블루팀의 임무는 비즈니스 목표를 이해하고 보안 조치를 지속적으로 개선하여 조직의 자산을 보호하는 것입니다.
1. 디지털 발자국 분석 및 위험 인텔리전스 분석을 통해 취약점과 잠재적인 보안 인시던트를 식별하고 완화합니다.
2. DNS(도메인 네임 서버), 인시던트 대응 및 복구 등 정기적인 보안 감사를 실시합니다.
3. 모든 직원에게 잠재적인 사이버 위협에 대해 교육합니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
블루팀이 어떻게 운영되는지 설명하는 가장 좋은 방법은 축구팀에 비유하는 것입니다. 조직의 사이버 보안 전문가로 구성된 블루팀은 피싱 공격 및 의심스러운 활동과 같은 모든 잠재적 위협으로부터 조직을 방어하는 역할을 합니다.
블루팀의 업무, 즉 방어선의 첫 번째 단계 중 하나는 조직의 보안 전략을 이해하고 실제 공격에 대한 방어 계획을 수립하는 데 필요한 데이터를 수집하는 것입니다.
방어 계획에 앞서 블루팀은 보호가 필요한 영역에 관한 모든 정보를 수집하고 위험 평가를 수행합니다. DNS 감사를 실시하고 네트워크 트래픽 표본을 확보하며 중요 자산을 식별하고 각 자산의 중요도를 기록합니다. 이러한 자산이 식별되면 위험 평가를 실시해서 각 자산에 대해 위협을 파악하고 눈에 보이는 약점, 구성 문제를 찾아냅니다. 이 자산은 마치 축구팀에서 코치와 선수들이 지난 경기에서 무엇이 잘됐고 무엇이 잘못되었는지에 대해 토론하는 것과 같습니다.
평가가 완료되면 블루팀은 직원들에게 안전 절차에 대한 추가 교육을 실시하고 비밀번호 규칙을 강화하는 등 안전 조치를 취합니다. 안전 조치를 도입하는 것은 축구에서 새로운 전략을 짜고 실전에서 잘 통하는지 시험하는 것과 것과 같습니다. 방어 계획이 수립된 후 블루팀의 역할은 침입 징후를 감지하고, 경고를 조사하고, 비정상적인 활동에 대응할 수 있는 모니터링 도구를 도입하는 것입니다.
블루팀은 다양한 대응책과 위협 인텔리전스를 활용해 사이버 공격으로부터 네트워크를 보호하고 전반적인 보안 태세를 강화하는 방법을 파악하기 시작합니다.
블루팀 구성원은 지속적으로 잠재적인 취약성을 찾아내고 새롭게 등장하는 위협에 대해 기존 보안 조치를 테스트해야 합니다. 다음은 블루팀 구성원이 갖추어야 할 몇 가지 기술과 도구입니다.
블루팀 구성원은 방화벽, 피싱, 보안 네트워크 아키텍처, 취약성 평가, 위협 모델링 등 사이버 보안의 일부 개념에 대한 기본적인 이해를 갖추고 있어야 합니다.
블루팀 구성원은 Linux, Windows, macOS와 같은 운영 체제에 대해 깊이 이해하고 있어야 합니다.
인시던트 발생 시기와 발생 상황에 대비하는 것이 중요합니다. 블루팀 구성원은 인시던트 대응 계획을 개발하고 실행하는 기술을 갖추고 있어야 합니다.
안티바이러스 소프트웨어 및 SIEM 시스템과 함께 방화벽, 침입 탐지 시스템/예방 시스템(IDS/IPS)과 같은 보안 도구를 능숙하게 사용할 수 있어야 합니다. SIEM 시스템은 네트워크 활동을 수집하기 위해 실시간 데이터 검색을 수행합니다. 또한 엔드포인트 보안 소프트웨어를 설치하고 구성할 수 있어야 합니다.
블루팀의 역할은 높은 수준의 위협에 집중하고 탐지 및 대응 기술을 철저하게 구현하는 것입니다.