세부적인 엔터프라이즈 자산 인벤토리 설정 및 유지:

최종 사용자 장치(휴대용 및 모바일 포함), 네트워크 장치, 비컴퓨팅/IoT 장치 및 서버를 포함하여 데이터를 저장하거나 처리할 수 있는 모든 엔터프라이즈 자산에 대해 정확하고 상세한 최신 인벤토리를 설정하고 유지합니다. 인벤토리가 네트워크 주소(정적인 경우), 하드웨어 주소, 컴퓨터 이름, 데이터 자산 소유자, 각 자산의 부서 및 자산이 네트워크에 연결하도록 승인되었는지 여부를 기록하는지 확인합니다. 모바일 최종 사용자 장치의 경우 MDM 유형 도구는 적절한 경우 이 프로세스를 지원할 수 있습니다. 이 인벤토리에는 인프라에 물리적, 가상, 원격으로 연결된 자산과 클라우드 환경 내에 있는 자산이 포함됩니다. 또한 기업의 제어를 받지 않더라도 기업의 네트워크 인프라에 정기적으로 연결되는 자산도 포함됩니다. 모든 엔터프라이즈 자산의 인벤토리를 반년마다 또는 더 자주 검토하고 업데이트합니다.

승인되지 않은 자산 해결:

주 단위로 권한 없는 자산을 처리하는 프로세스가 있는지 확인합니다. 기업은 네트워크에서 자산을 제거하거나, 자산이 네트워크에 원격으로 연결되는 것을 거부하거나, 자산을 격리하도록 선택할 수 있습니다.

활성 Discovery 도구 활용:

활성 검색 도구를 활용하여 엔터프라이즈 네트워크에 연결된 자산을 식별합니다. 활성 검색 도구가 매일 또는 더 자주 실행되도록 구성합니다.

DHCP(Dynamic Host Configuration Protocol) 로깅을 사용하여 엔터프라이즈 자산 인벤토리를 업데이트합니다.

모든 DHCP 서버 또는 IP(인터넷 프로토콜) 주소 관리 도구에서 DHCP 로깅을 사용하여 엔터프라이즈의 자산 인벤토리를 업데이트합니다. 로그를 검토하고 사용하여 엔터프라이즈의 자산 인벤토리를 매주 또는 더 자주 업데이트합니다.

수동 자산 검색 도구 사용:

수동 검색 도구를 사용하여 엔터프라이즈 네트워크에 연결된 자산을 식별합니다. 스캔을 검토하고 사용하여 기업의 자산 인벤토리를 적어도 매주 또는 더 자주 업데이트합니다.

소프트웨어 인벤토리 설정 및 유지관리:

엔터프라이즈 자산에 설치된 모든 라이센스 소프트웨어의 상세 인벤토리를 설정하고 유지 관리합니다. 소프트웨어 인벤토리는 각 항목에 대한 제목, 게시자, 초기 설치/사용 날짜 및 비즈니스 목적을 문서화해야 합니다. 적절한 경우 URL(Uniform Resource Locator), 앱 스토어, 버전, 배포 메커니즘 및 서비스 해제 날짜를 포함합니다. 소프트웨어 인벤토리를 반년으로 또는 더 자주 검토하고 업데이트합니다.

인증된 소프트웨어가 현재 지원되는지 확인

현재 지원되는 소프트웨어만 엔터프라이즈 자산의 소프트웨어 인벤토리에서 인증됨으로 지정되었는지 확인합니다. 소프트웨어가 지원되지 않지만 기업의 사명을 완수하는 데 필요한 경우, 통제 완화 및 잔여 위험 수용을 자세히 설명하는 예외 사항을 문서화합니다. 예외 문서가 없는 지원되지 않는 소프트웨어의 경우 권한 없음으로 지정합니다. 소프트웨어 목록을 검토하여 최소한 매월 또는 더 자주 소프트웨어 지원을 확인하십시오.

주소 승인되지 않은 소프트웨어:

권한이 없는 소프트웨어가 엔터프라이즈 자산에서 사용되지 않도록 제거되거나 문서화된 예외를 수신하는지 확인합니다. 매월 또는 더 자주 검토하십시오.

자동화된 소프트웨어 인벤토리 도구 활용:

가능한 경우 기업 전체에서 소프트웨어 인벤토리 도구를 활용하여 설치된 소프트웨어의 검색 및 문서화를 자동화합니다.

인증된 소프트웨어 허용 목록:

애플리케이션 허용 목록 지정과 같은 기술적 제어를 사용하여 인증된 소프트웨어만 실행하거나 액세스할 수 있도록 합니다. 격년으로 또는 더 자주 재평가합니다.

허용 목록 권한이 부여된 라이브러리:

기술 제어를 사용하여 특정 .dll, .ocx, .so 등의 파일과 같이 인증된 소프트웨어 라이브러리만 시스템 프로세스에 로드할 수 있도록 합니다. 승인되지 않은 라이브러리가 시스템 프로세스로 로드되지 않도록 차단합니다. 격년으로 또는 더 자주 재평가합니다.

허용 목록 인증된 스크립트:

디지털 서명 및 버전 제어와 같은 기술 제어를 사용하여 특정 .ps1, .py 등의 파일과 같이 인증된 스크립트만 실행할 수 있도록 합니다. 권한이 없는 스크립트가 실행되지 않도록 차단합니다. 격년으로 또는 더 자주 재평가합니다.

데이터 관리 프로세스를 수립하고 유지 관리합니다.

데이터 관리 프로세스를 수립하고 유지 관리합니다. 이 프로세스에서 기업의 민감도 및 보존 표준을 기반으로 데이터 민감도, 데이터 소유자, 데이터 처리, 데이터 보존 제한 및 폐기 요구 사항을 해결합니다. 매년 설명서를 검토하고 업데이트하거나 이 보호 조치에 영향을 줄 수 있는 중요한 엔터프라이즈 변경이 발생하는 경우 설명서를 검토하고 업데이트합니다.

전송 중인 민감한 데이터 암호화:

전송 중인 민감한 데이터를 암호화합니다. 예제 구현에는 TLS(전송 계층 보안) 및 OpenSSH(Open Secure Shell)가 포함될 수 있습니다.

중요한 미사용 데이터 암호화:

중요한 데이터가 포함된 서버, 애플리케이션 및 데이터베이스에 저장된 중요한 데이터를 암호화합니다. 서버 측 암호화라고도 하는 스토리지 계층 암호화는 이 보호 조치의 최소 요구 사항을 충족합니다. 추가 암호화 방법에는 클라이언트 측 암호화라고도 하는 애플리케이션 계층 암호화가 포함될 수 있으며, 이 경우 데이터 저장 장치에 대한 액세스는 일반 텍스트 데이터에 대한 액세스를 허용하지 않습니다.

민감도를 기반으로 데이터 처리 및 저장 세그먼트:

데이터의 민감도에 따라 데이터 처리 및 저장을 세분화합니다. 민감도가 낮은 엔터프라이즈 자산에서 중요한 데이터를 처리하지 마십시오.

데이터 손실 방지 솔루션 배포:

호스트 기반 DLP(Data Loss Prevention) 도구와 같은 자동화된 도구를 구현하여 현장 또는 원격 서비스 공급자에 있는 자산을 포함하여 엔터프라이즈 자산을 통해 저장, 처리 또는 전송되는 모든 중요한 데이터를 식별하고 기업의 중요한 데이터 인벤토리를 업데이트합니다.

중요한 데이터 액세스 기록:

수정 및 폐기를 포함한 중요한 데이터 액세스를 기록합니다.

데이터 인벤토리 설정 및 유지 관리:

기업의 데이터 관리 프로세스를 기반으로 데이터 인벤토리를 설정하고 유지 관리합니다. 최소한 중요한 데이터의 인벤토리를 작성합니다. 최소한 중요한 데이터에 대한 우선순위를 두고 매년 인벤토리를 검토하고 업데이트합니다.

데이터 액세스 제어 목록을 구성합니다.

사용자의 알 필요가 있는 데이터 접근 제어 목록을 구성합니다. 액세스 권한이라고도 하는 데이터 액세스 제어 목록을 로컬 및 원격 파일 시스템, 데이터베이스 및 애플리케이션에 적용합니다.

데이터 보존 적용:

기업의 데이터 관리 프로세스에 따라 데이터를 보존합니다. 데이터 보존에는 최소 및 최대 타임라인이 모두 포함되어야 합니다.

데이터를 안전하게 폐기합니다.

기업의 데이터 관리 프로세스에 설명된 대로 데이터를 안전하게 폐기합니다. 폐기 프로세스와 방법이 데이터 민감도에 맞는지 확인하십시오.

최종 사용자 장치의 데이터 암호화:

중요한 데이터가 포함된 최종 사용자 장치의 데이터를 암호화합니다. 예제 구현에는 Windows BitLocker™, Apple FileVault™ , Linux dm-crypt™가 포함될 수 있습니다.

데이터 분류 체계 설정 및 유지 관리:

기업에 대한 전체 데이터 분류 체계를 설정하고 유지 관리합니다. 기업은 "민감", "기밀" 및 "공개"와 같은 레이블을 사용하고 해당 레이블에 따라 데이터를 분류할 수 있습니다. 매년 또는 이 보호 조치에 영향을 줄 수 있는 중요한 기업 변경이 발생할 때 분류 체계를 검토하고 업데이트합니다.

