상세한 엔터프라이즈 자산 인벤토리 설정 및 유지관리:

최종 사용자 장치(휴대용 및 모바일 포함), 네트워크 장치, 비 컴퓨팅/IoT 장치 및 서버를 포함하여 데이터를 저장하거나 처리할 가능성이 있는 모든 엔터프라이즈 자산에 대한 정확하고 상세하며 최신 인벤토리를 설정하고 유지 관리합니다. 인벤토리에 네트워크 주소(정적인 경우), 하드웨어 주소, 컴퓨터 이름, 데이터 자산 소유자, 각 자산의 부서 및 자산이 네트워크에 연결하도록 승인되었는지 여부가 기록되는지 확인합니다. 모바일 최종 사용자 장치의 경우 MDM 유형 도구는 적절한 경우 이 프로세스를 지원할 수 있습니다. 이 인벤토리에는 인프라에 물리적, 가상, 원격으로 연결된 자산과 클라우드 환경 내에 있는 자산이 포함됩니다. 또한 기업의 통제를 받지 않더라도 기업의 네트워크 인프라에 정기적으로 연결되는 자산이 포함됩니다. 모든 엔터프라이즈 자산의 인벤토리를 격년으로 또는 더 자주 검토하고 업데이트합니다.

무단 자산 해결:

매주 승인되지 않은 자산을 처리하는 프로세스가 있는지 확인합니다. 기업은 네트워크에서 자산을 제거하거나, 자산이 네트워크에 원격으로 연결되지 않도록 거부하거나, 자산을 격리하도록 선택할 수 있습니다.

활성 검색 도구 활용:

활성 검색 도구를 활용하여 엔터프라이즈 네트워크에 연결된 자산을 식별합니다. 활성 검색 도구를 매일 또는 더 자주 실행하도록 구성합니다.

DHCP(동적 호스트 구성 프로토콜) 로깅을 사용하여 엔터프라이즈 자산 인벤토리를 업데이트합니다.

모든 DHCP 서버 또는 IP(인터넷 프로토콜) 주소 관리 도구에서 DHCP 로깅을 사용하여 엔터프라이즈의 자산 인벤토리를 업데이트합니다. 로그를 검토하고 사용하여 기업의 자산 인벤토리를 매주 또는 더 자주 업데이트합니다.

수동 자산 검색 도구 사용:

수동 검색 도구를 사용하여 엔터프라이즈 네트워크에 연결된 자산을 식별합니다. 스캔을 검토하고 사용하여 기업의 자산 인벤토리를 매주 이상 또는 더 자주 업데이트합니다.

소프트웨어 인벤토리 설정 및 유지관리:

엔터프라이즈 자산에 설치된 모든 라이센스가 부여된 소프트웨어의 상세한 인벤토리를 설정하고 유지관리합니다. 소프트웨어 인벤토리는 각 항목의 제목, 게시자, 초기 설치/사용 날짜 및 비즈니스 목적을 문서화해야 합니다. 해당하는 경우 URL(Uniform Resource Locator), 앱 스토어, 버전, 배포 메커니즘 및 폐기 날짜를 포함합니다. 소프트웨어 인벤토리를 격년으로 또는 보다 자주 검토하고 업데이트합니다.

인증된 소프트웨어가 현재 지원되는지 확인

현재 지원되는 소프트웨어만 엔터프라이즈 자산의 소프트웨어 인벤토리에서 인증된 것으로 지정되어 있는지 확인합니다. 소프트웨어가 지원되지 않지만 기업의 사명을 완수하는 데 필요한 경우 통제 완화 및 잔여 위험 수용을 자세히 설명하는 예외 사항을 문서화합니다. 예외 문서가 없는 지원되지 않는 소프트웨어의 경우 권한 없음으로 지정합니다. 소프트웨어 목록을 검토하여 소프트웨어 지원을 매월 한 번 이상 또는 더 자주 확인합니다.

인증되지 않은 소프트웨어 해결:

권한이 없는 소프트웨어가 엔터프라이즈 자산에서 사용되지 않도록 제거하거나 문서화된 예외를 받도록 합니다. 매월 또는 더 자주 검토합니다.

자동화된 소프트웨어 인벤토리 도구 활용:

가능한 경우 기업 전체에서 소프트웨어 인벤토리 도구를 활용하여 설치된 소프트웨어의 검색 및 문서화를 자동화합니다.

허용 목록 인증 소프트웨어:

애플리케이션 허용 목록과 같은 기술 제어를 사용하여 인증된 소프트웨어만 실행하거나 액세스할 수 있도록 합니다. 격년으로 또는 더 자주 재평가합니다.

허용 목록 공인 라이브러리:

기술 제어를 사용하여 특정 .dll, .ocx, .so 등의 승인된 소프트웨어 라이브러리만 시스템 프로세스에 로드할 수 있도록 합니다. 권한이 없는 라이브러리가 시스템 프로세스로 로드되지 않도록 차단합니다. 격년으로 또는 더 자주 재평가합니다.

허용 목록 인증된 스크립트:

디지털 서명 및 버전 제어와 같은 기술 제어를 사용하여 특정 .ps1, .py 등과 같은 권한이 부여된 스크립트만 실행할 수 있도록 합니다. 권한이 없는 스크립트가 실행되지 않도록 차단합니다. 격년으로 또는 더 자주 재평가합니다.

데이터 관리 프로세스를 수립하고 유지관리합니다.

데이터 관리 프로세스를 수립하고 유지관리합니다. 이 과정에서 엔터프라이즈의 민감도 및 보존 표준을 기반으로 데이터 민감도, 데이터 소유자, 데이터 처리, 데이터 보존 제한 및 폐기 요구 사항을 해결합니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생하는 경우 문서를 검토하고 업데이트합니다.

전송 중인 중요한 데이터 암호화:

전송 중인 민감한 데이터를 암호화합니다. 구현 예시로는 TLS(전송 계층 보안) 및 OpenSSH(Open Secure Shell)가 있습니다.

미사용 민감한 데이터 암호화:

중요한 데이터가 포함된 서버, 애플리케이션 및 데이터베이스에 저장된 중요한 데이터를 암호화합니다. 서버 측 암호화라고도 하는 저장소 계층 암호화는 이 보호 장치의 최소 요구 사항을 충족합니다. 추가 암호화 방법에는 클라이언트 측 암호화라고도 하는 애플리케이션 계층 암호화가 포함될 수 있으며, 데이터 저장 장치에 대한 액세스는 일반 텍스트 데이터에 대한 액세스를 허용하지 않습니다.

민감도에 따른 세그먼트 데이터 처리 및 저장소:

데이터의 민감도에 따라 데이터 처리 및 스토리지를 세그먼트화합니다. 중요도가 낮은 데이터를 대상으로 하는 엔터프라이즈 자산에 대한 중요한 데이터를 처리하지 마십시오.

Data Loss Prevention 솔루션 배포:

호스트 기반 데이터 손실 방지(DLP) 도구와 같은 자동화된 도구를 구현하여 현장 또는 원격 서비스 제공업체에 있는 자산을 포함하여 엔터프라이즈 자산을 통해 저장, 처리 또는 전송되는 모든 중요 데이터를 식별하고 엔터프라이즈의 중요 데이터 인벤토리를 업데이트합니다.

로그 중요한 데이터 액세스:

수정 및 폐기를 포함하여 중요한 데이터 액세스를 기록합니다.

데이터 인벤토리 설정 및 유지 관리:

기업의 데이터 관리 프로세스에 따라 데이터 인벤토리를 설정하고 유지관리합니다. 최소한 민감한 데이터의 인벤토리를 작성하십시오. 최소한 민감한 데이터에 우선순위를 두고 매년 인벤토리를 검토하고 업데이트합니다.

데이터 액세스 제어 목록을 구성합니다.

사용자의 필요 사항에 따라 데이터 접근 제어 목록을 구성합니다. 액세스 권한이라고도 하는 데이터 액세스 제어 목록을 로컬 및 원격 파일 시스템, 데이터베이스 및 응용 프로그램에 적용합니다.

데이터 보존 적용:

기업의 데이터 관리 프로세스에 따라 데이터를 보존합니다. 데이터 보존에는 최소 및 최대 타임라인이 모두 포함되어야 합니다.

안전한 데이터 폐기:

기업의 데이터 관리 프로세스에 설명된 대로 데이터를 안전하게 폐기합니다. 폐기 프로세스 및 방법이 데이터 민감도에 비례하는지 확인합니다.

최종 사용자 장치의 데이터 암호화:

중요한 데이터가 포함된 최종 사용자 장치의 데이터를 암호화합니다. 예제 구현에는 Windows BitLocker™, Apple FileVault™ , Linux dm-crypt™가 포함될 수 있습니다.

데이터 분류 체계를 수립하고 유지 관리합니다.

