보안 인시던트 관리에 대한 Atlassian의 접근 방식
보안 인시던트 처리에 대한 Atlassian의 접근 방식
Atlassian은 고객 정보를 보호하고 가장 신뢰할 수 있고 안전한 서비스를 제공하기 위해 종합적인 보안 조치를 실행합니다. 그러나 보안 인시던트는 언제라도 발생할 수 있으며 여전히 발생하고 있다는 사실을 잘 알고 있습니다. 따라서 인시던트가 발생할 경우 효과적인 처리 방법을 마련하는 것 또한 중요합니다.
결과적으로 Atlassian은 서비스 또는 인프라에 영향을 미치는 보안 인시던트에 대응하기 위해 명확하게 정의된 접근 방식을 보유하고 있습니다.Atlassian의 인시던트 대응 접근 방식은 제품 및 인프라에 대한 종합적인 로깅 및 모니터링을 포함하고 있어 인시던트 가능성을 신속하게 감지할 수 있으며, 인시던트의 모든 단계에서 수행해야 할 작업을 명시하는 신중하게 정의된 프로세스로 뒷받침됩니다. 또한 효과적인 대응에 상당한 경험을 가진 고도의 자격을 갖춘 대기 중 인시던트 관리자 팀의 지원을 받습니다. Atlassian은 또한 다양한 외부 전문가의 지원을 받아 최대한 효과적으로 조사하고 대응할 수 있습니다.Atlassian은 NIST 800-61 컴퓨터 보안 인시던트 처리 가이드의 에 따라 인시던트 관리 접근 방식을 구성했으며 Verizon VERIS 프레임워크에 따라 인시던트를 분류합니다.
Atlassian의 철학 및 접근 방식에 대한 자세한 정보
Atlassian은 보안 인시던트를 고객 데이터, Atlassian 데이터 또는 Atlassian 서비스의 기밀성, 무결성 또는 가용성에 현재 또는 향후 부정적인 영향을 미치는 사례로 간주합니다.
이전에는 '의도적'이라는 단어로 영향을 검증했지만 우발적인 데이터 유출 등이 포함되도록 해당 단어를 제거했습니다.
보안 인시던트에 대응하는 방법의 핵심은 Atlassian의 가치를 지키고, 특히 "고객에게 #@!%를 삼간다"는 원칙을 확인하는 것입니다.Atlassian은 항상 고객의 최대 이익에 부합하는 방식으로 보안 인시던트를 처리하며 고객이 Atlassian 제품을 사용하여 탁월한 경험을 유지할 수 있도록 최상의 프로세스를 마련하는 데 주력하고 있습니다. 이를 위해 아래에 설명된 기능을 통합하는 강력한 인시던트 대응 프로세스를 개발했습니다.
인시던트 가능성을 빠르게 감지할 수 있는 몇 가지 방법
Atlassian은 보안 인시던트 가능성의 지표가 될 수 있는 제품 및 인프라의 장애 또는 이상을 감지하기 위한 모니터링 메커니즘을 갖추고 있습니다. 이러한 시스템은 추가 조사가 필요한 활동이 감지되면 즉시 알려줍니다. Atlassian은 단일 위치에서 로그를 수집하는 집계 로그 캡처 및 분석 플랫폼을 보유하고 있어 분석가가 빠르고 철저하게 조사할 수 있으며 사이트 안정성 엔지니어가 플랫폼을 모니터링하여 항상 사용 가능하도록 보장합니다. 또한 보안 정보 및 이벤트 애플리케이션에 경고를 만들어서 팀에 사전에 알립니다.
또한 버그 바운티 프로그램, 고객 지원 포털, 정의된 보안 이메일 받은 편지함 및 전화번호를 포함하여 취약점이나 인시던트를 인지할 수 있는 외부 보고 채널을 유지 관리합니다.