문서 데이터 흐름:

데이터 흐름을 문서화합니다. 데이터 흐름 설명서에는 서비스 공급자 데이터 흐름이 포함되며 기업의 데이터 관리 프로세스를 기반으로 해야 합니다. 매년 설명서를 검토하고 업데이트하거나 이 보호 조치에 영향을 줄 수 있는 중요한 엔터프라이즈 변경이 발생하는 경우 설명서를 검토하고 업데이트합니다.

이동식 미디어의 데이터 암호화:

이동식 미디어의 데이터를 암호화합니다.

보안 구성 프로세스를 설정하고 유지 관리합니다.

엔터프라이즈 자산(휴대용 및 모바일을 포함한 최종 사용자 장치, 비컴퓨팅/IoT 장치, 서버) 및 소프트웨어(운영 체제 및 애플리케이션)에 대한 보안 구성 프로세스를 설정하고 유지 관리합니다.매년 설명서를 검토하고 업데이트하거나 이 보호 조치에 영향을 줄 수 있는 중요한 엔터프라이즈 변경이 발생하는 경우 설명서를 검토하고 업데이트합니다.

휴대용 최종 사용자 장치에 자동 장치 잠금 적용:

지원되는 경우 휴대용 최종 사용자 장치에서 미리 결정된 로컬 실패 인증 시도 임계값에 따라 자동 장치 잠금을 적용합니다. 랩톱의 경우 20회 이상의 실패한 인증 시도를 허용하지 마십시오. 태블릿 및 스마트폰의 경우 인증 시도가 10회 이하로 실패했습니다. 예제 구현에는 InTune Device Lock 및 Apple Configuration Profile maxFailedAttempts가 포함됩니다Microsoft.

휴대용 최종 사용자 장치에 원격 지우기 기능 적용:

분실 또는 도난당한 장치와 같이 적절하다고 간주되거나 개인이 더 이상 기업을 지원하지 않는 경우 엔터프라이즈 소유의 휴대용 최종 사용자 장치에서 엔터프라이즈 데이터를 원격으로 지웁니다.

모바일 최종 사용자 장치에 별도의 엔터프라이즈 작업 공간:

지원되는 경우 모바일 최종 사용자 장치에서 별도의 엔터프라이즈 작업 공간이 사용되는지 확인합니다. 구현의 예로는 구성 프로필 또는 Android 작업 프로필을 사용하여 Apple 개인 응용 프로그램 및 데이터와 엔터프라이즈 응용 프로그램 및 데이터를 분리하는 것이 포함됩니다.

네트워크 인프라에 대한 보안 구성 프로세스를 설정하고 유지 관리합니다.

네트워크 장치에 대한 보안 구성 프로세스를 설정하고 유지 관리합니다. 매년 설명서를 검토하고 업데이트하거나 이 보호 조치에 영향을 줄 수 있는 중요한 엔터프라이즈 변경이 발생하는 경우 설명서를 검토하고 업데이트합니다.

엔터프라이즈 자산에 대한 자동 세션 잠금 구성:

정의된 기간 동안 활동이 없으면 엔터프라이즈 자산에 대해 자동 세션 잠금을 구성합니다. 범용 운영 체제의 경우 기간은 15분을 초과할 수 없습니다. 모바일 최종 사용자 장치의 경우 기간이 2분을 초과할 수 없습니다.

서버에서 방화벽을 구현하고 관리합니다.

지원되는 경우 서버에서 방화벽을 구현하고 관리합니다. 구현 예로는 가상 방화벽, 운영 체제 방화벽 또는 타사 방화벽 에이전트가 있습니다.

최종 사용자 장치에서 방화벽 구현 및 관리:

명시적으로 허용된 서비스 및 포트를 제외한 모든 트래픽을 삭제하는 기본 거부 규칙을 사용하여 최종 사용자 장치에서 호스트 기반 방화벽 또는 포트 필터링 도구를 구현하고 관리합니다.

엔터프라이즈 자산 및 소프트웨어를 안전하게 관리:

엔터프라이즈 자산과 소프트웨어를 안전하게 관리합니다. 구현의 예로는 version-controlled-infrastructure-as-code를 통한 구성 관리와 SSH(Secure Shell) 및 HTTPS(Hypertext Transfer Protocol Secure)와 같은 보안 네트워크 프로토콜을 통해 관리 인터페이스에 액세스하는 것이 포함됩니다. 운영상 필요한 경우가 아니면 Telnet(Teletype Network) 및 HTTP와 같은 안전하지 않은 관리 프로토콜을 사용하지 마십시오.

엔터프라이즈 자산 및 소프트웨어에 대한 기본 계정 관리:

엔터프라이즈 자산 및 소프트웨어의 기본 계정(예: 루트, 관리자 및 기타 사전 구성된 벤더 계정)을 관리합니다. 구현의 예로는 기본 계정을 비활성화하거나 사용할 수 없게 만드는 것이 포함될 수 있습니다.

엔터프라이즈 자산 및 소프트웨어에서 불필요한 서비스를 제거하거나 비활성화합니다.

엔터프라이즈 자산 및 소프트웨어에서 불필요한 서비스(예: 사용하지 않는 파일 공유 서비스, 웹 애플리케이션 모듈 또는 서비스 기능)를 제거하거나 사용하지 않도록 설정합니다.

엔터프라이즈 자산에 대해 신뢰할 수 있는 DNS 서버를 구성합니다.

엔터프라이즈 자산에 대해 신뢰할 수 있는 DNS 서버를 구성합니다. 구현의 예로는 엔터프라이즈에서 제어하는 DNS 서버 및/또는 외부에서 액세스할 수 있는 신뢰할 수 있는 DNS 서버를 사용하도록 자산 구성이 포함됩니다.

계정 인벤토리 설정 및 유지관리:

엔터프라이즈에서 관리되는 모든 계정의 인벤토리를 설정하고 유지 관리합니다. 인벤토리에는 사용자 계정과 관리자 계정이 모두 포함되어야 합니다. 인벤토리에는 최소한 사용자의 이름, 사용자 이름, 시작/중지 날짜 및 부서가 포함되어야 합니다. 모든 활성 계정이 최소한 분기별로 또는 더 자주 되풀이 일정에 따라 승인되었는지 확인합니다.

고유한 암호 사용:

모든 엔터프라이즈 자산에 고유한 암호를 사용합니다. 모범 사례 구현에는 MFA를 사용하는 계정의 경우 최소 8자리 암호, MFA를 사용하지 않는 계정의 경우 14자리 암호가 포함됩니다.

휴면 계정 비활성화:

지원되는 경우 45일 동안 활동이 없으면 휴면 계정을 삭제하거나 비활성화합니다.

관리자 권한을 관리자 전용 계정으로 제한:

관리자 권한을 엔터프라이즈 자산의 전용 관리자 계정으로 제한합니다. 사용자의 권한이 없는 기본 계정에서 인터넷 검색, 전자 메일 및 생산성 제품군 사용과 같은 일반적인 컴퓨팅 작업을 수행합니다.

서비스 계정의 인벤토리를 설정하고 유지관리합니다.

서비스 계정의 인벤토리를 설정하고 유지관리합니다. 인벤토리에는 최소한 부서 소유자, 검토 날짜 및 목적이 포함되어야 합니다. 서비스 계정 검토를 수행하여 모든 활성 계정이 최소한 분기별로 또는 더 자주 반복되는 일정에 따라 승인되었는지 확인합니다.

계정 관리 중앙 집중화:

디렉터리 또는 ID 서비스를 통해 계정 관리를 중앙 집중화합니다.

액세스 권한 부여 프로세스 설정:

사용자의 신규 채용, 권한 부여 또는 역할 변경 시 엔터프라이즈 자산에 대한 액세스 권한을 부여하는 프로세스(가급적 자동화)를 설정하고 따릅니다.

액세스 취소 프로세스 설정:

사용자의 해지, 권한 해지 또는 역할 변경 시 즉시 계정을 비활성화하여 엔터프라이즈 자산에 대한 액세스를 취소하기 위한 프로세스를 설정하고 따르는 것이 좋습니다. 감사 추적을 보존하기 위해 계정을 삭제하는 대신 계정을 사용하지 않도록 설정해야 할 수 있습니다.

외부에 노출된 애플리케이션에 MFA 필요:

지원되는 경우 외부에 노출된 모든 엔터프라이즈 또는 타사 애플리케이션에 MFA를 적용하도록 요구합니다. 디렉터리 서비스 또는 SSO 공급자를 통해 MFA를 적용하는 것은 이 보호 기능을 만족스럽게 구현하는 것입니다.

원격 네트워크 액세스를 위해 MFA 필요:

원격 네트워크 액세스를 위해 MFA가 필요합니다.

관리 액세스를 위해 MFA 필요:

모든 엔터프라이즈 자산에 대한 모든 관리 액세스 계정(지원되는 경우)에 대해 MFA를 요구하며, 현장에서 관리하든 타사 공급자를 통해 관리하든 상관 없습니다.

인증 및 권한 부여 시스템의 인벤토리를 설정하고 유지관리합니다.