엔터프라이즈에 대한 전체 데이터 분류 체계를 수립하고 유지관리합니다. 기업은 "민감", "기밀" 및 "공개"와 같은 레이블을 사용하고 해당 레이블에 따라 데이터를 분류할 수 있습니다. 매년 또는 이 보호 조치에 영향을 줄 수 있는 중요한 기업 변경 사항이 발생하는 경우 분류 체계를 검토하고 업데이트합니다.

문서 데이터 플로우:

문서 데이터 플로우. 데이터 흐름 설명서에는 서비스 공급자 데이터 흐름이 포함되며 엔터프라이즈의 데이터 관리 프로세스를 기반으로 해야 합니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생하는 경우 문서를 검토하고 업데이트합니다.

이동식 미디어의 데이터 암호화:

이동식 미디어의 데이터를 암호화합니다.

보안 구성 프로세스를 설정하고 유지 관리합니다.

엔터프라이즈 자산(휴대용 및 모바일 장치를 포함한 최종 사용자 장치, 비컴퓨팅/IoT 장치 및 서버) 및 소프트웨어(운영 체제 및 애플리케이션)에 대한 보안 구성 프로세스를 설정하고 유지관리합니다.매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생하는 경우 문서를 검토하고 업데이트합니다.

휴대용 최종 사용자 장치에 자동 장치 잠금 적용:

지원되는 경우 휴대용 최종 사용자 장치에서 로컬 인증 시도 실패의 미리 결정된 임계치에 따라 자동 장치 잠금을 적용합니다. 랩톱의 경우 20회 이상의 인증 시도 실패를 허용하지 마십시오. 태블릿 및 스마트폰의 경우 인증 시도 실패가 10회를 넘지 않습니다. 예제 구현에는 InTune 디바이스 잠금 및 Apple 구성 프로필 maxFailedAttempts가 포함됩니다Microsoft.

휴대용 최종 사용자 장치에서 원격 지우기 기능 적용:

분실 또는 도난 당한 장치 또는 개인이 더 이상 엔터프라이즈를 지원하지 않는 경우와 같이 적절하다고 판단되는 경우 엔터프라이즈 소유의 휴대용 최종 사용자 디바이스에서 엔터프라이즈 데이터를 원격으로 지웁니다.

모바일 최종 사용자 장치에서 별도의 엔터프라이즈 작업 공간:

지원되는 경우 모바일 최종 사용자 장치에서 별도의 엔터프라이즈 작업 공간이 사용되는지 확인합니다. 예제 구현에는 구성 프로필 또는 Android 작업 프로필을 사용하여 Apple 엔터프라이즈 애플리케이션 및 데이터를 개인 애플리케이션 및 데이터와 분리하는 것이 포함됩니다.

네트워크 인프라에 대한 보안 구성 프로세스를 설정하고 유지 관리합니다.

네트워크 장치에 대한 보안 구성 프로세스를 설정하고 유지 관리합니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생하는 경우 문서를 검토하고 업데이트합니다.

엔터프라이즈 자산에 대한 자동 세션 잠금 구성:

정의된 비활성 기간 후에 엔터프라이즈 자산에 대한 자동 세션 잠금을 구성합니다. 범용 운영 체제의 경우 기간은 15분을 초과할 수 없습니다. 모바일 최종 사용자 장치의 경우 기간은 2분을 초과할 수 없습니다.

서버에서 방화벽을 구현하고 관리합니다.

지원되는 경우 서버에서 방화벽을 구현하고 관리합니다. 구현 예시로는 가상 방화벽, 운영 체제 방화벽 또는 타사 방화벽 에이전트가 있습니다.

최종 사용자 장치에서 방화벽을 구현하고 관리합니다.

명시적으로 허용된 서비스 및 포트를 제외한 모든 트래픽을 삭제하는 기본 거부 규칙을 사용하여 최종 사용자 장치에서 호스트 기반 방화벽 또는 포트 필터링 도구를 구현하고 관리합니다.

엔터프라이즈 자산 및 소프트웨어를 안전하게 관리:

엔터프라이즈 자산과 소프트웨어를 안전하게 관리합니다. 구현 예시에는 version-controlled-infrastructure-as-code를 통한 구성 관리와 Secure Shell(SSH) 및 Hypertext Transfer Protocol Secure(HTTPS)와 같은 보안 네트워크 프로토콜을 통한 관리 인터페이스 액세스가 포함됩니다. 운영상 필수적인 경우가 아니면 Telnet(Teletype Network) 및 HTTP와 같은 안전하지 않은 관리 프로토콜을 사용하지 마십시오.

엔터프라이즈 자산 및 소프트웨어에 대한 기본 계정 관리:

루트, 관리자 및 기타 사전 구성된 벤더 계정과 같은 엔터프라이즈 자산 및 소프트웨어의 기본 계정을 관리합니다. 구현 예시에는 기본 계정을 사용하지 않도록 설정하거나 사용할 수 없게 만드는 것이 포함될 수 있습니다.

엔터프라이즈 자산 및 소프트웨어에서 불필요한 서비스를 제거하거나 비활성화합니다.

엔터프라이즈 자산 및 소프트웨어에서 사용하지 않는 파일 공유 서비스, 웹 애플리케이션 모듈 또는 서비스 기능과 같은 불필요한 서비스를 제거하거나 비활성화합니다.

엔터프라이즈 자산에서 신뢰할 수 있는 DNS 서버를 구성합니다.

엔터프라이즈 자산에서 신뢰할 수 있는 DNS 서버를 구성합니다. 구현 예로는 엔터프라이즈 제어 DNS 서버 및/또는 평판이 좋은 외부에서 액세스할 수 있는 DNS 서버를 사용하도록 자산을 구성하는 것이 포함됩니다.

계정 인벤토리 설정 및 유지:

엔터프라이즈에서 관리되는 모든 계정의 인벤토리를 설정하고 유지관리합니다. 인벤토리에는 사용자 계정과 관리자 계정이 모두 포함되어야 합니다. 인벤토리에는 최소한 개인의 이름, 사용자 이름, 시작/중지 날짜 및 부서가 포함되어야 합니다. 모든 활성 계정이 최소한 분기별로 또는 더 자주 반복 일정에 따라 권한이 부여되는지 확인합니다.

고유한 암호 사용:

모든 엔터프라이즈 자산에 고유한 암호를 사용합니다. 모범 사례 구현에는 MFA를 사용하는 계정의 경우 최소한 8자 암호, MFA를 사용하지 않는 계정의 경우 14자 암호가 포함됩니다.

휴면 계정 비활성화:

지원되는 경우 45일 동안 비활성 상태인 경우 휴면 계정을 삭제하거나 비활성화합니다.

관리자 권한을 전담 관리자 계정으로 제한:

관리자 권한을 엔터프라이즈 자산에 대한 전담 관리자 계정으로 제한합니다. 권한이 없는 사용자의 기본 계정에서 인터넷 검색, 이메일 및 생산성 제품군 사용과 같은 일반적인 컴퓨팅 활동을 수행합니다.

서비스 계정의 인벤토리를 설정하고 유지관리합니다.

서비스 계정의 인벤토리를 설정하고 유지관리합니다. 인벤토리에는 최소한 부서 소유자, 검토 날짜 및 목적이 포함되어야 합니다. 서비스 계정 검토를 수행하여 모든 활성 계정이 최소한 분기에 한 번 또는 더 자주 반복 일정에 따라 승인되었는지 확인합니다.

계정 관리 중앙 집중화:

디렉터리 또는 ID 서비스를 통해 계정 관리를 중앙 집중화합니다.

액세스 권한 부여 프로세스를 설정합니다.

사용자의 신규 채용, 권한 부여 또는 역할 변경 시 엔터프라이즈 자산에 대한 접근 권한을 부여하는 프로세스(가급적이면 자동화됨)를 수립하고 따릅니다.

액세스 취소 프로세스를 설정합니다.

사용자의 종료, 권한 해지 또는 역할 변경 시 즉시 계정을 비활성화하여 엔터프라이즈 자산에 대한 액세스를 취소하는 프로세스(가급적이면 자동화)를 수립하고 따릅니다. 감사 추적을 보존하기 위해 계정을 삭제하는 대신 계정을 비활성화해야 할 수 있습니다.

외부에 노출된 애플리케이션에 대해 MFA 필요:

지원되는 경우 외부에 노출된 모든 엔터프라이즈 또는 타사 애플리케이션에 MFA를 적용하도록 요구합니다. 디렉터리 서비스 또는 SSO 공급자를 통해 MFA를 적용하는 것은 이 보호의 만족스러운 구현입니다.

원격 네트워크 액세스에 MFA 필요:

원격 네트워크 액세스에 MFA가 필요합니다.

관리자 액세스에 MFA 필요:

지원되는 경우 모든 엔터프라이즈 자산의 모든 관리 액세스 계정(현장 또는 외부 공급업체 공급자를 통해 관리)에 대해 MFA를 요구합니다.

인증 및 권한 부여 시스템의 인벤토리를 설정하고 유지관리합니다.