보안 인시던트 관리에 대해 확립된 프레임워크
인시던트 대응 프로세스가 일관적이고 반복 가능하며 효과적이도록 인시던트 대응 프로세스의 각 단계에서 취해야 할 단계가 명시된 내부 프레임워크가 있습니다. Atlassian은 다양한 인시던트 유형에 효과적으로 대응하기 위해 취해야 할 단계를 자세히 정의하는 플레이북을 지속적으로 업데이트하고 있습니다. 전반적인 Atlassian의 대응 프레임워크는 다음과 같은 내용을 다룹니다.
인시던트 감지 및 분석 – 인시던트 가능성에 대한 초기 알림을 받은 후 보안 인시던트가 발생했는지 여부를 확인하는 방법(오탐을 최소화하기 위해)을 포함하여 공격 벡터, 보안 침해 범위 및 Atlassian과 고객에게 미치는 영향을 파악하는 단계입니다.
인시던트 심각도 분류 – 적절한 분석을 통해 어떤 인시던트가 발생했는지 파악한 후에는 이 정보를 사용하여 인시던트의 심각도를 결정합니다. Atlassian은 인시던트에 대해 다음 네 가지 심각도 수준 중 하나를 지정합니다.
인시던트 심각도 설명 | |
심각도 | 설명 |
0 | 최대 영향을 미치는 중요 인시던트 |
1 | 매우 큰 영향을 미치는 중요 인시던트 |
2 | 심각한 영향을 미치는 주요 인시던트 |
3 | 적은 영향을 미치는 경미한 인시던트 |
Atlassian은 다양한 지표를 사용하여 인시던트의 심각도를 판단합니다. 지표는 관련 제품에 따라 달라지지만, 전체 서비스 중단이 있는지 여부(및 영향을 받은 고객 수), 핵심 기능이 손상되었는지 여부 및 데이터 손실이 있었는지 여부 등을 고려합니다.
억제, 근절 및 복구 – 인시던트 심각도를 고려하여 인시던트를 억제하고 근본적인 원인을 근절하며 복구 프로세스를 시작하여 최대한 빨리 평상시의 업무로 복귀하는 데 필요한 단계를 결정하고 구현합니다. 당연히 이 단계에서 취하는 조치는 인시던트의 성격에 따라 크게 달라집니다. Atlassian 고객에게 이익이 되는 경우(또는 법적 또는 계약상의 의무에 따라 요구되는 경우) 인시던트 대응 프로세스의 이 단계에서 인시던트 및 고객에게 미칠 수 있는 영향에 대해 고객과 소통합니다.
알림 - Atlassian은 고객의 데이터가 확인된 인시던트와 관련되는 경우 부당한 지연 없이 고객에게 알리는 것을 목표로 합니다. 처음에는 세부 사항이 적을 수 있지만 가능한 경우 사용 가능한 모든 세부 정보를 제공합니다.
강력한 인시던트 사후 검토 프로세스 – 모든 인시던트가 해결된 후 인시던트에서 배워야 할 점은 무엇이며 기술 솔루션 개발, 프로세스 개선 및 추가 모범 사례 도입에 도움이 될 수 있는 부분을 살펴봅니다. Atlassian은 이를 바탕으로 계속해서 고객에게 최고의 경험을 제공하고 향후 악의적인 행위자의 공격을 더욱 어렵게 만들 수 있습니다.
명확하게 정의된 역할 및 책임
Atlassian이 경험하는 모든 인시던트는 고도로 자격을 갖추고 경험이 풍부한 주요 인시던트 관리자(MIM)가 관리합니다. MIM은 일반적으로 보안 관련 결정을 내리고, 대응 프로세스를 감독하며, 효과적인 대응 프로세스를 위해 내부적으로 작업을 할당합니다.MIM은 인시던트의 조사 및 분석을 주도하는 인시던트 분석가뿐만 아니라 대응 프로세스를 지원하는 다양한 다른 역할의 지원을 받습니다.대부분의 경우 인시던트가 둘 이상의 로캘에 영향을 미친다면 인시던트에 두 명의 MIM을 할당하여 대응 프로세스를 계속 책임지고 억제 또는 복구 활동이 지연되거나 시간차에 의한 영향을 받지 않게 합니다.