현장 또는 원격 서비스 제공자에서 호스팅되는 시스템을 포함하여 기업의 인증 및 권한 부여 시스템 인벤토리를 설정하고 유지합니다. 인벤토리를 최소, 매년 또는 더 자주 검토하고 업데이트합니다.

중앙 집중식 접근 제어:

지원되는 경우 디렉터리 서비스 또는 SSO 제공자를 통해 모든 엔터프라이즈 자산에 대한 액세스 제어를 중앙 집중화합니다.

역할 기반 접근 제어 정의 및 유지관리:

할당된 업무를 성공적으로 수행하기 위해 기업 내의 각 역할에 필요한 액세스 권한을 결정하고 문서화하여 역할 기반 액세스 제어를 정의하고 유지 관리합니다. 엔터프라이즈 자산에 대한 접근 제어 검토를 수행하여 모든 권한이 최소한 매년 또는 더 자주 반복되는 일정에 따라 부여되는지 확인합니다.

취약성 관리 프로세스를 설정하고 유지 관리합니다.

엔터프라이즈 자산에 대해 문서화된 취약성 관리 프로세스를 수립하고 유지 관리합니다. 매년 설명서를 검토하고 업데이트하거나 이 보호 조치에 영향을 줄 수 있는 중요한 엔터프라이즈 변경이 발생하는 경우 설명서를 검토하고 업데이트합니다.

정정 프로세스 설정 및 유지관리:

매월 또는 더 자주 검토하여 정정 프로세스에 문서화된 위험 기반 정정 전략을 수립하고 유지관리합니다.

자동화된 운영 체제 패치 관리 수행:

자동화된 패치 관리를 통해 엔터프라이즈 자산에 대한 운영 체제 업데이트를 매월 또는 더 자주 수행합니다.

자동화된 애플리케이션 패치 관리 수행:

자동화된 패치 관리를 통해 엔터프라이즈 자산에 대한 애플리케이션 업데이트를 매월 또는 더 자주 수행합니다.

엔터프라이즈 내부 자산에 대한 취약성 스캔을 자동으로 수행합니다.

엔터프라이즈 내부 자산에 대해 분기별 또는 더 자주 취약성 스캔을 자동화합니다. SCAP 준수 취약성 검사 도구를 사용하여 인증된 검사와 인증되지 않은 검사를 모두 수행합니다.

외부에 노출된 엔터프라이즈 자산에 대해 자동으로 취약성 스캔을 수행합니다.

SCAP 준수 취약성 검사 도구를 사용하여 외부에 노출된 엔터프라이즈 자산의 취약성 검사를 자동화합니다. 한 달에 한 번 또는 더 자주 검사를 수행합니다.

탐지된 취약성 수정:

정정 프로세스에 따라 매월 또는 더 자주 프로세스와 도구를 통해 소프트웨어에서 탐지된 취약성을 정정합니다.

감사 로그 관리 프로세스 설정 및 유지관리:

기업의 로깅 요구 사항을 정의하는 감사 로그 관리 프로세스를 설정하고 유지 관리합니다. 최소한 엔터프라이즈 자산에 대한 감사 로그의 수집, 검토 및 보존을 처리합니다. 매년 설명서를 검토하고 업데이트하거나 이 보호 조치에 영향을 줄 수 있는 중요한 엔터프라이즈 변경이 발생하는 경우 설명서를 검토하고 업데이트합니다.

감사 로그 유지:

최소 90일 동안 엔터프라이즈 자산에 감사 로그를 보존합니다.

감사 로그 검토 수행:

감사 로그를 검토하여 잠재적 위협을 나타낼 수 있는 예외 또는 비정상적인 이벤트를 탐지합니다. 매주 또는 더 자주 검토를 수행합니다.

서비스 제공자 로그 수집:

지원되는 경우 서비스 제공자 로그를 수집합니다. 예제 구현에는 인증 및 권한 부여 이벤트, 데이터 생성 및 폐기 이벤트, 사용자 관리 이벤트 수집이 포함됩니다.

감사 로그 수집:

감사 로그를 수집합니다. 엔터프라이즈의 감사 로그 관리 프로세스에 따라 엔터프라이즈 자산 전반에 걸쳐 로깅이 사용하도록 설정되었는지 확인합니다.

적절한 감사 로그 스토리지를 보장합니다.

로깅 대상이 엔터프라이즈의 감사 로그 관리 프로세스를 준수하도록 적절한 스토리지를 유지하는지 확인합니다.

시간 동기화 표준화:

시간 동기화를 표준화합니다. 지원되는 경우 엔터프라이즈 자산 전체에 동기화된 시간 소스를 두 개 이상 구성합니다.

자세한 감사 로그 수집:

중요한 데이터가 포함된 엔터프라이즈 자산에 대한 자세한 감사 로깅을 구성합니다. 이벤트 소스, 날짜, 사용자 이름, 타임스탬프, 소스 주소, 대상 주소 및 포렌식 조사에 도움이 될 수 있는 기타 유용한 요소를 포함합니다.

DNS 쿼리 감사 로그 수집:

적절하고 지원되는 경우 엔터프라이즈 자산에 대한 DNS 쿼리 감사 로그를 수집합니다.

URL 요청 감사 로그 수집:

적절하고 지원되는 경우 엔터프라이즈 자산에 대한 URL 요청 감사 로그를 수집합니다.

명령줄 감사 로그 수집:

명령줄 감사 로그를 수집합니다. 예제 구현에는 PowerShell™, BASH™ 및 원격 관리 터미널에서 감사 로그를 수집하는 것이 포함됩니다.

감사 로그 중앙 집중화:

가능한 범위 내에서 기업 자산 전반에 걸쳐 감사 로그 수집 및 보존을 중앙 집중화합니다.

완전히 지원되는 브라우저와 이메일 클라이언트만 사용해야 합니다.

벤더를 통해 제공되는 최신 버전의 브라우저와 이메일 클라이언트만 사용하여 완전히 지원되는 브라우저와 이메일 클라이언트만 엔터프라이즈에서 실행할 수 있도록 허용합니다.

DNS 필터링 서비스 사용:

모든 엔터프라이즈 자산에서 DNS 필터링 서비스를 사용하여 알려진 악성 도메인에 대한 액세스를 차단합니다.

네트워크 기반 URL 필터의 유지 및 적용:

네트워크 기반 URL 필터를 적용하고 업데이트하여 엔터프라이즈 자산이 잠재적으로 악의적이거나 승인되지 않은 웹 사이트에 연결하지 못하도록 제한합니다. 구현의 예로는 범주 기반 필터링, 평판 기반 필터링 또는 차단 목록 사용이 있습니다. 모든 엔터프라이즈 자산에 필터를 적용합니다.

불필요하거나 승인되지 않은 브라우저 및 이메일 클라이언트 확장 프로그램 제한:

승인되지 않았거나 불필요한 브라우저 또는 이메일 클라이언트 플러그인, 확장 프로그램 및 추가 기능 애플리케이션을 제거 또는 비활성화하여 제한합니다.

DMARC 구현:

유효한 도메인에서 이메일이 스푸핑되거나 수정될 가능성을 낮추려면 SPF(Sender Policy Framework) 및 DKIM(DomainKeys Identified Mail) 표준 구현부터 DMARC 정책 및 확인을 구현하세요.

불필요한 파일 형식 차단:

기업의 이메일 게이트웨이에 들어가려는 불필요한 파일 형식을 차단합니다.

Email Server 맬웨어 방지 보호 배포 및 유지 관리:

첨부 파일 검사 및/또는 샌드박싱과 같은 이메일 서버 맬웨어 방지 보호 기능을 배포하고 유지 관리합니다.

맬웨어 방지 소프트웨어 배포 및 유지 관리:

모든 엔터프라이즈 자산에 맬웨어 방지 소프트웨어를 배포하고 유지 관리합니다.

자동 맬웨어 방지 서명 업데이트 구성:

모든 엔터프라이즈 자산에서 맬웨어 방지 서명 파일에 대한 자동 업데이트를 구성합니다.

이동식 미디어에 대한 자동 실행 및 자동 재생 비활성화:

이동식 미디어에 대한 자동 실행 및 자동 실행 자동 실행 기능을 비활성화합니다.

Configure Automatic Anti-Malware Scanning of Removable Media(이동식 미디어의 맬웨어 방지 자동 검사 구성):

이동식 미디어를 자동으로 검사하도록 맬웨어 방지 소프트웨어를 구성합니다.

악용 방지 기능 활성화:

가능한 경우 DEP(데이터 실행 방지), Windows WDEG(Defender Exploit Guard) 또는 Apple SIP(시스템 무결성 보호) 및 게이트키퍼™와 같은 Microsoft 엔터프라이즈 자산 및 소프트웨어에서 악용 방지 기능을 사용하도록 설정합니다.

맬웨어 방지 소프트웨어를 중앙에서 관리:

맬웨어 방지 소프트웨어를 중앙에서 관리합니다.

행동 기반 맬웨어 방지 소프트웨어 사용:

동작 기반 맬웨어 방지 소프트웨어를 사용합니다.

