Steven Maijoor: 최첨단 기술 - DNB, 새로운 사이버 보안 테스트 프레임워크 출시

[힘힘]

Steven Maijoor: 최첨단 기술 - DNB, 새로운 사이버 보안 테스트 프레임워크 출시

2024년 4월 10일 암스테르담에서 열린 ART(Advanced Red Teaming) 출시 행사에서 네덜란드 은행 감독 담당 전무이사 Steven Maijoor가 연설한 내용입니다.

본 연설문에 표현된 견해는 발표자의 견해이며 BIS의 견해가 아닙니다.

중앙은행 연설  |  

2024년 4월 16일

스티븐 마이주어 (  Steven Maijoor)

PDF 전문 

(8kb)

  |  4페이지

안녕하세요 여러분, 환영합니다.

오늘 우리는 축하해야 할 충분한 이유가 있습니다. 왜냐하면 우리는 사이버 공격에 대한 우리 사회의 회복력을 테스트하기 위해 완전히 새로운 프레임워크를 출시하고 있기 때문입니다. 우리는 'Advanced Red Teaming'을 의미하는 ART를 출시합니다.

보통 축하할 일이 있을 때 케이크가 있죠. 어쩌면 양초일 수도 있습니다. 그리고 확실히 좋은 단어가 적힌 카드입니다.

오늘날에는 그런 것이 없습니다. 하지만 우리에게는 비터볼렌이 있습니다.

그리고 금융 부문, 의료 부문, 통신 부문, 정부의 CISO 여러분도 계십니다.

그리고 De Nederlandsche Bank의 동료들은 ART 개발에 온 마음과 영혼을 쏟았습니다.

그리고 이것을 합치면 양초, 카드, 케이크보다 훨씬 더 나은 것을 얻게 됩니다. 이유가 있어요. 사이버 위협, 사이버 공격, 사이버 범죄로부터 우리 사회를 보호하기 위한 목적입니다.

불행히도 그것은 필요합니다. 당신은 이것을 알고 있습니다. 그리고 우리는 이것을 알고 있습니다. 오늘날 여기 있는 우리 모두는 전 세계 다양한 분야에 걸쳐 사이버 공격이 범죄 및 군사 툴킷의 표준 도구가 되었다는 것을 알고 있습니다. 또는 동기에 관계없이 모든 유형의 위협 행위자의 툴킷에 포함됩니다.

예를 들어, 우크라이나에서 진행 중인 전쟁은 참호에서 승리할 뿐만 아니라, 땅에 군화를 신고 차근차근 지형을 회복할 것입니다. 또한 손을 키보드에 얹고 자유를 수호하기 위해 온라인에서 조금씩, 바이트 단위로 싸워야 합니다.

최근에 목격한 것처럼, 우크라이나 통신사 Kyivstar가 공격을 받았을 때입니다. 폭탄이 아닙니다. 미사일이 아닙니다. 그러나 사이버 공간을 통해. 이 공격은 우크라이나 사회의 중요한 인프라를 강타했으며 2,400만 명의 사람들이 의사소통에 어려움을 겪게 되었습니다.

이 공격은 또한 상당한 2차 피해를 입혔습니다. Kyivstar에 대한 공격은 회사의 SIM 카드를 사용하는 ATM에도 영향을 미쳤기 때문입니다. 사람들이 현금을 얻기 위해 고군분투하게 됩니다.

본국에 더 가까운 우리의 군사 정보부는 중국 해커들이 네덜란드의 중요한 인프라에 침투하여 활성화될 때까지 휴면 상태로 있다가 세계 절반 떨어진 ​​곳에서 큰 피해를 입힐 위협을 심으려고 시도하고 있다고 경고했습니다.

제가 말했듯이, 우리 모두는 이러한 위협을 알고 있습니다.

실제로 DNB의 사이버 전략 중 하나는 금융 부문에 대한 사이버 위협을 모니터링하고 보고하는 것입니다. 더욱이 우리는 사이버 위기와 레드팀 훈련도 조직하고 조정합니다.