현장 또는 원격 서비스 제공자에서 호스팅되는 시스템을 포함하여 기업의 인증 및 권한 부여 시스템 인벤토리를 설정하고 유지관리합니다. 인벤토리를 최소한, 매년 또는 더 자주 검토하고 업데이트합니다.

접근 제어 중앙 집중화:

지원되는 경우 디렉터리 서비스 또는 SSO 제공자를 통해 모든 엔터프라이즈 자산에 대한 접근 제어를 중앙 집중화합니다.

역할 기반 접근 제어를 정의하고 유지관리합니다.

할당된 업무를 성공적으로 수행하기 위해 기업 내의 각 역할에 필요한 접근 권한을 결정하고 문서화하여 역할 기반 접근 제어를 정의하고 유지관리합니다. 엔터프라이즈 자산에 대한 접근 제어 검토를 수행하여 모든 권한이 최소한 일 년에 한 번 또는 더 자주 반복 일정에 따라 승인되었는지 확인합니다.

취약성 관리 프로세스를 수립하고 유지관리합니다.

엔터프라이즈 자산에 대해 문서화된 취약성 관리 프로세스를 수립하고 유지관리합니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생하는 경우 문서를 검토하고 업데이트합니다.

정정 프로세스를 수립하고 유지관리합니다.

매월 또는 더 자주 검토하여 정정 프로세스에 문서화된 위험 기반 정정 전략을 수립하고 유지합니다.

자동화된 운영 체제 패치 관리 수행:

자동화된 패치 관리를 통해 엔터프라이즈 자산에 대한 운영 체제 업데이트를 매월 또는 더 자주 수행합니다.

자동화된 애플리케이션 패치 관리 수행:

매월 또는 더 자주, 자동화된 패치 관리를 통해 엔터프라이즈 자산에 대한 애플리케이션 업데이트를 수행합니다.

내부 엔터프라이즈 자산에 대한 취약성 검사를 자동으로 수행합니다.

분기별로 또는 더 자주, 내부 엔터프라이즈 자산에 대한 취약성 검사를 자동으로 수행합니다. SCAP 준수 취약성 검사 도구를 사용하여 인증된 검사와 인증되지 않은 검사를 모두 수행합니다.

외부에 노출된 엔터프라이즈 자산의 취약성 검사를 자동으로 수행합니다.

SCAP 준수 취약성 검사 도구를 사용하여 외부에 노출된 엔터프라이즈 자산의 취약성 검사를 자동화합니다. 매월 또는 더 자주 검사를 수행합니다.

탐지된 취약성 정정:

정정 프로세스에 따라 매월 또는 더 자주, 프로세스 및 도구를 통해 소프트웨어에서 탐지된 취약성을 정정합니다.

감사 로그 관리 프로세스를 수립하고 유지관리합니다.

기업의 로깅 요구 사항을 정의하는 감사 로그 관리 프로세스를 수립하고 유지관리합니다. 최소한 엔터프라이즈 자산에 대한 감사 로그의 수집, 검토 및 보존에 대한 문제를 해결합니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생하는 경우 문서를 검토하고 업데이트합니다.

감사 로그 유지:

최소 90일 동안 엔터프라이즈 자산 전반에 걸쳐 감사 로그를 유지합니다.

감사 로그 검토 수행:

감사 로그를 검토하여 잠재적 위협을 나타낼 수 있는 예외 또는 비정상적인 이벤트를 탐지합니다. 매주 또는 더 자주 검토를 수행합니다.

서비스 제공자 로그 수집:

지원되는 경우 서비스 제공자 로그를 수집합니다. 구현 예시로는 인증 및 권한 부여 이벤트 수집, 데이터 생성 및 폐기 이벤트, 사용자 관리 이벤트가 있습니다.

감사 로그 수집:

감사 로그를 수집합니다. 엔터프라이즈의 감사 로그 관리 프로세스에 따라 엔터프라이즈 자산 전체에서 로깅이 사용하도록 설정되었는지 확인합니다.

적절한 감사 로그 스토리지 보장:

로깅 대상이 엔터프라이즈의 감사 로그 관리 프로세스를 준수하기 위해 적절한 스토리지를 유지하는지 확인합니다.

시간 동기화 표준화:

시간 동기화를 표준화합니다. 지원되는 경우 엔터프라이즈 자산 전체에 동기화된 시간 소스를 두 개 이상 구성합니다.

상세한 감사 로그 수집:

중요한 데이터가 포함된 엔터프라이즈 자산에 대한 자세한 감사 로깅을 구성합니다. 이벤트 소스, 날짜, 사용자 이름, 타임스탬프, 소스 주소, 대상 주소 및 포렌식 조사에 도움이 될 수 있는 기타 유용한 요소를 포함합니다.

DNS 쿼리 감사 로그 수집:

적절하고 지원되는 경우 엔터프라이즈 자산에 대한 DNS 쿼리 감사 로그를 수집합니다.

URL 요청 감사 로그 수집:

적절하고 지원되는 경우 엔터프라이즈 자산에 대한 URL 요청 감사 로그를 수집합니다.

명령줄 감사 로그 수집:

명령줄 감사 로그를 수집합니다. 예제 구현에는 PowerShell™, BASH™ 및 원격 관리 터미널에서 감사 로그를 수집하는 것이 포함됩니다.

감사 로그 중앙 집중화:

가능한 범위까지 엔터프라이즈 자산 전반에 걸쳐 감사 로그 수집 및 보존을 중앙 집중화합니다.

완벽하게 지원되는 브라우저와 이메일 클라이언트만 사용해야 합니다.

벤더를 통해 제공되는 최신 버전의 브라우저와 이메일 클라이언트만 사용하여 완전히 지원되는 브라우저와 이메일 클라이언트만 엔터프라이즈에서 실행할 수 있는지 확인합니다.

DNS 필터링 서비스 사용:

모든 엔터프라이즈 자산에서 DNS 필터링 서비스를 사용하여 알려진 악성 도메인에 대한 액세스를 차단합니다.

네트워크 기반 URL 필터를 유지 및 적용합니다.

네트워크 기반 URL 필터를 적용하고 업데이트하여 엔터프라이즈 자산이 잠재적으로 악성이거나 승인되지 않은 웹 사이트에 연결되지 않도록 제한합니다. 구현 예시로는 범주 기반 필터링, 평판 기반 필터링 또는 차단 목록 사용이 있습니다. 모든 엔터프라이즈 자산에 필터를 적용합니다.

불필요하거나 승인되지 않은 브라우저 및 이메일 클라이언트 확장 제한:

권한이 없거나 불필요한 브라우저 또는 이메일 클라이언트 플러그인, 확장 프로그램 및 추가 애플리케이션을 제거하거나 비활성화하여 제한합니다.

DMARC 구현:

유효한 도메인에서 스푸핑되거나 수정된 이메일의 가능성을 줄이려면 SPF(Sender Policy Framework) 및 DKIM(DomainKeys Identified Mail) 표준 구현부터 시작하여 DMARC 정책 및 확인을 구현합니다.

불필요한 파일 형식 차단:

엔터프라이즈의 이메일 게이트웨이에 들어가려는 불필요한 파일 형식을 차단합니다.

이메일 서버 맬웨어 방지 보호 배포 및 유지:

첨부 파일 검사 및/또는 샌드박싱과 같은 이메일 서버 맬웨어 방지 보호 기능을 배포하고 유지 관리합니다.

맬웨어 방지 소프트웨어 배포 및 유지 관리:

모든 기업 자산에 맬웨어 방지 소프트웨어를 배포하고 유지관리합니다.

자동 맬웨어 방지 서명 업데이트 구성:

모든 엔터프라이즈 자산에서 맬웨어 방지 서명 파일에 대한 자동 업데이트를 구성합니다.

이동식 미디어에 대한 자동 실행 및 자동 재생 사용 안 함:

이동식 미디어에 대한 자동 실행 및 자동 실행 기능을 사용하지 않도록 설정합니다.

이동식 미디어의 자동 맬웨어 방지 검사를 구성합니다.

이동식 미디어를 자동으로 검사하도록 맬웨어 방지 소프트웨어를 구성합니다.

악용 방지 기능 사용:

가능한 경우 DEP(데이터 실행 방지), Windows WDEG(Defender Exploit Guard) 또는 Apple SIP(시스템 무결성 보호) 및 게이트키퍼™와 같은 Microsoft 엔터프라이즈 자산 및 소프트웨어에 대한 악용 방지 기능을 사용하도록 설정합니다.

중앙에서 맬웨어 방지 소프트웨어 관리:

맬웨어 방지 소프트웨어를 중앙에서 관리합니다.

동작 기반 맬웨어 방지 소프트웨어 사용:

동작 기반 맬웨어 방지 소프트웨어를 사용합니다.

데이터 복구 프로세스 구축 및 유지 관리:

데이터 복구 프로세스를 수립하고 유지 관리합니다. 프로세스에서 데이터 복구 작업의 범위, 복구 우선 순위 지정 및 백업 데이터의 보안을 해결합니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생하는 경우 문서를 검토하고 업데이트합니다.