데이터 복구 프로세스 설정 및 유지 관리 :

데이터 복구 프로세스를 설정하고 유지 관리합니다. 이 프로세스에서 데이터 복구 활동의 범위, 복구 우선 순위 지정 및 백업 데이터의 보안을 다룹니다. 매년 설명서를 검토하고 업데이트하거나 이 보호 조치에 영향을 줄 수 있는 중요한 엔터프라이즈 변경이 발생하는 경우 설명서를 검토하고 업데이트합니다.

자동 백업 수행 :

범위 내 엔터프라이즈 자산의 자동 백업을 수행합니다. 데이터의 민감도에 따라 매주 또는 더 자주 백업을 실행합니다.

복구 데이터 보호:

원본 데이터와 동등한 컨트롤로 복구 데이터를 보호합니다. 요구 사항에 따라 암호화 또는 데이터 분리를 참조합니다.

복구 데이터의 격리된 인스턴스를 설정하고 유지 관리합니다.

복구 데이터의 격리된 인스턴스를 설정하고 유지 관리합니다. 구현의 예로는 오프라인, 클라우드 또는 오프사이트 시스템이나 서비스를 통해 백업 대상을 제어하는 버전이 있습니다.

테스트 데이터 복구:

범위 내 엔터프라이즈 자산의 샘플링에 대해 분기별로 또는 더 자주 백업 복구를 테스트합니다.

네트워크 인프라가 최신 상태인지 확인합니다.

네트워크 인프라를 최신 상태로 유지하십시오. 구현의 예로는 안정적인 최신 소프트웨어 릴리스 실행 및/또는 현재 지원되는 NaaS(Network-as-a-Service) 오퍼링 사용 등이 있습니다. 소프트웨어 버전을 매월 또는 더 자주 검토하여 소프트웨어 지원을 확인합니다.

보안 네트워크 아키텍처 구축 및 유지 관리:

보안 네트워크 아키텍처를 구축하고 유지 관리합니다. 보안 네트워크 아키텍처는 최소한 세그멘테이션, 최소 권한 및 가용성을 해결해야 합니다.

네트워크 인프라스트럭처를 안전하게 관리:

네트워크 인프라를 안전하게 관리합니다. 구현의 예로는 version-controlled-infrastructure-as-code, SSH 및 HTTPS와 같은 보안 네트워크 프로토콜 사용이 있습니다.

아키텍처 다이어그램 설정 및 유지관리:

아키텍처 다이어그램 및/또는 기타 네트워크 시스템 문서를 수립하고 유지 관리합니다. 매년 설명서를 검토하고 업데이트하거나 이 보호 조치에 영향을 줄 수 있는 중요한 엔터프라이즈 변경이 발생하는 경우 설명서를 검토하고 업데이트합니다.

네트워크 인증, 권한 부여 및 감사(AAA) 중앙 집중화:

네트워크 AAA를 중앙 집중화합니다.

보안 네트워크 관리 및 통신 프로토콜 사용 :

보안 네트워크 관리 및 통신 프로토콜(예: 802.1X, WPA2(Wi-Fi Protected Access 2) Enterprise 이상)을 사용합니다.

원격 디바이스가 VPN을 사용하고 엔터프라이즈의 AAA 인프라에 연결되어 있는지 확인합니다.

사용자가 최종 사용자 장치에서 엔터프라이즈 리소스에 액세스하기 전에 엔터프라이즈 관리형 VPN 및 인증 서비스에 인증하도록 요구합니다.

모든 관리 작업을 위한 전용 컴퓨팅 자원을 설정하고 유지 관리합니다.

모든 관리 작업 또는 관리 액세스가 필요한 작업에 대해 물리적 또는 논리적으로 분리된 전용 컴퓨팅 자원을 설정하고 유지보수합니다. 컴퓨팅 리소스는 엔터프라이즈의 기본 네트워크에서 분할되어야 하며 인터넷 액세스가 허용되지 않아야 합니다.

중앙 집중식 보안 이벤트 경고:

로그 상관관계 분석 및 분석을 위해 기업 자산 전반에서 보안 이벤트 경보를 중앙 집중화합니다. 모범 사례를 구현하려면 공급업체에서 정의한 이벤트 상관 관계 경고를 포함하는 SIEM을 사용해야 합니다. 보안 관련 상관 관계 경고로 구성된 로그 분석 플랫폼도 이 보호 기능을 충족합니다.

애플리케이션 계층 필터링 수행:

응용 프로그램 계층 필터링을 수행합니다. 예제 구현에는 필터링 프록시, 응용 프로그램 계층 방화벽 또는 게이트웨이가 포함됩니다.

보안 이벤트 경보 임계치 조정:

보안 이벤트 경고 임계값을 매월 또는 더 자주 조정합니다.

호스트 기반 침입 탐지 솔루션 배포:

적절한 경우 및/또는 지원되는 엔터프라이즈 자산에 호스트 기반 침입 탐지 솔루션을 배포합니다.

네트워크 침입 탐지 솔루션 배포:

적절한 경우 엔터프라이즈 자산에 네트워크 침입 탐지 솔루션을 배포합니다. 구현의 예로는 NIDS(네트워크 침입 탐지 시스템) 또는 이와 동등한 CSP(클라우드 서비스 공급자) 서비스 사용이 있습니다.

네트워크 세그먼트 간 트래픽 필터링을 수행합니다.

필요한 경우 네트워크 세그먼트 간에 트래픽 필터링을 수행합니다.

원격 자산에 대한 접근 제어를 관리합니다.

엔터프라이즈 자원에 원격으로 연결하는 자산에 대한 접근 제어를 관리합니다. 다음을 기준으로 엔터프라이즈 자원에 대한 접근 권한 결정: 설치된 최신 맬웨어 방지 소프트웨어; 기업의 보안 구성 프로세스를 통한 구성 준수; 운영 체제와 응용 프로그램이 최신 상태인지 확인합니다.

네트워크 트래픽 플로우 로그 수집:

네트워크 트래픽, 플로우 로그 및/또는 네트워크 트래픽을 수집하여 네트워크 장치에서 검토하고 경고합니다.

호스트 기반 침입 방지 솔루션 구축:

적절하거나 지원되는 경우 엔터프라이즈 자산에 호스트 기반 침입 방지 솔루션을 배포합니다. 구현의 예로는 EDR(Endpoint Detection and Response) 클라이언트 또는 호스트 기반 IPS 에이전트 사용이 있습니다.

네트워크 침입 방지 솔루션 배포:

해당하는 경우 네트워크 침입 방지 솔루션을 구축합니다. 구현의 예로는 NIPS(네트워크 침입 방지 시스템) 또는 이와 동등한 CSP 서비스의 사용이 있습니다.

Deploy Port-Level Access Control(포트 수준 액세스 제어 구축):

포트 수준 액세스 제어를 배포합니다. 포트 수준 액세스 제어는 802.1x 또는 인증서와 같은 유사한 네트워크 액세스 제어 프로토콜을 사용하며 사용자 및/또는 장치 인증을 통합할 수 있습니다.

보안 인식 프로그램을 수립하고 유지 관리합니다.

보안 인식 프로그램을 수립하고 유지 관리합니다. 보안 인식 프로그램의 목적은 기업 인력에게 안전한 방식으로 기업 자산 및 데이터와 상호 작용하는 방법을 교육하는 것입니다. 고용 시 교육을 실시하고 최소한 매년 교육을 실시합니다. 매년 컨텐츠를 검토하고 업데이트하거나 이 보호 조치에 영향을 줄 수 있는 중요한 기업 변경이 발생하는 경우 컨텐츠를 업데이트합니다.

소셜 엔지니어링 공격을 인식할 수 있도록 직원 교육:

피싱, 사전 문자 메시지, 테일게이팅과 같은 소셜 엔지니어링 공격을 인식할 수 있도록 인력을 교육합니다. 

인증 모범 사례에 대한 인력 교육:

인증 모범 사례에 대해 인력을 교육합니다. 주제의 예로는 MFA, 암호 구성 및 자격 증명 관리가 있습니다.

데이터 처리 모범 사례에 대한 직원 교육:

중요한 데이터를 식별하고 적절하게 저장, 전송, 보관 및 파기하는 방법에 대해 인력 구성원을 교육합니다. 여기에는 기업 자산에서 멀어질 때 화면을 잠그고, 회의가 끝날 때 물리적 화이트보드와 가상 화이트보드를 지우고, 데이터와 자산을 안전하게 저장하는 것과 같은 명확한 화면 및 데스크 모범 사례에 대한 직원 교육도 포함됩니다.

의도하지 않은 데이터 노출의 원인에 대해 인력 구성원을 교육합니다.

의도하지 않은 데이터 노출의 원인을 인식할 수 있도록 인력 구성원을 교육합니다. 주제의 예로는 중요한 데이터의 잘못된 전달, 휴대용 최종 사용자 장치 분실 또는 의도하지 않은 대상에게 데이터 게시 등이 있습니다.

보안 인시던트 인식 및 보고에 대한 직원 교육:

잠재적인 인시던트를 인지하고 보고할 수 있도록 인력을 교육합니다. 

엔터프라이즈 자산에 보안 업데이트가 누락되었는지 확인하고 보고하는 방법에 대해 직원 교육:

오래된 소프트웨어 패치 또는 자동화된 프로세스 및 도구의 오류를 확인하고 보고하는 방법을 이해할 수 있도록 인력을 교육합니다. 이 교육의 일부에는 IT 직원에게 자동화된 프로세스 및 도구의 실패를 알리는 것이 포함되어야 합니다.