그러나 사실은 여전히 ​​불편한 만큼 간단합니다. 사이버 위협은 사라지지 않을 것입니다. 그리고 사이버 위협의 규모와 범위가 증가하는 것은 새로운 소식이 아닙니다. 실제 공격으로 인해 발생하는 비용과 재난도 마찬가지입니다.

하지만 새로운 것은 오늘 우리가 출시하는 프레임워크인 ART입니다. 한 가지 위안이 되는 사실은 여러분과 제가 공통된 목적을 공유하고 있다는 것입니다. 우리는 사이버 위협과의 싸움을 멈추지 않을 것입니다.

그럼 ART가 무엇인지, 왜 우리가 ART를 만들었는지 좀 더 자세히 말씀드리겠습니다.

ART를 사용하면 자산을 훔치는 것이 아니라 약점을 봉쇄하기 위해 핵심 IT 인프라를 해킹하기 위해 자발적으로 등록합니다.

ART 테스트를 수행한다는 것은 실제 사이버 공격을 최대한 가깝게 시뮬레이션한다는 것을 의미합니다. 이를 위해 공격은 그럴듯한 위협 인텔리전스 기반 시나리오를 실행합니다. 따라서 이는 국가 또는 비국가, 지정학적 또는 범죄 등 기존 악의적 행위자의 실제 능력과 동기를 기반으로 합니다.

테스트 중에는 조직 내부와 외부 모두에서 소수의 사람들만이 실제 공격에 대해 알고 있습니다.

따라서 ART는 약점을 식별하는 데 도움이 됩니다. 악의적인 행위자가 얼마나 많은 피해를 입힐 수 있는지, 반칙을 발견하는 데 걸리는 시간, 다시 일어나 완화하는 데 필요한 시간을 확인하는 데 도움이 됩니다. 손상.

많은 분들이 이렇게 생각하는 것을 들을 수 있습니다. 우리는 이미 그러한 프레임워크를 갖고 있지 않습니까?

그렇습니다. ART는 Threat-Intelligence Based Ethical Red-teaming을 의미하는 이전의 성공적인 프레임워크인 TIBER를 기반으로 구축되었습니다. TIBER는 대형 은행, 결제 기관 등 핵심 금융 인프라의 사이버 보안을 테스트하기 위해 2016년에 개발된 윤리적 해킹 프레임워크입니다. TIBER를 사용하면 기관의 인력, 프로세스 및 핵심 IT 인프라를 목표로 삼을 수 있습니다.

ART 개발은 성공적인 배포와 품질 표준 측면 모두에서 8년간의 TIBER 경험을 통해 엄청난 이점을 얻었습니다.

따라서 ART를 사용하면 처음부터 다시 시작할 필요가 없습니다. 어떤 의미에서 우리는 거인의 어깨 위에 설 수 있습니다. 특히 TIBER가 유럽 전역의 17개 중앙은행에 채택되었기 때문에 이는 타당하다고 생각합니다. 그리고 유럽 공동 입법자들에 의해서도 2025년 1월부터 TIBER가 유럽 법률에 포함되어 TLPT(Threat-Led Penetration Testing)라고 불릴 것입니다.

그럼에도 불구하고 TIBER 또는 TLPT와 함께 더 많은 것이 필요하다는 것은 분명했습니다. 자발적인 테스트 프레임워크에 대한 필요성으로 요약될 수 있는 요구 사항은 보다 모듈화되어 조직의 특정 테스트 요구 사항에 보다 쉽게 ​​맞춰질 수 있습니다. 귀하의 조직. 그리고 ART는 이러한 요구에 대한 우리의 대답입니다. 즉시 사용할 수 있습니다.

소규모 조직이든 대규모 조직이든 전자가 그다지 중요하지 않으며 때로는 그 반대인 경우도 있습니다.

고급 사이버 보안 정책이 있거나 규모와 범위 측면에서 더 제한된 정책이 있는지 여부.

또는 금융 부문에서 사업을 운영하든, 의료, 통신 부문, 정부 등 다른 분야에서 활동하든 상관없습니다.