자동 백업 수행:

범위 내 엔터프라이즈 자산의 자동 백업을 수행합니다. 데이터의 민감도에 따라 매주 또는 더 자주 백업을 실행합니다.

복구 데이터 보호:

원본 데이터와 동등한 제어를 사용하여 복구 데이터를 보호합니다. 요구 사항에 따른 참조 암호화 또는 데이터 분리입니다.

복구 데이터의 격리된 인스턴스를 설정하고 유지 관리합니다.

복구 데이터의 격리된 인스턴스를 설정하고 유지 관리합니다. 구현 예시에는 오프라인, 클라우드 또는 오프사이트 시스템이나 서비스를 통한 백업 대상을 제어하는 버전이 포함됩니다.

데이터 복구 테스트:

범위 내 엔터프라이즈 자산의 샘플링을 위해 분기별로 또는 더 자주 백업 복구를 테스트합니다.

네트워크 인프라가 최신 상태인지 확인:

네트워크 인프라를 최신 상태로 유지합니다. 구현 예시에는 안정적인 최신 소프트웨어 릴리스 실행 및/또는 현재 지원되는 서비스형 네트워크(NaaS) 제품 사용이 포함됩니다. 소프트웨어 버전을 매월 또는 더 자주 검토하여 소프트웨어 지원을 확인합니다.

보안 네트워크 아키텍처 구축 및 유지관리:

보안 네트워크 아키텍처를 구축하고 유지 관리합니다. 보안 네트워크 아키텍처는 최소한 세분화, 최소 권한 및 가용성을 해결해야 합니다.

네트워크 인프라를 안전하게 관리:

네트워크 인프라를 안전하게 관리합니다. 예제 구현에는 version-controlled-infrastructure-as-code, 보안 네트워크 프로토콜(예: SSH 및 HTTPS) 사용이 포함됩니다.

아키텍처 다이어그램 설정 및 유지:

아키텍처 다이어그램 및/또는 기타 네트워크 시스템 문서를 작성하고 유지관리합니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생하는 경우 문서를 검토하고 업데이트합니다.

AAA(네트워크 인증, 권한 부여 및 감사) 중앙 집중화:

네트워크 AAA를 중앙 집중화합니다.

보안 네트워크 관리 및 통신 프로토콜 사용:

보안 네트워크 관리 및 통신 프로토콜(예: 802.1X, WPA2(Wi-Fi Protected Access 2) Enterprise 이상)을 사용합니다.

원격 디바이스가 VPN을 활용하고 엔터프라이즈의 AAA 인프라에 연결되어 있는지 확인합니다.

사용자는 최종 사용자 장치에서 엔터프라이즈 리소스에 액세스하기 전에 엔터프라이즈 관리형 VPN 및 인증 서비스에 인증해야 합니다.

모든 관리 작업을 위한 전용 컴퓨팅 리소스를 설정하고 유지 관리합니다.

모든 관리 작업 또는 관리 액세스 권한이 필요한 작업에 대해 물리적 또는 논리적으로 분리된 전용 컴퓨팅 자원을 설정하고 유지 관리합니다. 컴퓨팅 자원은 기업의 기본 네트워크에서 분할되어야 하며 인터넷 액세스가 허용되지 않아야 합니다.

보안 이벤트 경보 중앙 집중화:

로그 상관 관계 및 분석을 위해 엔터프라이즈 자산 전반에 걸쳐 보안 이벤트 경보를 중앙 집중화합니다. 베스트 프랙티스 구현에는 벤더 정의 이벤트 상관 관계 경고가 포함된 SIEM을 사용해야 합니다. 보안 관련 상관 관계 경고로 구성된 로그 분석 플랫폼도 이 보호를 충족합니다.

애플리케이션 레이어 필터링 수행:

애플리케이션 계층 필터링을 수행합니다. 구현 예시로는 필터링 프록시, 애플리케이션 계층 방화벽 또는 게이트웨이가 있습니다.

보안 이벤트 경보 임계치 조정:

보안 이벤트 경보 임계치를 매월 또는 더 자주 조정합니다.

Deploy a Host-Based Intrusion Detection Solution(호스트 기반 침입 탐지 솔루션 배포):

적절하거나 지원되는 경우 엔터프라이즈 자산에 호스트 기반 침입 탐지 솔루션을 배포합니다.

네트워크 침입 탐지 솔루션 배포:

필요한 경우 엔터프라이즈 자산에 네트워크 침입 탐지 솔루션을 배포합니다. 구현 예시에는 NIDS(네트워크 침입 탐지 시스템) 또는 이에 상응하는 CSP(클라우드 서비스 제공자) 서비스 사용이 포함됩니다.

네트워크 세그먼트 간 트래픽 필터링 수행:

필요한 경우 네트워크 세그먼트 간에 트래픽 필터링을 수행합니다.

원격 자산에 대한 접근 제어를 관리합니다.

엔터프라이즈 자원에 원격으로 연결되는 자산에 대한 접근 제어를 관리합니다. 기업 자원에 대한 접근 권한 결정은 다음을 기반으로 합니다. 설치된 최신 맬웨어 방지 소프트웨어; 기업의 보안 구성 프로세스에 대한 구성 준수; 운영 체제와 응용 프로그램이 최신 상태인지 확인합니다.

네트워크 트래픽 플로우 로그 수집:

네트워크 트래픽 플로우 로그 및/또는 네트워크 트래픽을 수집하여 네트워크 장치에서 검토하고 경보를 보냅니다.

호스트 기반 침입 방지 솔루션 배포:

적절하거나 지원되는 경우 엔터프라이즈 자산에 호스트 기반 침입 방지 솔루션을 배포합니다. 구현 예시에는 엔드포인트 탐지 및 응답(EDR) 클라이언트 또는 호스트 기반 IPS 에이전트 사용이 포함됩니다.

네트워크 침입 방지 솔루션 배포:

필요한 경우 네트워크 침입 방지 솔루션을 배포합니다. 구현 예시에는 NIPS(네트워크 침입 방지 시스템) 또는 이에 상응하는 CSP 서비스의 사용이 포함됩니다.

포트 수준 액세스 제어 배포:

포트 수준 접근 제어를 배포합니다. 포트 수준 액세스 제어는 802.1x 또는 인증서와 같은 유사한 네트워크 액세스 제어 프로토콜을 사용하며 사용자 및/또는 장치 인증을 통합할 수 있습니다.

보안 인식 프로그램을 수립하고 유지합니다.

보안 인식 프로그램을 수립하고 유지합니다. 보안 인식 프로그램의 목적은 엔터프라이즈 자산 및 데이터와 안전한 방식으로 상호 작용하는 방법에 대해 엔터프라이즈 인력을 교육하는 것입니다. 고용 시 교육을 실시하고 최소한 매년 교육을 실시합니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생하는 경우 컨텐츠를 검토하고 업데이트합니다.

인력 구성원이 소셜 엔지니어링 공격을 인식할 수 있도록 교육합니다.

피싱, 사전 문자 메시지, 테일게이팅과 같은 소셜 엔지니어링 공격을 인식하도록 인력 구성원을 교육합니다. 

인증 베스트 프랙티스에 대해 인력 구성원을 교육합니다.

인증 베스트 프랙티스에 대해 인력 구성원을 교육합니다. 예제 주제에는 MFA, 암호 구성 및 자격 증명 관리가 포함됩니다.

데이터 처리 베스트 프랙티스에 대한 인력 교육:

중요한 데이터를 식별하고 적절하게 저장, 전송, 보관 및 삭제하는 방법에 대해 인력 구성원을 교육합니다. 여기에는 엔터프라이즈 자산에서 벗어날 때 화면을 잠그고, 회의가 끝날 때 물리적 및 가상 화이트보드를 지우고, 데이터와 자산을 안전하게 저장하는 것과 같은 투명 화면 및 책상 모범 사례에 대한 직원 교육도 포함됩니다.

의도하지 않은 데이터 노출의 원인에 대해 인력 구성원을 교육합니다.

의도하지 않은 데이터 노출의 원인을 파악하도록 인력 구성원을 교육합니다. 예시 주제에는 민감한 데이터의 잘못된 전달, 휴대용 최종 사용자 장치 분실 또는 의도하지 않은 대상에게 데이터 게시가 포함됩니다.

보안 인시던트 인식 및 보고에 대해 인력 구성원을 교육합니다.

잠재적인 인시던트를 인식하고 보고할 수 있도록 인력 구성원을 교육합니다. 

엔터프라이즈 자산에 보안 업데이트가 없는 경우 식별하고 보고하는 방법에 대해 인력을 교육합니다.

오래된 소프트웨어 패치 또는 자동화된 프로세스 및 도구의 장애를 확인하고 보고하는 방법을 이해하도록 인력을 교육합니다. 이 교육에는 자동화된 프로세스 및 도구의 오류에 대해 IT 담당자에게 알리는 것도 포함되어야 합니다.