안전하지 않은 네트워크를 통해 엔터프라이즈 데이터에 연결하고 전송할 때의 위험성에 대해 인력을 교육합니다.

기업 활동을 위해 안전하지 않은 네트워크에 연결하고 이를 통해 데이터를 전송할 때의 위험성에 대해 직원 구성원을 교육합니다. 엔터프라이즈에 원격 작업자가 있는 경우 모든 사용자가 홈 네트워크 인프라를 안전하게 구성할 수 있도록 하는 지침이 교육에 포함되어야 합니다.

역할별 보안 인식 및 기술 교육 수행:

역할별 보안 인식 및 기술 교육을 실시합니다. 구현 예로는 IT 전문가를 위한 보안 시스템 관리 과정(웹 애플리케이션 개발자를 위한 OWASP ™ 상위 10개 취약성 인식 및 예방 교육, 세간의 이목을 끄는 역할을 위한 고급 소셜 엔지니어링 인식 교육)이 있습니다.

서비스 제공자의 인벤토리를 설정하고 유지 관리합니다.

서비스 제공자의 인벤토리를 설정하고 유지관리합니다. 인벤토리는 알려진 모든 서비스 제공자를 나열하고, 분류를 포함하며, 각 서비스 제공자에 대한 엔터프라이즈 접촉 창구를 지정합니다. 매년 또는 이 보호 조치에 영향을 줄 수 있는 중요한 엔터프라이즈 변경이 발생하는 경우 인벤토리를 검토하고 업데이트합니다.

서비스 제공자 관리 정책을 수립하고 유지 관리합니다.

서비스 제공자 관리 정책을 수립하고 유지 관리합니다. 정책이 서비스 제공자의 분류, 인벤토리, 평가, 모니터링 및 해제를 다루는지 확인합니다. 매년 또는 이 보호 조치에 영향을 줄 수 있는 중요한 엔터프라이즈 변경이 발생하는 경우 정책을 검토하고 업데이트합니다.

서비스 제공자 분류:

서비스 제공자를 분류합니다. 분류 고려 사항에는 데이터 민감도, 데이터 볼륨, 가용성 요구 사항, 해당 규정, 고유 위험 및 완화된 위험과 같은 하나 이상의 특성이 포함될 수 있습니다. 매년 또는 이 보호 조치에 영향을 줄 수 있는 중요한 엔터프라이즈 변경이 발생하는 경우 분류를 업데이트하고 검토합니다.

서비스 제공자 계약에 보안 요구 사항이 포함되어 있는지 확인합니다.

서비스 제공업체 계약에 보안 요구 사항이 포함되어 있는지 확인합니다. 요구 사항의 예로는 최소 보안 프로그램 요구 사항, 보안 인시던트 및/또는 데이터 침해 알림 및 응답, 데이터 암호화 요구 사항, 데이터 폐기 약정 등이 포함될 수 있습니다. 이러한 보안 요구 사항은 기업의 서비스 공급자 관리 정책과 일치해야 합니다. 서비스 제공자 계약을 매년 검토하여 계약에 보안 요구 사항이 누락되지 않았는지 확인합니다.

서비스 제공자 평가:

기업의 서비스 제공자 관리 정책에 부합하는 서비스 제공자를 평가합니다. 평가 범위는 분류에 따라 달라질 수 있으며, SOC 2(Service Organization Control 2) 및 PCI(PCI) 규정 준수 증명(AoC), 맞춤형 설문지 또는 기타 적절하게 엄격한 프로세스와 같은 표준화된 평가 보고서의 검토가 포함될 수 있습니다. 서비스 제공업체를 매년, 최소한 연간으로 재평가하거나 신규 및 갱신된 계약으로 재평가합니다.

서비스 제공자 평가:

기업의 서비스 제공자 관리 정책에 부합하는 서비스 제공자를 평가합니다. 평가 범위는 분류에 따라 달라질 수 있으며, SOC 2(Service Organization Control 2) 및 PCI(PCI) 규정 준수 증명(AoC), 맞춤형 설문지 또는 기타 적절하게 엄격한 프로세스와 같은 표준화된 평가 보고서의 검토가 포함될 수 있습니다. 서비스 제공업체를 매년, 최소한 연간으로 재평가하거나 신규 및 갱신된 계약으로 재평가합니다.

서비스 제공자 모니터링:

기업의 서비스 제공자 관리 정책에 따라 서비스 제공자를 모니터링합니다. 모니터링에는 서비스 제공업체 규정 준수에 대한 주기적인 재평가, 서비스 제공업체 릴리스 정보 모니터링, 다크 웹 모니터링이 포함될 수 있습니다.

서비스 프로바이더의 안전한 서비스 제공:

서비스 제공업체를 안전하게 폐기합니다. 고려 사항의 예로는 사용자 및 서비스 계정 비활성화, 데이터 흐름 종료, 서비스 공급자 시스템 내에서 엔터프라이즈 데이터의 안전한 폐기 등이 있습니다.

안전한 애플리케이션 개발 프로세스를 수립하고 유지 관리합니다.

안전한 애플리케이션 개발 프로세스를 수립하고 유지 관리합니다. 이 과정에서 보안 애플리케이션 설계 표준, 보안 코딩 사례, 개발자 교육, 취약성 관리, 타사 코드 보안 및 애플리케이션 보안 테스트 절차와 같은 항목을 다룹니다. 매년 설명서를 검토하고 업데이트하거나 이 보호 조치에 영향을 줄 수 있는 중요한 엔터프라이즈 변경이 발생하는 경우 설명서를 검토하고 업데이트합니다.

응용 프로그램 아키텍처에 보안 설계 원칙 적용:

응용 프로그램 아키텍처에 보안 설계 원칙을 적용합니다. 보안 디자인 원칙에는 최소 권한의 개념과 사용자가 수행하는 모든 작업의 유효성을 검사하는 중재 적용이 포함되어 "사용자 입력을 신뢰하지 않음"의 개념을 촉진합니다. 예를 들어 크기, 데이터 형식, 허용 가능한 범위 또는 형식을 포함한 모든 입력에 대해 명시적 오류 검사가 수행되고 문서화되는지 확인하는 것이 포함됩니다. 또한 보안 설계는 보호되지 않는 포트 및 서비스 끄기, 불필요한 프로그램 및 파일 제거, 기본 계정 이름 바꾸기 또는 제거와 같은 응용 프로그램 인프라 공격 표면을 최소화하는 것을 의미합니다.

애플리케이션 보안 구성요소에 대해 검증된 모듈 또는 서비스 활용:

ID 관리, 암호화, 감사 및 로깅과 같은 애플리케이션 보안 구성요소에 대해 검증된 모듈 또는 서비스를 활용합니다. 중요한 보안 기능에서 플랫폼 기능을 사용하면 개발자의 작업량을 줄이고 설계 또는 구현 오류의 가능성을 최소화할 수 있습니다. 최신 운영 체제는 식별, 인증 및 권한 부여를 위한 효과적인 메커니즘을 제공하고 이러한 메커니즘을 애플리케이션에서 사용할 수 있도록 합니다. 표준화되고, 현재 인정되며, 광범위하게 검토된 암호화 알고리즘만 사용합니다. 운영 체제는 보안 감사 로그를 만들고 유지 관리하는 메커니즘도 제공합니다.

코드 레벨 보안 검사 구현:

응용 프로그램 수명 주기 내에 정적 및 동적 분석 도구를 적용하여 보안 코딩 방법이 준수되고 있는지 확인합니다.

애플리케이션 침투 테스트 수행:

애플리케이션 침투 테스트를 수행합니다. 중요한 애플리케이션의 경우 인증된 침투 테스트는 코드 스캔 및 자동화된 보안 테스트보다 비즈니스 로직 취약성을 찾는 데 더 적합합니다.침투 테스트는 테스터의 기술을 사용하여 애플리케이션을 인증된 사용자와 인증되지 않은 사용자로 수동으로 조작합니다. 

위협 모델링 수행:

위협 모델링을 수행합니다. 위협 모델링은 코드를 만들기 전에 설계 내에서 애플리케이션 보안 설계 결함을 식별하고 해결하는 프로세스입니다. 응용 프로그램 디자인을 평가하고 각 진입점 및 액세스 수준에 대한 보안 위험을 측정하는 특별히 훈련된 개인을 통해 수행됩니다. 애플리케이션, 아키텍처 및 인프라를 구조화된 방식으로 매핑하여 약점을 파악하는 것이 목표입니다.

소프트웨어 취약성을 수용하고 해결하기 위한 프로세스를 수립하고 유지 관리합니다.

외부 엔터티가 보고할 수 있는 수단을 제공하는 것을 포함하여 소프트웨어 취약성에 대한 보고를 수락하고 해결하는 프로세스를 수립하고 유지합니다. 이 프로세스에는 보고 프로세스를 식별하는 취약성 처리 정책, 취약성 보고서를 처리할 책임 당사자, 접수, 할당, 정정 및 정정 테스트를 위한 프로세스와 같은 항목이 포함됩니다. 프로세스의 일부로 심각도 등급과 취약성 식별, 분석 및 정정 타이밍을 측정하기 위한 메트릭을 포함하는 취약성 추적 시스템을 사용합니다. 매년 설명서를 검토하고 업데이트하거나 이 보호 조치에 영향을 줄 수 있는 중요한 엔터프라이즈 변경이 발생하는 경우 설명서를 검토하고 업데이트합니다.

