사이버 보안 위험 평가란 무엇인가요?

평가 범위 결정

• 전체 조직 또는 특정 단위, 위치 또는 비즈니스 프로세스가 될 수 있는 범위를 정의합니다.
  
• 이해관계자의 지원을 보장하고 모든 사람이 평가 용어 및 관련 표준을 숙지할 수 있도록 합니다.

자산 식별 및 우선순위 지정

• 데이터 감사를 수행하여 IT 자산(하드웨어, 소프트웨어, 데이터, 네트워크)의 포괄적인 최신 인벤토리를 파악합니다.
  
• 가치, 법적 지위 및 비즈니스 중요도에 따라 자산을 분류합니다. 중요 자산을 식별합니다.
  
• 네트워크 아키텍처 다이어그램을 생성하여 자산의 상호 연결성과 진입점을 시각화합니다.

사이버 위협 및 취약성 식별

•  IT 오류, 패치되지 않은 시스템, 취약한 암호 등의 취약점을 파악합니다.
  
•  맬웨어, 피싱, 내부자 위협, 자연 재해와 같은 위협을 식별합니다.
  
•  MITRE ATT & CK 및 국가 취약성 데이터베이스와 같은 프레임워크를 참조용으로 사용하세요.

위험 평가 및 분석

• 위험 분석을 수행하여 각 위협이 취약점을 악용할 가능성과 조직에 미칠 잠재적 영향을 평가합니다.
  
• 위험 매트릭스를 사용하여 위험의 가능성과 영향에 따라 위험의 우선순위를 지정합니다.
  
• 취약성의 발견 가능성, 악용 가능성 및 재현 가능성과 같은 요소를 고려합니다.

위험의 확률 및 영향 계산

• 공격 가능성과 데이터의 기밀성, 무결성, 가용성에 미치는 영향을 파악합니다.
  
• 취약성과 위협의 영향을 정량화할 수 있는 일관된 평가 도구를 개발합니다.
  
• 이러한 평가를 금전적 손실, 복구 비용 및 벌금, 평판 손상으로 변환합니다.

비용 편익 분석을 기반으로 위험의 우선순위 지정

• 취약성을 검토하고 위험 수준과 예산에 대한 잠재적 영향에 따라 우선순위를 지정합니다.
  
• 우선순위가 높은 위험을 해결하기 위해 예방 조치를 비롯한 처치 계획을 개발합니다.
  
• 조직의 정책, 타당성, 규정 및 위험에 대한 조직의 태도를 고려합니다.

보안 제어 구현

• 보안 통제 수단을 개발하고 구현하여 식별된 위험을 완화합니다.
  
• 제어는 기술적(예: 방화벽, 암호화)이거나 비기술적(정책 및 Physical Security 조치)일 수 있습니다.
  
• 예방 및 탐지 제어를 고려하고 적절하게 구성되고 통합되었는지 확인합니다.

결과 모니터링 및 문서화

• 구현된 제어의 효과를 지속적으로 모니터링하고 정기적인 감사 및 평가를 실시합니다.
  
• 위험 시나리오, 평가 결과, 시정 조치, 진행 상태를 포함하여 전체 프로세스를 문서화합니다.
  
• 이해관계자를 위한 상세 보고서를 준비하고 정기적으로 위험 관리 대장을 업데이트합니다.

보안 태세 강화

사이버 보안 위험 평가는 다음을 통해 IT 환경의 전반적인 보안을 개선합니다.

• IT 자산 및 애플리케이션에 대한 가시성 향상.
  
• 사용자 권한, Active Directory 활동 및 ID의 전체 인벤토리 생성.
  
• 디바이스, 애플리케이션, 사용자 ID 전반의 취약점을 파악합니다.
  
• 위협 행위자와 사이버 범죄자가 사용할 수 있는 구체적인 취약점 강조.
  
• 강력한 사고 대응 및 복구 계획 개발을 지원합니다.

가용성 향상

보안 사고로 인한 다운타임과 중단을 방지하여 애플리케이션 및 서비스의 가용성을 향상합니다.

규제 위험 최소화

관련 데이터 보호 요구 사항 및 표준을 보다 안정적으로 준수할 수 있습니다.

리소스 최적화

위험과 영향에 따라 우선순위가 높은 활동을 식별하여 보안 조치를 보다 효과적으로 할당할 수 있습니다.

비용 절감

취약점을 조기에 완화하고 공격이 발생하기 전에 예방하여 비용을 절감할 수 있습니다.