오늘 후반에는 ART에 대한 더 자세한 프레젠테이션을 듣게 될 것입니다. 이를 통해 ART, TIBER 또는 TLPT에 관한 모든 질문을 할 수 있는 기회가 제공됩니다. 하지만 실제로 이 새로운 프레임워크와 ART를 사용하면 사이버 보안을 테스트하지 않을 이유가 없습니다. 테스트하고 싶은 아주 구체적인 실제 시나리오인지, TIBER를 향한 디딤돌로 활용하고 싶은지, 심지어 TIBER를 뛰어넘는 테스트로 설정하고 싶은지. ART의 모듈식 설정은 테스트에 더 쉽게 접근할 수 있게 하여 전반적인 사이버 탄력성을 향상시킵니다.

그리고 그것은 필요합니다.

이는 불쾌한 현실이지만 본질적으로 숫자 게임에 실제 생명이 달려 있습니다. 1과 0의 게임. 금융 전문 지식, 의료 서비스, 커뮤니케이션 인프라 또는 정치적 대표자로서 1과 0을 보호하고 귀하와 귀하에게 의존하는 사람들을 보호하기 위해 시간과 돈을 투자하는 게임입니다.

귀하와 나는 사이버 보안을 테스트하고 필요한 경우 이를 개선하는 것이 해커를 차단하는 효과적인 방법이라는 것을 알고 있습니다. 당신과 나는 그렇게 하려면 시간과 돈이 필요하다는 것을 알고 있습니다. 그러나 우리 모두는 귀하의 시간과 돈이 무제한이 아니라는 것을 알고 있습니다.

이것이 바로 우리가 ART를 출시하는 이유입니다. 우리가 강력하게 믿는 새로운 프레임워크. 금융 부문과 그 이상의 요구에 부응하여 구축된 자발적인 모듈식 프레임워크입니다. 파일럿 테스트에서 그 가치가 입증된 것; 그 동안 ECB로부터 고무적인 반응을 얻었습니다.

그러므로 저는 오늘 여기 있는 모든 사람들에게 귀하에게 적합한 어떤 형태로든 ART를 사용하기 시작하라고 요청하고 싶습니다. 이 최첨단 프레임워크를 사용하여 사이버 보안 상태를 파악하고 사이버 위협에 맞서 공동 투쟁에서 향상된 입장을 취하는 것입니다.

그리고 소문을 퍼뜨리는 것을 주저하지 마십시오. 오늘 우리가 이야기하고 있는 ART는 소수를 위한 것이 아니라 다수를 위한 것입니다.

친애하는 CISO 여러분, 오늘 여기 금융 부문, 의료 부문, 통신 부문, 네덜란드 정부 등 많은 분들을 뵙게 되어 마음이 따뜻해졌습니다. 여러분 각자는 우리 사회에서 중요한 역할을 합니다. 소프트웨어, 서비스 제공업체 또는 사이버 위험을 공유하는지 여부에 관계없이 우리가 더 많이 연결될수록 그 역할은 더욱 중요해집니다. 

어쩌면 우리는 나중에 다시 모일 수도 있고, 그다음엔 케이크도 먹을 거예요. 그리고 양초. 그리고 카드. 그리고 우리는 ART의 성공, 즉 사이버 위협에 맞서 싸우는 공통 목적의 성공을 축하할 수 있기를 바랍니다.

우리는 아직 거기에 이르지 못했지만, 나는 우리가 그 어느 때보다 더 강하고 탄력적으로 거기에 도달할 것이라고 확신합니다.

우리는 함께 우리 조직, 직원, 사회를 보호할 것입니다.

그리고 오늘은 또 다른 진전을 이루는 날입니다. 그리고 그것만으로도 축하할 이유가 됩니다. 그러니 축하하자!

감사합니다.

저자 소개

스티븐 메이주어

이 작가의 작품 더보기

관련 정보

• "De Nederlandsche Bank"의 추가 연설

• 국가 페이지: 네덜란드