안전하지 않은 네트워크를 통해 엔터프라이즈 데이터에 연결하고 전송할 때의 위험에 대해 인력을 교육합니다.

기업 활동을 위해 안전하지 않은 네트워크에 연결하고 데이터를 전송하는 위험에 대해 인력 구성원을 교육합니다. 기업에 원격 작업자가 있는 경우 모든 사용자가 홈 네트워크 인프라를 안전하게 구성할 수 있도록 교육에 지침이 포함되어야 합니다.

역할별 보안 인식 및 기술 교육 수행:

역할별 보안 인식 및 기술 교육을 실시합니다. 구현 예로는 IT 전문가를 위한 보안 시스템 관리 과정(웹 애플리케이션 개발자를 위한 OWASP ™ 상위 10개 취약성 인식 및 예방 교육, 주요 역할을 위한 고급 소셜 엔지니어링 인식 교육)이 있습니다.

서비스 제공자의 인벤토리 설정 및 유지관리:

서비스 제공자 인벤토리를 설정하고 유지관리합니다. 인벤토리는 알려진 모든 서비스 제공자를 나열하고, 분류를 포함하고, 각 서비스 제공자에 대한 엔터프라이즈 연락처를 지정하는 것입니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생하는 경우 인벤토리를 검토하고 업데이트합니다.

서비스 제공자 관리 정책을 수립하고 유지관리합니다.

서비스 제공자 관리 정책을 수립하고 유지관리합니다. 정책이 서비스 제공자의 분류, 인벤토리, 평가, 모니터링 및 해제를 다루는지 확인합니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생하는 경우 정책을 검토하고 업데이트합니다.

서비스 제공자 분류:

서비스 제공자를 분류합니다. 분류 고려 사항에는 데이터 민감도, 데이터 볼륨, 가용성 요구 사항, 해당 규정, 고유 위험 및 완화된 위험과 같은 하나 이상의 특성이 포함될 수 있습니다. 매년 또는 이 보호에 영향을 줄 수 있는 중요한 엔터프라이즈 변경이 발생하는 경우 분류를 업데이트하고 검토합니다.

서비스 제공자 계약에 보안 요구 사항이 포함되어 있는지 확인합니다.

서비스 제공자 계약에 보안 요구 사항이 포함되어 있는지 확인합니다. 요구 사항의 예로는 최소 보안 프로그램 요구 사항, 보안 인시던트 및/또는 데이터 위반 알림 및 응답, 데이터 암호화 요구 사항, 데이터 폐기 약정이 포함될 수 있습니다. 이러한 보안 요구 사항은 엔터프라이즈의 서비스 제공자 관리 정책과 일치해야 합니다. 서비스 제공자 계약을 매년 검토하여 계약에 보안 요구 사항이 누락되지 않았는지 확인합니다.

서비스 제공자 평가:

기업의 서비스 제공자 관리 정책에 따라 서비스 제공자를 평가합니다. 평가 범위는 분류에 따라 다를 수 있으며, SOC 2(Service Organization Control 2) 및 PCI(Payment Card Industry) AoC(규정 준수 증명), 맞춤형 질문서 또는 기타 적절하게 엄격한 프로세스와 같은 표준화된 평가 보고서의 검토를 포함할 수 있습니다. 서비스 제공자를 최소한으로 매년 또는 신규 및 갱신된 계약으로 재평가합니다.

서비스 제공자 평가:

기업의 서비스 제공자 관리 정책에 따라 서비스 제공자를 평가합니다. 평가 범위는 분류에 따라 다를 수 있으며, SOC 2(Service Organization Control 2) 및 PCI(Payment Card Industry) AoC(규정 준수 증명), 맞춤형 질문서 또는 기타 적절하게 엄격한 프로세스와 같은 표준화된 평가 보고서의 검토를 포함할 수 있습니다. 서비스 제공자를 최소한으로 매년 또는 신규 및 갱신된 계약으로 재평가합니다.

서비스 제공자 모니터링:

기업의 서비스 제공자 관리 정책에 따라 서비스 제공자를 모니터링합니다. 모니터링에는 서비스 제공업체 규정 준수에 대한 주기적인 재평가, 서비스 제공업체 릴리스 정보 모니터링 및 다크 웹 모니터링이 포함될 수 있습니다.

서비스 제공자를 안전하게 폐기:

서비스 제공자를 안전하게 해제합니다. 고려 사항의 예로는 사용자 및 서비스 계정 비활성화, 데이터 흐름 종료, 서비스 공급자 시스템 내에서 엔터프라이즈 데이터의 안전한 처리가 있습니다.

안전한 애플리케이션 개발 프로세스를 수립하고 유지관리합니다.

안전한 애플리케이션 개발 프로세스를 수립하고 유지관리합니다. 이 과정에서 보안 애플리케이션 설계 표준, 보안 코딩 관행, 개발자 교육, 취약성 관리, 타사 코드의 보안, 애플리케이션 보안 테스트 절차와 같은 항목을 다룹니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생하는 경우 문서를 검토하고 업데이트합니다.

애플리케이션 아키텍처에 보안 설계 원칙 적용:

애플리케이션 아키텍처에 보안 설계 원칙을 적용합니다. 보안 디자인 원칙에는 최소 권한 개념과 사용자가 수행하는 모든 작업의 유효성을 검사하기 위한 중재 적용이 포함되며, "사용자 입력 신뢰 금지"라는 개념을 홍보합니다. 예를 들어 크기, 데이터 유형, 허용되는 범위 또는 형식을 포함하여 모든 입력에 대해 명시적 오류 검사가 수행되고 문서화되는지 확인하는 것이 포함됩니다. 보안 설계는 보호되지 않은 포트 및 서비스 끄기, 불필요한 프로그램 및 파일 제거, 기본 계정 이름 바꾸기 또는 제거와 같은 애플리케이션 인프라 공격 표면을 최소화하는 것을 의미합니다.

애플리케이션 보안 구성요소에 대해 검증된 모듈 또는 서비스 활용:

ID 관리, 암호화, 감사 및 로깅과 같은 애플리케이션 보안 구성요소에 대해 검증된 모듈 또는 서비스를 활용합니다. 중요한 보안 기능에서 플랫폼 기능을 사용하면 개발자의 작업 부하가 줄어들고 설계 또는 구현 오류가 발생할 가능성이 최소화됩니다. 최신 운영 체제는 식별, 인증 및 권한 부여를 위한 효과적인 메커니즘을 제공하고 애플리케이션에서 이러한 메커니즘을 사용할 수 있도록 합니다. 현재 승인되고 광범위하게 검토된 표준화된 암호화 알고리즘만 사용합니다. 운영 체제는 보안 감사 로그를 만들고 유지 관리하는 메커니즘도 제공합니다.

코드 수준 보안 검사 구현:

애플리케이션 수명주기 내에 정적 및 동적 분석 도구를 적용하여 보안 코딩 관행이 준수되고 있는지 확인합니다.

애플리케이션 침투 테스트 수행:

애플리케이션 침투 테스트를 수행합니다. 중요한 애플리케이션의 경우 인증된 침투 테스트가 코드 스캔 및 자동화된 보안 테스트보다 비즈니스 로직 취약성을 찾는 데 더 적합합니다.침투 테스트는 인증된 사용자와 인증되지 않은 사용자로서 애플리케이션을 수동으로 조작하는 테스터의 기술에 의존합니다. 

위협 모델링 수행:

위협 모델링을 수행합니다. 위협 모델링은 코드를 작성하기 전에 설계 내에서 애플리케이션 보안 설계 결함을 식별하고 해결하는 프로세스입니다. 이 작업은 애플리케이션 디자인을 평가하고 각 엔트리포인트 및 액세스 수준에 대한 보안 위험을 측정하는 특별히 교육된 담당자를 통해 수행됩니다. 목표는 애플리케이션, 아키텍처 및 인프라를 구조화된 방식으로 매핑하여 약점을 이해하는 것입니다.

소프트웨어 취약성을 수용하고 해결하는 프로세스를 수립하고 유지관리합니다.

외부 엔터티가 보고할 수 있는 수단을 제공하는 것을 포함하여 소프트웨어 취약성 보고를 수락하고 해결하는 프로세스를 수립하고 유지합니다. 이 프로세스에는 보고 프로세스를 식별하는 취약성 처리 정책, 취약성 보고서 처리 책임자, 접수, 할당, 정정 및 정정 테스트 프로세스와 같은 항목이 포함됩니다. 프로세스의 일부로 심각도 등급과 취약성 식별, 분석 및 정정 시기를 측정하기 위한 메트릭을 포함하는 취약성 추적 시스템을 사용합니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생하는 경우 문서를 검토하고 업데이트합니다.

보안 취약성에 대한 근본 원인 분석을 수행합니다.

