 전념하고 있습니다. 그리고 내 Facebook 페이지는 컴퓨터와 관련된 모든 것에 대한 팁, 트릭 및 통찰력을 공유하는 곳입니다!



Related posts