보안 취약성에 대한 근본 원인 분석을 수행합니다.

보안 취약성에 대한 근본 원인 분석을 수행합니다. 취약점을 검토할 때 근본 원인 분석은 코드에서 취약점을 생성하는 근본적인 문제를 평가하는 작업이며, 이를 통해 개발 팀은 개별 취약점이 발생할 때 수정하는 것 이상으로 이동할 수 있습니다.

타사 소프트웨어 구성요소의 인벤토리를 설정하고 관리합니다.

개발에 사용되는 타사 구성요소(흔히 "BOM"이라고도 함)와 향후 사용이 예정된 구성요소의 업데이트된 인벤토리를 설정하고 관리합니다.이 인벤토리에는 각 타사 구성 요소가 제기할 수 있는 모든 위험이 포함됩니다.적어도 한 달에 한 번 목록을 평가하여 이러한 구성요소에 대한 변경 내용이나 업데이트를 식별하고 구성요소가 여전히 지원되는지 확인합니다. 

신뢰할 수 있는 최신 타사 소프트웨어 구성요소 사용:

신뢰할 수 있는 최신 타사 소프트웨어 구성요소를 사용합니다. 가능하면 적절한 보안을 제공하는 확립되고 입증된 프레임워크와 라이브러리를 선택합니다.신뢰할 수 있는 출처에서 이러한 구성 요소를 얻거나 사용하기 전에 소프트웨어의 취약성을 평가하십시오.

애플리케이션 취약성에 대한 심각도 등급 시스템 및 프로세스를 수립하고 유지합니다.

애플리케이션 취약성에 대한 심각도 등급 시스템 및 프로세스를 수립하고 유지관리합니다. 이렇게 하면 발견된 취약성이 수정되는 순서에 우선순위를 지정할 수 있습니다. 이 프로세스에는 코드 또는 응용 프로그램 릴리스에 대한 최소 보안 허용 수준 설정이 포함됩니다. 심각도 등급은 위험 관리를 개선하고 가장 심각한 버그를 먼저 수정하는 데 도움이 되는 취약성을 체계적으로 분류하는 방법을 제공합니다. 시스템 및 프로세스를 매년 검토하고 업데이트합니다.

애플리케이션 인프라에 대한 표준 강화 구성 템플릿 사용:

애플리케이션 인프라 구성요소에 대해 업계에서 권장하는 표준 강화 구성 템플릿을 사용합니다. 여기에는 기본 서버, 데이터베이스 및 웹 서버가 포함되며 클라우드 컨테이너, PaaS(Platform as a Service) 구성 요소 및 SaaS 구성 요소에 적용됩니다. 자체 개발한 소프트웨어가 구성 강화를 약화시키지 않도록 합니다.

별도의 생산 및 비생산 시스템:

프로덕션 및 비프로덕션 시스템에 대해 별도의 환경을 유지합니다.

애플리케이션 보안 개념 및 보안 코딩에 대한 개발자 교육:

모든 소프트웨어 개발 담당자가 특정 개발 환경 및 책임에 대한 보안 코드 작성에 대한 교육을 받도록 합니다. 교육에는 일반 보안 원칙 및 애플리케이션 보안 표준 관행이 포함될 수 있습니다. 최소 연 1회 이상 교육을 실시하고, 개발팀 내 보안을 강화하는 방식으로 설계하며, 개발자들 사이에 보안 문화를 구축한다.

인시던트 처리를 관리할 인력 지정:

엔터프라이즈의 인시던트 처리 프로세스를 관리할 핵심 인력과 최소 한 명의 백업을 지정합니다. 관리 담당자는 인시던트 대응 및 복구 노력의 조정 및 문서화를 담당하며 기업 내부 직원, 타사 벤더 또는 하이브리드 접근 방식으로 구성될 수 있습니다. 외부 공급업체 벤더를 사용하는 경우 외부 공급업체 작업을 감독할 엔터프라이즈 내부 인력을 하나 이상 지정합니다. 매년 또는 이 보호 조치에 영향을 줄 수 있는 중요한 기업 변경이 발생할 때 검토합니다.

보안 인시던트 보고를 위한 연락처 정보를 만들고 유지합니다.

보안 인시던트를 알려야 하는 당사자의 연락처 정보를 설정하고 유지 관리합니다. 연락처에는 내부 직원, 제3자 공급업체, 법 집행 기관, 사이버 보험 제공업체, 관련 정부 기관, ISAC(정보 공유 및 분석 센터) 파트너 또는 기타 이해 관계자가 포함될 수 있습니다. 매년 연락처를 확인하여 정보가 최신 상태인지 확인합니다.

인시던트를 보고하기 위한 엔터프라이즈 프로세스를 설정하고 유지 관리합니다.

인력이 보안 인시던트를 보고할 수 있는 엔터프라이즈 프로세스를 수립하고 유지관리합니다. 이 프로세스에는 보고 기간, 보고 대상 직원, 보고 메커니즘 및 보고할 최소 정보가 포함됩니다. 프로세스를 모든 인력이 공개적으로 사용할 수 있도록 합니다. 매년 또는 이 보호 조치에 영향을 줄 수 있는 중요한 기업 변경이 발생할 때 검토합니다.

인시던트 응답 프로세스를 수립하고 유지 관리합니다.

역할과 책임, 규정 준수 요구 사항 및 통신 계획을 다루는 인시던트 응답 프로세스를 수립하고 유지 관리합니다. 매년 또는 이 보호 조치에 영향을 줄 수 있는 중요한 기업 변경이 발생할 때 검토합니다.

핵심 역할 및 책임을 할당합니다.

해당하는 경우 법무, IT, 정보 보안, 시설, 홍보, 인사, 인시던트 대응자, 분석가 등 인시던트 대응을 위한 주요 역할과 책임을 할당합니다. 매년 또는 이 보호 조치에 영향을 줄 수 있는 중요한 기업 변경이 발생할 때 검토합니다.

인시던트 응답 중 통신하기 위한 메커니즘을 정의합니다.

보안 인시던트 중에 통신 및 보고에 사용할 기본 및 보조 메커니즘을 결정합니다. 메커니즘에는 전화 통화, 이메일 또는 편지가 포함될 수 있습니다. 이메일과 같은 특정 메커니즘은 보안 인시던트 중에 영향을 받을 수 있습니다. 매년 또는 이 보호 조치에 영향을 줄 수 있는 중요한 기업 변경이 발생할 때 검토합니다.

일상적인 인시던트 응답 연습을 수행합니다.

인시던트 응답 프로세스에 관여하는 핵심 인력을 대상으로 일상적인 인시던트 응답 연습 및 시나리오를 계획하고 실행하여 실제 인시던트 대응을 준비합니다. 연습에서는 커뮤니케이션 채널, 의사 결정 및 워크플로를 테스트해야 합니다. 최소한 연 1회 이상 테스트를 수행합니다.

인시던트 사후 검토 수행:

인시던트 사후 검토를 수행합니다. 인시던트 사후 검토는 학습한 교훈 및 후속 조치를 파악하여 인시던트 반복을 방지하는 데 도움이 됩니다.

보안 인시던트 임계치 설정 및 유지 관리:

최소한 인시던트와 이벤트를 구분하는 것을 포함하여 보안 인시던트 임계치를 설정하고 유지합니다. 비정상적인 활동, 보안 취약성, 보안 취약성, 데이터 침해, 개인 정보 침해 등을 예로 들 수 있습니다. 매년 또는 이 보호 조치에 영향을 줄 수 있는 중요한 기업 변경이 발생할 때 검토합니다.

침투 테스트 프로그램 수립 및 유지 관리:

기업의 규모, 복잡성 및 성숙도에 적합한 침투 테스트 프로그램을 수립하고 유지 관리합니다. 침투 테스트 프로그램 특성에는 네트워크, 웹 애플리케이션, API(Application Programming Interface), 호스팅 서비스 및 물리적 전제 제어와 같은 범위가 포함됩니다. 주파수; 허용 가능한 시간 및 제외된 공격 유형과 같은 제한 사항; 연락처 정보; 발견 사항을 내부적으로 라우팅하는 방법과 같은 수정; 및 소급 요구 사항.

주기적인 외부 침투 테스트 수행:

프로그램 요구 사항에 따라 매년 이상 주기적인 외부 침투 테스트를 수행합니다. 외부 침투 테스트에는 악용 가능한 정보를 탐지하기 위한 기업 및 환경 정찰이 포함되어야 합니다. 침투 테스트에는 전문 기술과 경험이 필요하며 자격을 갖춘 당사자를 통해 수행되어야 합니다. 테스트는 투명 상자 또는 불투명 상자일 수 있습니다.

침투 테스트 결과 정정:

정정 범위 및 우선순위에 대한 엔터프라이즈의 정책에 따라 침투 테스트 결과를 정정합니다.

보안 조치를 확인합니다.