보안 취약성에 대한 근본 원인 분석을 수행합니다. 취약성을 검토할 때 근본 원인 분석은 코드에서 취약성을 생성하는 근본적인 문제를 평가하는 작업이며, 이를 통해 개발 팀은 취약성이 발생할 때 개별 취약성을 수정하는 것 이상을 수행할 수 있습니다.

외부 공급업체 소프트웨어 구성요소의 인벤토리를 설정하고 관리합니다.

개발에 사용되는 외부 공급업체 구성 요소(종종 "자재 명세서"라고 함)와 향후 사용할 구성 요소의 업데이트된 인벤토리를 설정하고 관리합니다.이 인벤토리에는 각 외부 공급업체 구성 요소가 제기할 수 있는 모든 위험이 포함됩니다.적어도 매월 목록을 평가하여 이러한 구성요소에 대한 변경 사항이나 업데이트를 식별하고 구성요소가 여전히 지원되는지 확인합니다. 

신뢰할 수 있는 최신 타사 소프트웨어 구성요소 사용:

신뢰할 수 있는 최신 타사 소프트웨어 구성요소를 사용합니다. 가능하면 적절한 보안을 제공하는 검증되고 검증된 프레임워크와 라이브러리를 선택하십시오.사용하기 전에 신뢰할 수 있는 출처에서 이러한 구성 요소를 얻거나 소프트웨어의 취약성을 평가하십시오.

애플리케이션 취약성에 대한 심각도 등급 시스템과 프로세스를 설정하고 유지합니다.

발견된 취약성이 수정되는 순서의 우선순위를 쉽게 지정할 수 있도록 애플리케이션 취약성에 대한 심각도 등급 시스템과 프로세스를 구축하고 유지관리합니다. 이 프로세스에는 코드 또는 응용 프로그램 릴리스에 대한 최소 보안 허용 수준 설정이 포함됩니다. 심각도 등급은 위험 관리를 개선하고 가장 심각한 버그가 먼저 수정되도록 하는 데 도움이 되는 취약성을 분류하는 체계적인 방법을 제공합니다. 매년 시스템과 프로세스를 검토하고 업데이트합니다.

애플리케이션 인프라에 표준 강화 구성 템플릿을 사용합니다.

애플리케이션 인프라 구성요소에 대해 업계에서 권장하는 표준 강화 구성 템플릿을 사용합니다. 여기에는 기본 서버, 데이터베이스 및 웹 서버가 포함되며 클라우드 컨테이너, PaaS(Platform as a Service) 구성요소 및 SaaS 구성요소에 적용됩니다. 자체 개발한 소프트웨어가 구성 강화를 약화시키지 않도록 하십시오.

별도의 프로덕션 및 비프로덕션 시스템:

프로덕션 및 비프로덕션 시스템에 대해 별도의 환경을 유지 관리합니다.

애플리케이션 보안 개념 및 보안 코딩에 대해 개발자를 교육합니다.

모든 소프트웨어 개발 담당자가 자신의 특정 개발 환경 및 책임에 맞는 보안 코드 작성 교육을 받도록 합니다. 교육에는 일반 보안 원칙 및 애플리케이션 보안 표준 관행이 포함될 수 있습니다. 매년 한 번 이상 교육을 실시하고 개발 팀 내에서 보안을 강화하고 개발자 간에 보안 문화를 구축하는 방식으로 설계합니다.

인시던트 처리를 관리할 직원을 지정합니다.

기업의 인시던트 처리 프로세스를 관리할 핵심 담당자 한 명과 백업 담당자 한 명 이상을 지정합니다. 관리 직원은 인시던트 대응 및 복구 노력의 조정 및 문서화를 담당하며 기업 내부 직원, 외부 공급업체 공급업체 또는 하이브리드 접근 방식으로 구성할 수 있습니다. 외부 공급업체 벤더를 사용하는 경우 외부 공급업체 작업을 감독할 기업 내부 직원을 한 명 이상 지정합니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생할 때 검토합니다.

보안 인시던트 보고를 위한 연락처 정보를 설정 및 유지관리합니다.

보안 인시던트에 대한 정보를 받아야 하는 당사자의 연락처 정보를 수립하고 유지관리합니다. 연락처에는 내부 직원, 타사 공급업체, 법 집행 기관, 사이버 보험 제공자, 관련 정부 기관, 정보 공유 및 분석 센터(ISAC) 파트너 또는 기타 이해 관계자가 포함될 수 있습니다. 매년 연락처를 확인하여 최신 정보인지 확인합니다.

인시던트 보고를 위한 엔터프라이즈 프로세스를 수립하고 유지관리합니다.

인력이 보안 인시던트를 보고할 수 있도록 엔터프라이즈 프로세스를 설정하고 유지관리합니다. 이 프로세스에는 보고 기간, 보고할 직원, 보고 메커니즘 및 보고할 최소 정보가 포함됩니다. 프로세스를 모든 인력이 공개적으로 사용할 수 있도록 합니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생할 때 검토합니다.

인시던트 대응 프로세스를 수립하고 유지관리합니다.

역할과 책임, 규정 준수 요구 사항, 통신 계획을 다루는 인시던트 응답 프로세스를 수립하고 유지관리합니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생할 때 검토합니다.

다음과 같이 주요 역할과 책임을 할당합니다.

해당하는 경우 법률, IT, 정보 보안, 시설, 홍보, 인사, 인시던트 대응자, 분석가 등 인시던트 대응에 대한 주요 역할과 책임을 할당합니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생할 때 검토합니다.

인시던트 응답 중 통신을 위한 메커니즘을 정의합니다.

보안 인시던트 발생 시 통신하고 보고하는 데 사용할 기본 및 보조 메커니즘을 결정합니다. 메커니즘에는 전화 통화, 이메일 또는 편지가 포함될 수 있습니다. 보안 인시던트 중에 이메일과 같은 특정 메커니즘이 영향을 받을 수 있습니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생할 때 검토합니다.

일상적인 인시던트 대응 연습 수행:

실제 인시던트 대응을 준비하기 위해 인시던트 응답 프로세스에 관련된 주요 직원을 대상으로 일상적인 인시던트 대응 연습과 시나리오를 계획하고 수행합니다. 연습에서는 커뮤니케이션 채널, 의사 결정 및 워크플로우를 테스트해야 합니다. 최소한 연 1회에 한 번씩 테스트를 수행합니다.

인시던트 후 검토를 수행합니다.

인시던트 후 검토를 수행합니다. 사후 인시던트 검토는 학습한 교훈을 파악하고 후속 조치를 취하여 인시던트 재발을 방지하는 데 도움이 됩니다.

보안 인시던트 임계치 설정 및 유지:

최소한 인시던트와 이벤트 구분을 포함하여 보안 인시던트 임계치를 설정하고 유지합니다. 예를 들면 비정상적인 활동, 보안 취약성, 보안 취약성, 데이터 침해, 개인 정보 보호 인시던트 등이 포함될 수 있습니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생할 때 검토합니다.

침투 테스트 프로그램 수립 및 유지:

기업의 규모, 복잡성 및 성숙도에 적합한 침투 테스트 프로그램을 수립하고 유지관리합니다. 침투 테스트 프로그램 특성에는 네트워크, 웹 애플리케이션, API(애플리케이션 프로그래밍 인터페이스), 호스팅 서비스 및 물리적 구내 제어와 같은 범위가 포함됩니다. 빈도; 허용 가능한 시간 및 제외된 공격 유형과 같은 제한; 연락처 정보; 결과가 내부적으로 라우팅되는 방식과 같은 정정; 및 소급 요구 사항.

주기적인 외부 침투 테스트 수행:

프로그램 요구 사항에 따라 매년 1회 이상 주기적인 외부 침투 테스트를 수행합니다. 외부 침투 테스트에는 악용 가능한 정보를 탐지하기 위한 엔터프라이즈 및 환경 정찰이 포함되어야 합니다. 침투 테스트에는 전문 기술과 경험이 필요하며 자격을 갖춘 당사자를 통해 수행되어야 합니다. 테스트는 투명 상자 또는 불투명 상자일 수 있습니다.

침투 테스트 결과 정정:

정정 범위 및 우선순위에 대한 기업의 정책에 따라 침투 테스트 결과를 정정합니다.

보안 조치 확인:

각 침투 테스트 후 보안 조치를 확인합니다. 필요하다고 판단되면 테스트 중에 사용된 기술을 탐지하도록 규칙 집합 및 기능을 수정합니다.

활성 검색 도구를 활용하여 조직의 네트워크에 연결된 장치를 식별하고 하드웨어 자산 인벤토리를 업데이트합니다.

수동 검색 도구를 활용하여 조직의 네트워크에 연결된 장치를 식별하고 조직의 하드웨어 자산 인벤토리를 자동으로 업데이트합니다.

정보를 저장하거나 처리할 수 있는 모든 기술 자산의 정확한 최신 인벤토리를 유지합니다. 이 인벤토리에는 조직의 네트워크에 연결되어 있는지 여부에 관계없이 모든 하드웨어 자산이 포함되어야 합니다.