대규모 인시던트의 경우 대응 프로세스를 관리하기 위해 다른 팀(일반적으로 사이트 안정성 엔지니어링)의 MIM이 호출되는 경우가 있습니다. 보안 인시던트와 관련하여 Atlassian이 할당하는 역할 및 책임에 대해 자세히 알아보세요.
필요한 경우 외부 전문가의 도움 요청
경우에 따라 인시던트 조사를 지원하는 외부 전문가의 도움이 필요할 수 있습니다. Atlassian은 소송을 지원하는 e-Discovery(전자증거개시)를 위한 심층적인 포렌식 분석 또는 포렌식 파악이 필요할 경우에 대비하여 전문 사이버 보안 컨설턴트 및 포렌식 전문가의 서비스를 이용합니다.
자체 도구를 사용하여 보안 인시던트를 관리하는 방법
Atlassian은 최대한 체계적이고 일관되며 동적으로 인시던트를 처리할 수 있도록 특수하게 구성된 버전의 자체 제품을 사용합니다. 여기에는 다음이 포함됩니다.
Confluence – Confluence를 사용하여 중앙 위치에서 공동 작업을 통해 인시던트 대응 프로세스를 만들고, 문서화하며, 업데이트하고, 이러한 프로세스를 모든 직원에게 배포하며 과거 인시던트를 기반으로 배운 점에 따라 빠르게 업데이트할 수 있도록 지원합니다. 또한 Confluence를 사용하여 플레이와 헌팅을 기록합니다.
Jira – Jira를 사용하여 의심스러운 인시던트에 대한 초기 조사를 처리하기 위해 티켓을 만들고, 초기 조사에서 인시던트가 발생한 것으로 확인되는 경우 대응 프로세스를 지원하고 추적합니다.이러한 티켓을 통해 인시던트와 관련된 정보를 집계하고 해결 방법을 개발하며 기타 실행 작업을 수행할 수 있습니다(예: 대응 프로세스의 일부로 작업을 위임하고 필요한 경우 회사 내 다른 팀에 연락). 또한 Jira를 사용하여 실행한 헌팅과 각 헌팅의 성공 또는 실패를 추적합니다.
Bitbucket – 특정 유형의 인시던트와 함께 발생하는 고유한 예외적 사례 문제에 대한 코드 기반 솔루션을 개발할 때 Bitbucket을 소스 코드 제어 도구로 사용합니다. 그런 다음 개발한 솔루션을 내부적으로 공동 작업하고 테스트할 수 있으며 비공개로 유지하며 필요에 따라 빠르게 반복할 수 있습니다. 또한 Bitbucket을 지속적 통합/지속적 배포 계획과 함께 사용하여 인시던트의 원인을 완화하거나 향후 인시던트를 감지 또는 예방하는 데 도움이 되는 코드를 롤아웃합니다.
궁극적으로 이러한 도구를 사용하면 유형과 관계없이 모든 인시던트가 일정 수준의 구조와 친숙함을 갖도록 보장하는 대응 프레임워크를 구축할 수 있으므로 최대한 빨리 해결책을 찾을 수 있습니다.
요약
Atlassian은 고객에게 제공하는 것과 동일한 도구를 중심으로 보안 인시던트를 처리하기 위해 강력하고 종합적인 접근 방식을 활용합니다. 이를 통해 높은 수준의 일관성, 예측 가능성 및 효과를 바탕으로 인시던트에 대응하고 고객, 파트너, Atlassian 자체의 피해 가능성을 최소화할 수 있습니다.
더 자세히 알아보시겠습니까?
보안 인시던트 처리에 대한 접근 방식과 보안에 대한 일반적인 접근 방식을 알아보기 위해 액세스할 수 있는 몇 가지 기타 리소스를 게시했습니다.