각 침투 테스트 후 보안 조치를 확인합니다. 필요하다고 판단되면 규칙 집합과 기능을 수정하여 테스트 중에 사용되는 기술을 검색합니다.

활성 검색 도구를 활용하여 조직의 네트워크에 연결된 장치를 식별하고 하드웨어 자산 인벤토리를 업데이트합니다.

수동 검색 도구를 활용하여 조직의 네트워크에 연결된 장치를 식별하고 조직의 하드웨어 자산 인벤토리를 자동으로 업데이트합니다.

정보를 저장하거나 처리할 수 있는 모든 기술 자산에 대해 정확한 최신 인벤토리를 유지합니다. 이 인벤토리에는 조직의 네트워크에 연결되어 있는지 여부에 관계없이 모든 하드웨어 자산이 포함되어야 합니다.

하드웨어 자산 인벤토리가 각 자산에 대한 네트워크 주소, 하드웨어 주소, 컴퓨터 이름, 데이터 자산 소유자 및 부서와 하드웨어 자산이 네트워크에 연결하도록 승인되었는지 여부를 기록하는지 확인합니다.

802.1x 표준에 따라 포트 수준 액세스 제어를 활용하여 네트워크에 인증할 수 있는 장치를 제어합니다. 인증 시스템은 하드웨어 자산 인벤토리 데이터에 연결되어 승인된 장치만 네트워크에 연결할 수 있도록 해야 합니다.

클라이언트 인증서를 사용하여 조직의 신뢰할 수 있는 네트워크에 연결하는 하드웨어 자산을 인증합니다.

모든 비즈니스 시스템에서 비즈니스 목적을 위해 엔터프라이즈에 필요한 인증된 모든 소프트웨어의 최신 목록을 유지관리합니다.

소프트웨어 벤더가 현재 지원하는 소프트웨어 애플리케이션 또는 운영 체제만 조직의 인증된 소프트웨어 인벤토리에 추가되었는지 확인합니다. 지원되지 않는 소프트웨어는 인벤토리 시스템에서 지원되지 않는 것으로 태그를 지정해야 합니다.

조직 전체에서 소프트웨어 인벤토리 도구를 활용하여 비즈니스 시스템의 모든 소프트웨어 문서화를 자동화합니다.

소프트웨어 인벤토리 시스템은 조직에서 승인한 운영 체제를 포함하여 모든 소프트웨어의 이름, 버전, 게시자 및 설치 날짜를 추적해야 합니다.

모든 장치 및 관련 소프트웨어가 단일 위치에서 추적되도록 소프트웨어 인벤토리 시스템을 하드웨어 자산 인벤토리에 연결해야 합니다.

최신 SCAP 준수 취약성 검사 도구를 활용하여 네트워크의 모든 시스템을 매주 또는 더 자주 자동으로 검사하여 조직 시스템의 모든 잠재적 취약성을 식별합니다.

각 시스템에서 로컬로 실행되는 에이전트 또는 테스트 중인 시스템에서 높은 권한으로 구성된 원격 스캐너를 사용하여 인증된 취약성 검사를 수행합니다.

연속 취약성 검사 결과를 정기적으로 비교하여 취약성이 적시에 수정되었는지 확인합니다.

새 자산을 배포하기 전에 관리 수준 계정과 일치하는 값을 갖도록 모든 기본 암호를 변경합니다.

다단계 인증이 지원되지 않는 경우(예: 로컬 관리자, 루트 또는 서비스 계정) 계정은 해당 시스템에 고유한 암호를 사용합니다.

관리자가 할당된 그룹에 계정이 추가되거나 제거될 때 로그 항목을 실행하고 경고하도록 시스템을 구성합니다.

로그 항목을 발행하고 관리 계정에 대한 로그인 실패 시 경보를 발령하도록 시스템을 구성합니다.

모든 시스템 및 네트워크 장치에서 로컬 로깅이 활성화되었는지 확인합니다.

이벤트 소스, 날짜, 사용자, 타임스탬프, 소스 주소, 대상 주소 및 기타 유용한 요소와 같은 자세한 정보를 포함하도록 시스템 로깅을 활성화합니다.

조직에서 완전히 지원되는 웹 브라우저와 이메일 클라이언트만 실행할 수 있도록 허용하고, 공급업체에서 제공하는 최신 버전의 브라우저와 이메일 클라이언트만 사용하는 것이 좋습니다.

모든 엔터프라이즈급 AV 소프트웨어에는 이 기능이 있습니다. 중앙에서 관리되는 AV를 사용하면 개별 요구 사항을 쉽게 활성화할 수 있습니다.

AV는 서명만큼만 좋습니다. 순수한 시그니처 기반 탐지는 더 이상 실행 가능하지 않지만 이상 징후 기반 엔진도 정기적으로 업데이트해야 합니다. 업데이트가 자동으로 롤아웃되는지 확인하고 도구를 사용하여 서명이 실제로 최신 상태인지 확인합니다.

DISA 강화 가이드는 이러한 설정 활성화 등에 대한 단계별 지침을 제공합니다.

대부분의 AV는 기본적으로 이 기능이 켜져 있지만 실제로 여전히 활성화되어 있는지 확인하는 것이 여전히 중요합니다. USB 스틱을 통해 들어오는 맬웨어는 거의 모든 조직에서 실행 가능한 공격 벡터입니다.

스캔하지 않으려는 것과 같은 이유로, 마운트될 때 실행되는 것도 원하지 않습니다. 이것은 매우 빠르게 활성화할 수 있는 설정이며 CIS 및 DISA 강화 가이드 모두 자동 실행 비활성화에 대한 단계별 지침을 제공합니다. 일부 SCM 도구는 사용자 환경의 모든 엔드포인트를 신속하게 확인하여 이 설정이 비활성화되어 있는지 확인할 수 있습니다.

모든 시스템에 대해 정기적으로 자동 포트 스캔을 수행하고 시스템에서 승인되지 않은 포트가 감지되면 경고합니다.

모든 네트워크 장치 구성을 사용 중인 각 네트워크 장치에 정의된 승인된 보안 구성과 비교하고 편차가 발견되면 경보합니다.

모든 네트워크 장치에 보안 관련 업데이트의 안정적인 최신 버전을 설치합니다.

네트워크 기반 침입 탐지 시스템(IDS) 센서를 배포하여 비정상적인 공격 메커니즘을 찾고 조직의 각 네트워크 경계에서 이러한 시스템의 손상을 탐지합니다.

조직에서 정기적으로 액세스하지 않는 중요한 데이터 또는 시스템을 네트워크에서 제거합니다. 이러한 시스템은 가끔 시스템을 사용해야 하는 사업부에서 독립형 시스템(네트워크에서 분리됨)으로만 사용하거나 필요할 때까지 완전히 가상화하고 전원을 꺼야 합니다.

직원들이 USB 드라이브에 있는 데이터의 위험을 인식할 수 있도록 교육을 제공합니다. 그런 다음 조직의 중요한 데이터를 보호할 수 있는 도구를 제공합니다.

전송 중인 모든 민감한 정보를 암호화합니다.

유선 네트워크에 연결된 인증된 무선 액세스 지점의 인벤토리를 유지 관리합니다.

현장 또는 원격 서비스 공급자에 있는 인증 시스템을 포함하여 조직의 각 인증 시스템에 대한 인벤토리를 유지 관리합니다.

저장할 때 모든 인증 자격 증명을 솔트로 암호화하거나 해시합니다.

모든 계정 사용자 이름과 인증 자격 증명이 암호화된 채널을 사용하여 네트워크를 통해 전송되는지 확인합니다.

표준 비활성 기간 후에 워크스테이션 세션을 자동으로 잠급니다.

사용자가 시간, 워크스테이션 위치, 기간과 같은 정상적인 로그인 동작에서 벗어날 때 경보를 표시합니다.

표준화되고 광범위하게 검토된 암호화 알고리즘만 사용합니다.

외부 엔터티가 보안 그룹에 연락할 수 있는 수단을 제공하는 것을 포함하여 소프트웨어 취약성에 대한 보고를 수락하고 처리하는 프로세스를 설정합니다.

컴퓨터 및 네트워크 인시던트를 처리하는 직책과 업무를 특정 개인에게 할당하고 해결책을 통해 인시던트 전반에 걸쳐 추적 및 문서화를 보장합니다.

주요 의사 결정 역할을 수행하여 인시던트 처리 프로세스를 지원할 백업 및 관리 담당자를 지정합니다.

인시던트 처리 팀에 컴퓨터 이상 및 인시던트 보고와 관련하여 모든 인력 구성원에 대한 정보를 게시합니다. 이러한 정보는 일상적인 직원 인식 활동에 포함되어야 합니다.

관리자가 승인하고 정보 보안 목표를 관리하기 위한 조직의 접근 방식을 설정하는 "정보 보안 정책"을 정의합니다. 정보 보안 정책은 다음을 포함하는 정보 보안 제어의 구현을 추가로 의무화하는 주제별 정책에 의해 지원됩니다. 정보 분류(및 처리); 물리적 및 환경적 보안; 백업; 정보 전송; 맬웨어로부터 보호; 기술적 취약성 관리; 암호화 제어; 통신 보안; 개인 정보 보호 및 개인 식별 정보 보호; 공급업체 관계 및 다음과 같은 최종 사용자 지향 주제: 1) 자산의 수용 가능한 사용; 2) 명확한 책상 및 명확한 스크린; 3) 정보 전송 4) 모바일 기기 및 재택 근무; 5) 소프트웨어 설치 및 사용에 대한 제한.