하드웨어 자산 인벤토리에 각 자산의 네트워크 주소, 하드웨어 주소, 컴퓨터 이름, 데이터 자산 소유자 및 부서와 하드웨어 자산의 네트워크 연결 승인 여부가 기록되어 있는지 확인합니다.

802.1x 표준에 따라 포트 수준 액세스 제어를 활용하여 네트워크를 인증할 수 있는 장치를 제어합니다. 인증 시스템은 하드웨어 자산 인벤토리 데이터에 연결되어 승인된 장치만 네트워크에 연결할 수 있도록 해야 합니다.

클라이언트 인증서를 사용하여 조직의 신뢰할 수 있는 네트워크에 연결하는 하드웨어 자산을 인증합니다.

모든 비즈니스 시스템에서 비즈니스 목적을 위해 엔터프라이즈에 필요한 모든 인증된 소프트웨어의 최신 목록을 유지 관리합니다.

현재 소프트웨어 벤더가 지원하는 소프트웨어 애플리케이션 또는 운영 체제만 조직의 인증된 소프트웨어 인벤토리에 추가되도록 합니다. 지원되지 않는 소프트웨어는 인벤토리 시스템에서 지원되지 않는 것으로 태그를 지정해야 합니다.

조직 전체의 소프트웨어 인벤토리 도구를 활용하여 비즈니스 시스템의 모든 소프트웨어 문서화를 자동화합니다.

소프트웨어 인벤토리 시스템은 조직에서 승인한 운영 체제를 포함하여 모든 소프트웨어의 이름, 버전, 게시자 및 설치 날짜를 추적해야 합니다.

소프트웨어 인벤토리 시스템은 하드웨어 자산 인벤토리에 연결되어 있어야 모든 장치 및 관련 소프트웨어를 단일 위치에서 추적할 수 있습니다.

최신 SCAP 호환 취약성 검색 도구를 활용하여 매주 또는 더 자주 네트워크의 모든 시스템을 자동으로 스캔하여 조직 시스템의 모든 잠재적 취약성을 식별합니다.

각 시스템에서 로컬로 실행 중인 에이전트 또는 테스트 중인 시스템에서 상승된 권한으로 구성된 원격 스캐너를 사용하여 인증된 취약성 검사를 수행합니다.

취약성 스캔의 결과를 연속적으로 정기적으로 비교하여 취약성이 적시에 수정되었는지 확인합니다.

새 자산을 배포하기 전에 관리 수준 계정과 일치하는 값을 갖도록 모든 기본 암호를 변경합니다.

다단계 인증이 지원되지 않는 경우(예: 로컬 관리자, 루트 또는 서비스 계정) 계정은 해당 시스템에 고유한 암호를 사용합니다.

관리 권한이 할당된 그룹에 계정이 추가되거나 제거될 때 로그 항목 및 경보를 발행하도록 시스템을 구성합니다.

관리 계정으로 로그인에 실패하면 로그 항목을 발행하고 경고하도록 시스템을 구성합니다.

모든 시스템 및 네트워크 장치에서 로컬 로깅을 사용하도록 설정했는지 확인합니다.

이벤트 소스, 날짜, 사용자, 타임스탬프, 소스 주소, 대상 주소 및 기타 유용한 요소와 같은 자세한 정보를 포함하려면 시스템 로깅을 활성화합니다.

조직에서 완전히 지원되는 웹 브라우저와 이메일 클라이언트만 실행할 수 있도록 합니다. 이상적으로는 벤더에서 제공하는 최신 버전의 브라우저와 이메일 클라이언트만 사용하는 것이 좋습니다.

모든 엔터프라이즈급 AV 소프트웨어에는 이 기능이 있습니다. 중앙에서 관리되는 AV를 사용하면 개별 요구 사항을 쉽게 활성화할 수 있습니다.

AV는 서명만큼만 좋습니다. 순수한 서명 기반 탐지는 더 이상 실행 가능하지 않지만 이상 징후 기반 엔진도 정기적으로 업데이트해야 합니다. 업데이트가 자동으로 롤아웃되는지 확인하고 도구를 사용하여 서명이 실제로 최신 상태인지 확인합니다.

DISA 강화 가이드는 이러한 설정 등을 사용하도록 설정하는 방법에 대한 단계별 지침을 제공합니다.

대부분의 AV에는 기본적으로 이 기능이 켜져 있지만 실제로 여전히 활성화되어 있는지 확인하는 것이 여전히 중요합니다. USB 스틱을 통해 들어오는 맬웨어는 거의 모든 조직에서 실행 가능한 공격 벡터입니다.

스캔을 원하지 않는 것과 같은 이유로 마운트될 때 실행되는 것도 원하지 않습니다. 이것은 사용하도록 설정하는 매우 빠른 설정이며 CIS 및 DISA 강화 가이드에는 자동 실행 사용 안 함에 대한 단계별 지침이 있습니다. 일부 SCM 도구는 환경의 모든 엔드포인트를 신속하게 검사하여 이 설정이 비활성화되어 있는지 확인할 수 있습니다.

모든 시스템에 대해 정기적으로 자동 포트 검사를 수행하고 시스템에서 무단 포트가 탐지되면 경고합니다.

모든 네트워크 장치 구성을 사용 중인 각 네트워크 장치에 대해 정의된 승인된 보안 구성과 비교하고 편차가 발견되면 경고합니다.

모든 네트워크 장치에 보안 관련 업데이트의 안정적인 최신 버전을 설치합니다.

네트워크 기반 침입 탐지 시스템(IDS) 센서를 배포하여 비정상적인 공격 메커니즘을 찾고 조직의 각 네트워크 경계에서 이러한 시스템의 손상을 탐지합니다.

조직에서 정기적으로 액세스하지 않는 중요한 데이터 또는 시스템을 네트워크에서 제거합니다. 이러한 시스템은 가끔 시스템을 사용해야 하는 비즈니스 단위에서 독립형 시스템(네트워크에서 연결 해제됨)으로만 사용하거나 필요할 때까지 완전히 가상화되고 전원이 꺼져야 합니다.

직원들이 USB 드라이브에 있는 데이터의 위험을 인식할 수 있도록 교육을 제공하십시오. 그런 다음 조직의 중요한 데이터를 보호할 수 있는 도구를 제공합니다.

전송 중인 모든 중요한 정보를 암호화합니다.

유선 네트워크에 연결된 인증된 무선 액세스 포인트의 인벤토리를 유지 관리합니다.

현장 또는 원격 서비스 제공자에 있는 인증 시스템을 포함하여 조직의 각 인증 시스템에 대한 인벤토리를 유지 관리합니다.

저장할 때 모든 인증 자격 증명을 솔트로 암호화하거나 해시합니다.

모든 계정 사용자 이름 및 인증 자격 증명이 암호화된 채널을 사용하여 네트워크를 통해 전송되는지 확인합니다.

표준 비활성 기간 후에 워크스테이션 세션을 자동으로 잠급니다.

사용자가 시간, 워크스테이션 위치 및 기간과 같은 정상적인 로그인 동작에서 벗어날 때 경보를 표시합니다.

표준화되고 광범위하게 검토된 암호화 알고리즘만 사용합니다.

외부 엔터티가 보안 그룹에 연락할 수 있는 수단을 제공하는 것을 포함하여 소프트웨어 취약성에 대한 보고를 수락하고 해결하는 프로세스를 수립합니다.

특정 개인에게 컴퓨터 및 네트워크 인시던트 처리를 위한 직함과 의무를 할당하고 해결을 통해 인시던트 전반에 걸쳐 추적 및 문서화를 보장합니다.

주요 의사 결정 역할을 수행하여 인시던트 처리 프로세스를 지원할 관리 인력과 백업을 지정합니다.

인시던트 처리 팀에 보고하는 컴퓨터 예외 및 인시던트와 관련하여 모든 인력 구성원에 대한 정보를 게시합니다. 이러한 정보는 일상적인 직원 인식 활동에 포함되어야 합니다.

경영진이 승인하고 정보 보안 목표를 관리하기 위한 조직의 접근 방식을 명시하는 "정보 보안 정책"을 정의합니다. 정보 보안 정책은 다음과 같은 정보 보안 통제의 구현을 추가로 의무화하는 주제별 정책에 의해 지원됩니다.액세스 제어; 정보 분류(및 취급); 물리적 및 환경적 보안; 백업; 정보 전송; 맬웨어로부터 보호; 기술적 취약성 관리; 암호화 통제; 통신 보안; 개인 정보 보호 및 개인 식별 정보 보호; 공급업체 관계 및 최종 사용자 지향 주제: 1) 자산의 허용 가능한 사용; 2) 명확한 책상 및 명확한 스크린; 3) 정보 전송; 4) 모바일 장치 및 재택 근무; 5) 소프트웨어 설치 및 사용에 대한 제한.

자산 인벤토리에서 개별 자산 보호 책임이 식별되었는지 확인합니다. 정보 보안의 개발 및 구현에 대한 역할과 책임이 명확하게 정의되었는지 확인합니다.

승인된 전체 디스크 암호화 소프트웨어를 활용하여 모든 모바일 장치의 하드 드라이브를 암호화합니다.

직원 및 계약자에 대한 원격 액세스 정책을 적용합니다.

회사 자산에 대한 액세스 권한을 부여하기 전에 모든 직원과 계약자에 대해 배경 확인 검사를 수행해야 합니다.

모든 신입 사원 직원 또는 계약자가 정보 보안에 대한 책임을 포함하여 고용 약관에 서명하고 동의했는지 확인합니다.

하드웨어 자산 인벤토리에 각 자산의 네트워크 주소, 하드웨어 주소, 컴퓨터 이름, 데이터 자산 소유자 및 부서와 하드웨어 자산의 네트워크 연결 승인 여부가 기록되어 있는지 확인합니다.

하드웨어 자산 인벤토리에 각 자산의 네트워크 주소, 하드웨어 주소, 컴퓨터 이름, 데이터 자산 소유자 및 부서와 하드웨어 자산의 네트워크 연결 승인 여부가 기록되어 있는지 확인합니다.

직원과 협력업체가 조직 정보, 정보 처리 시설 및 자원과 관련된 자산의 정보 보안 요구 사항을 숙지하도록 합니다. 그들은 모든 정보 처리 자원의 사용과 자신의 책임 하에 수행되는 그러한 사용에 대해 책임을 져야 합니다.

클라이언트 인증서를 사용하여 조직의 신뢰할 수 있는 네트워크에 연결하는 하드웨어 자산을 인증합니다.

조직의 네트워크에 대한 모든 원격 로그인 액세스 권한이 있어야 전송 중인 데이터를 암호화하고 다단계 인증을 사용할 수 있습니다.

다단계 인증이 지원되지 않는 경우(예: 로컬 관리자, 루트 또는 서비스 계정) 계정은 해당 시스템에 고유한 암호를 사용합니다.

암호화 관련 정책이 존재하고 데이터 분류 요구 사항에 따라 적용, 구현 및 시행되는지 확인합니다.

키의 전체 수명주기 동안 공식 정책 및 절차에 따라 암호화 키 관리가 관리되는지 확인합니다.

직원과 계약자가 명확한 책상 정책을 조정하도록 합니다.

조직에서 완전히 지원되는 웹 브라우저와 이메일 클라이언트만 실행할 수 있도록 합니다. 이상적으로는 벤더에서 제공하는 최신 버전의 브라우저와 이메일 클라이언트만 사용하는 것이 좋습니다.

조직에서 완전히 지원되는 웹 브라우저와 이메일 클라이언트만 실행할 수 있도록 합니다. 이상적으로는 벤더에서 제공하는 최신 버전의 브라우저와 이메일 클라이언트만 사용하는 것이 좋습니다.

모든 시스템 및 네트워크 장치에서 로컬 로깅을 사용하도록 설정했는지 확인합니다.

무단 액세스로부터 로그를 안전하게 보호합니다.

중요한 데이터에 대한 액세스 또는 중요한 데이터에 대한 변경 사항에 대해 자세한 감사 로깅을 적용합니다(파일 무결성 모니터링 또는 보안 정보 및 이벤트 모니터링과 같은 도구 활용).

모든 유형의 통신 시설 사용을 통한 정보 전송을 보호하기 위한 공식적인 전송 정책, 절차 및 통제가 마련되어 있는지 확인합니다.

새로운 정보시스템 또는 기존 정보시스템 개선 사항에 대한 요구사항에 정보 보안 관련 요구사항이 포함되어 있는지 확인합니다.

비즈니스에 중요한 애플리케이션을 검토하고 테스트하여 운영 플랫폼이 변경되는 경우 조직 운영 또는 보안에 부정적인 영향을 미치지 않도록 합니다.

소프트웨어 패키지에 대한 수정을 권장하지 않거나 필요한 변경 사항으로 제한하고 모든 변경 사항을 엄격하게 통제합니다.

보안 코드 검토 및 취약성 스캔과 같은 보안 테스트가 개발 수명주기 동안 수행되는지 확인합니다. 식별된 취약성이 문서화되고 정정이 수행되었는지 확인합니다.

시스템 수용 테스트에 정보 보안 요구 사항 테스트 및 보안 시스템 개발 관행 준수가 포함되어 있는지 확인합니다.

시스템 수용 테스트에 정보 보안 요구 사항 테스트 및 보안 시스템 개발 관행 준수가 포함되어 있는지 확인합니다.

비즈니스를 수행하거나 벤더에게 자산에 대한 액세스 권한을 부여하기 전에 공급자와 함께 정보 보안 통제를 해결하고 해결하는지 확인합니다.

비즈니스를 수행하기 전에 위험 평가를 수행하고 공급업체와 벤더에게 자산 및 보안 통제에 대한 액세스 권한을 부여하고 요구 사항이 공급업체/벤더 계약에 합의되고 문서화되었는지 확인합니다.

공급업체가 정기적으로 모니터링하고 검토하여 계약의 정보 보안 사용 약관을 준수하고 정보 보안 인시던트 및 문제가 적절하게 관리되는지 확인합니다.

서비스 제공이 변경될 때마다 제3자 위험 평가가 수행되도록 합니다. 기존 정보 보안 정책, 절차 및 통제의 유지 및 개선을 포함하여 공급업체의 서비스 제공에 대한 변경 사항이 관리되도록 합니다.

공식적인 인시던트 관리 프로그램이 마련되어 있고 모든 직원 및 외부 공급업체가 보안 인시던트를 인식하고 보고하는 방법에 대한 교육을 받았는지 확인합니다.

보고 및 에스컬레이션에 대해 합의된 보안 이벤트 및 인시던트 분류 척도를 포함하는 공식적인 정보 보안 이벤트 관리가 있는지 확인합니다. 위협 및 위험 분류 체계가 문서화되었는지 확인합니다. 인시던트 응답 알림이 유지관리되는지 확인합니다. 인시던트를 분류하는 데 사용할 영향 임계치가 문서화되었는지 확인합니다.

문서화된 절차에 따라 정보 보안 사고에 대응하고 관리하는지 확인합니다.

인시던트 관리 프로그램에 인시던트 모니터링 절차가 포함되어 인시던트를 문서화하고 보안 이벤트가 주기적으로 분석되어 향후 인시던트를 줄이도록 합니다.

정보 보안 및 정보 보안 관리의 연속성이 비즈니스 연속성 계획 또는 재해 복구 계획에 계획되고 포함되는지 확인합니다.

비즈니스 연속성 또는 재해 복구 계획이 공식적으로 문서화되었는지 확인합니다.

비즈니스 연속성 또는 재해 복구 계획이 매년 연습되어 불리한 상황에서 적절한 보안 통제가 유효하고 효과적인지 확인합니다.

장애 조치(failover) 및 복구 구성요소가 의도한 대로 작동하는지 확인합니다.

입법자, 규제, 계약 및 비즈니스 요구 사항에 따라 기록과 데이터가 손실, 파괴, 위조, 무단 액세스 및 무단 해제로부터 보호되도록 합니다.

개인 식별 정보의 개인 정보 보호 및 보호가 해당하는 경우 법률 및 규정에 따라 보호되고 처리되도록 합니다.

규정 준수 및 규정 요구 사항에 대한 범위 내 시스템 구성 테스트가 정기적으로 수행되도록 합니다. 시스템의 베이스라인 구성 표준이 문서화되고 업계 베스트 프랙티스를 기반으로 하는지 확인합니다.

조직이 소유하거나 위탁한 이전에 발급된 모든 물리적 및 전자 자산의 반환을 포함하도록 해지 프로세스가 공식화되었는지 확인합니다.

• HR 프로파일[sn_hr_core_profile]
• 자산 [alm_asset]

소프트웨어 자산이 관리되고 정기적으로 업데이트되는지 확인합니다.

• 소프트웨어 자산 관리 코어
• 소프트웨어 자산 관리 전문가 코어

• 소프트웨어 설치 [cmdb_sam_sw_install]
• 소프트웨어 모델 [cmdb_software_product_model]

위험 등급 프로세스를 활용하여 발견된 취약성 정정 우선순위를 지정합니다.

권한이 없는 브라우저나 이메일 클라이언트 플러그인 또는 추가 애플리케이션을 제거하거나 비활성화합니다.

• 소프트웨어 자산 관리 코어
• 소프트웨어 자산 관리 전문가 코어

• 소프트웨어 설치 [cmdb_sam_sw_install]
• 소프트웨어 모델 [cmdb_software_product_model]

사용 중인 프로그래밍 언어 및 개발 환경에 적합한 보안 코딩 방법을 설정합니다.

직원의 역할과 인시던트 처리/관리 단계를 정의하는 문서화된 인시던트 응답 계획이 있는지 확인합니다.