개별 자산의 보호 책임이 자산 인벤토리에서 식별되도록 합니다. 정보 보안의 개발 및 구현에 대한 역할과 책임이 명확하게 정의되었는지 확인합니다.

승인된 전체 디스크 암호화 소프트웨어를 사용하여 모든 모바일 장치의 하드 드라이브를 암호화합니다.

직원 및 계약자에 대해 원격 액세스 정책을 적용합니다.

회사 자산에 대한 접근 권한을 부여하기 전에 모든 직원과 계약자에 대해 배경 검증 확인을 수행해야 합니다.

모든 신입 사원 직원 또는 계약자가 정보 보안에 대한 책임을 포함하여 고용 조건에 서명하고 동의했는지 확인합니다.

하드웨어 자산 인벤토리가 각 자산에 대한 네트워크 주소, 하드웨어 주소, 컴퓨터 이름, 데이터 자산 소유자 및 부서와 하드웨어 자산이 네트워크에 연결하도록 승인되었는지 여부를 기록하는지 확인합니다.

하드웨어 자산 인벤토리가 각 자산에 대한 네트워크 주소, 하드웨어 주소, 컴퓨터 이름, 데이터 자산 소유자 및 부서와 하드웨어 자산이 네트워크에 연결하도록 승인되었는지 여부를 기록하는지 확인합니다.

직원과 계약자가 정보 및 정보 처리 시설 및 자원과 관련된 조직 자산의 정보 보안 요구 사항을 인식하도록 합니다. 그들은 모든 정보 처리 자원의 사용 및 자신의 책임하에 수행되는 그러한 사용에 대해 책임을 져야 합니다.

클라이언트 인증서를 사용하여 조직의 신뢰할 수 있는 네트워크에 연결하는 하드웨어 자산을 인증합니다.

전송 중인 데이터를 암호화하고 다단계 인증을 사용하기 위해 조직 네트워크에 대한 모든 원격 로그인 액세스를 요구합니다.

다단계 인증이 지원되지 않는 경우(예: 로컬 관리자, 루트 또는 서비스 계정) 계정은 해당 시스템에 고유한 암호를 사용합니다.

암호화와 관련된 정책이 존재하고 데이터 분류 요구 사항에 따라 적용, 구현 및 시행되는지 확인합니다.

암호화 키 관리가 키의 전체 수명 주기 동안 공식 정책 및 절차에 따라 관리되는지 확인합니다.

명확한 데스크 정책이 직원과 계약자에 의해 조정되도록 합니다.

조직에서 완전히 지원되는 웹 브라우저와 이메일 클라이언트만 실행할 수 있도록 허용하고, 공급업체에서 제공하는 최신 버전의 브라우저와 이메일 클라이언트만 사용하는 것이 좋습니다.

조직에서 완전히 지원되는 웹 브라우저와 이메일 클라이언트만 실행할 수 있도록 허용하고, 공급업체에서 제공하는 최신 버전의 브라우저와 이메일 클라이언트만 사용하는 것이 좋습니다.

모든 시스템 및 네트워크 장치에서 로컬 로깅이 활성화되었는지 확인합니다.

무단 액세스로부터 로그를 안전하게 보호해야 합니다.

중요한 데이터에 대한 액세스 또는 중요한 데이터에 대한 변경 사항에 대해 자세한 감사 로깅을 적용합니다(파일 무결성 모니터링 또는 보안 정보 및 이벤트 모니터링과 같은 도구 활용).

모든 유형의 통신 시설 사용을 통한 정보 전송을 보호하기 위해 공식적인 전송 정책, 절차 및 통제가 마련되어 있는지 확인합니다.

새로운 정보시스템 또는 기존 정보시스템의 개선에 대한 요구사항에 정보 보안 관련 요구사항이 포함되어 있는지 확인합니다.

비즈니스에 중요한 애플리케이션을 검토하고 테스트하여 운영 플랫폼이 변경될 때 조직 운영 또는 보안에 부정적인 영향을 미치지 않도록 합니다.

소프트웨어 패키지에 대한 수정을 권장하지 않거나 필요한 변경으로 제한하고 모든 변경을 엄격하게 제어합니다.

보안 코드 검토 및 취약성 스캔과 같은 보안 테스트가 개발 수명주기 동안 수행되도록 합니다. 식별된 취약성이 문서화되고 정정이 수행되는지 확인합니다.

시스템 수용 테스트에 정보 보안 요구 사항 및 보안 시스템 개발 관행 준수 테스트가 포함되어 있는지 확인합니다.

시스템 수용 테스트에 정보 보안 요구 사항 및 보안 시스템 개발 관행 준수 테스트가 포함되어 있는지 확인합니다.

비즈니스를 수행하거나 벤더에게 자산에 대한 접근 권한을 부여하기 전에 공급자와 함께 정보 보안 통제를 다루고 해결하도록 합니다.

비즈니스를 수행하고 공급업체와 벤더에게 자산과 보안 통제 및 요구 사항에 대한 액세스 권한을 부여하기 전에 위험 평가를 수행하고 공급업체/벤더 계약에 합의하고 문서화해야 합니다.

공급자가 정기적으로 모니터링 및 검토하여 계약의 정보 보안 약관을 준수하고 정보 보안 인시던트 및 문제가 적절하게 관리되는지 확인합니다.

서비스 제공에 변경 사항이 있는 경우 제3자 위험 평가를 수행해야 합니다. 기존 정보 보안 정책, 절차 및 통제의 유지 및 개선을 포함하여 공급업체의 서비스 제공에 대한 변경 사항을 관리합니다.

공식적인 인시던트 관리 프로그램이 마련되어 있는지 확인하고 모든 직원과 외부 공급업체가 보안 인시던트를 인식하고 보고하는 방법에 대한 교육을 받도록 합니다.

보고 및 에스컬레이션을 위해 합의된 보안 이벤트 및 인시던트 분류 규모를 포함하는 공식적인 정보 보안 이벤트 관리가 있는지 확인합니다. 위협 및 위험 분류 체계가 문서화되었는지 확인합니다. 인시던트 응답 알림이 유지관리되는지 확인합니다. 인시던트를 분류하는 데 사용할 영향 임계치가 문서화되었는지 확인합니다.

문서화된 절차에 따라 정보 보안 인시던트에 대응하고 관리해야 합니다.

인시던트 관리 프로그램에 인시던트 모니터링 절차가 포함되어 인시던트를 문서화하고 보안 이벤트를 주기적으로 분석하여 향후 인시던트를 줄이도록 합니다.

정보 보안 및 정보 보안 관리의 연속성이 비즈니스 연속성 계획 또는 재해 복구 계획 내에 계획되고 포함되도록 합니다.

비즈니스 연속성 또는 재해 복구 계획이 공식적으로 문서화되었는지 확인합니다.

비즈니스 연속성 또는 재해 복구 계획이 불리한 상황에서 적절한 보안 제어가 유효하고 효과적인지 확인하기 위한 연례 연습인지 확인합니다.

장애 조치(failover) 및 복구 구성 요소가 의도한 대로 작동하는지 확인합니다.

입법자, 규제, 계약 및 비즈니스 요구 사항에 따라 기록과 데이터가 손실, 파기, 위조, 무단 액세스 및 무단 공개로부터 보호되도록 합니다.

개인 정보 보호 및 개인 식별 정보의 보호가 해당되는 경우 법률 및 규정에 따라 보호되고 처리되도록 합니다.

규정 준수 및 규정 요구 사항에 대한 범위 내 시스템 구성 테스트가 정기적으로 수행되도록 합니다. 시스템의 기본 구성 표준이 문서화되고 업계 모범 사례를 기반으로 하는지 확인합니다.

조직이 소유하거나 위탁한 이전에 발급된 모든 물리적 자산과 전자적 자산의 반환을 포함하도록 종료 프로세스가 공식화되었는지 확인합니다.

• HR 프로파일[sn_hr_core_profile]
• 자산 [alm_asset]

소프트웨어 자산이 관리되고 정기적으로 업데이트되는지 확인합니다.

• Software Asset Management 코어
• 소프트웨어 자산 관리 전문가 코어

• 소프트웨어 설치 [cmdb_sam_sw_install]
• 소프트웨어 모델 [cmdb_software_product_model]

위험 등급 지정 프로세스를 활용하여 검색된 취약성 정정의 우선순위를 지정합니다.

승인되지 않은 브라우저나 이메일 클라이언트 플러그인 또는 추가 기능 애플리케이션을 제거하거나 비활성화합니다.

• Software Asset Management 코어
• 소프트웨어 자산 관리 전문가 코어

• 소프트웨어 설치 [cmdb_sam_sw_install]
• 소프트웨어 모델 [cmdb_software_product_model]

사용 중인 프로그래밍 언어 및 개발 환경에 적합한 보안 코딩 방법을 설정합니다.

직원의 역할과 인시던트 처리/관리 단계를 정의하는 서면 인시던트 대응 계획이 있는지 확인합니다.