사이버 보안 전략

안전한 사이버 공간을 설계하고 구현하기 위해 몇 가지 엄격한 전략이 적용되었습니다. 이 장에서는 다음을 포함하여 사이버 보안을 보장하기 위해 사용되는 주요 전략에 대해 설명합니다.

  • 안전한 사이버 생태계 조성
  • 보증 프레임 워크 생성
  • 개방형 표준 장려
  • 규제 프레임 워크 강화
  • IT 보안을위한 메커니즘 생성
  • 전자 거버넌스 서비스 보안
  • 중요 정보 인프라 보호

전략 1 − 안전한 사이버 생태계 구축

사이버 생태계에는 다양한 이유로 서로 상호 작용하는 장치 (통신 기술 및 컴퓨터), 개인, 정부, 민간 조직 등과 같은 다양한 개체가 포함됩니다.

이 전략은 사이버 공격을 방지하고, 효율성을 줄이거 나, 사이버 공격에서 복구 할 솔루션을 찾기 위해 사이버 장치가 미래에 서로 협력 할 수있는 강력하고 강력한 사이버 생태계를 구축한다는 아이디어를 탐구합니다.

이러한 사이버 생태계는 장치 그룹 내에서 그리고 장치 그룹간에 안전한 작업 방식을 구성 할 수 있도록 사이버 장치에 내장 된 기능을 갖습니다. 이 사이버 생태계는 소프트웨어 제품을 사용하여 보안 취약점을 감지하고보고하는 현재 모니터링 기술로 감독 할 수 있습니다.

강력한 사이버 생태계에는 세 가지 공생 구조가 있습니다. Automation, Interoperability,Authentication.

  • Automation − 고급 보안 조치의 구현을 용이하게하고 신속성을 향상 시키며 의사 결정 프로세스를 최적화합니다.

  • Interoperability− 공동 작업을 강화하고 인식을 개선하며 학습 절차를 가속화합니다. 상호 운용성에는 세 가지 유형이 있습니다.

    • 의미론 (예 : 공통 이해에 기반한 공유 어휘)
    • Technical
    • 정책-포괄적 인 사이버 방어 구조로 다른 기여자를 동화하는 데 중요합니다.
  • Authentication − 제공하기 위해 작동하는 식별 및 검증 기술을 개선합니다 −

    • Security
    • Affordability
    • 사용 및 관리 용이성
    • Scalability
    • Interoperability

공격 비교

다음 표는 원하는 사이버 생태계 기능에 대한 공격 범주비교를 보여줍니다 -

사례 연구

다음 다이어그램은 Guilbert Gates for The New York Times, 인터넷을 통해이란 공장이 해킹 된 방법을 보여줍니다.

Explanation−이란 원자력 발전소를 자동으로 가동하는 프로그램이 설계되었습니다. 안타깝게도 위협을 인식하지 못한 작업자가 프로그램을 컨트롤러에 도입했습니다. 이 프로그램은 식물과 관련된 모든 데이터를 수집하고 정보 기관에 정보를 보냈고 정보 기관은 웜을 개발하여 식물에 삽입했습니다. 벌레를 사용하여 식물은 악당에 의해 통제되어 더 많은 벌레가 생성되었으며 결과적으로 식물은 완전히 실패했습니다.

공격 유형

다음 표는 공격 범주를 설명합니다-

공격 범주 공격에 대한 설명
마찰

네트워크 및 시스템을 손상시키는 데 사용되는 방법. 그것은 다음을 포함합니다-

  • 분산 서비스 거부 공격
  • 서비스 또는 응용 프로그램에 대한 액세스를 손상 또는 거부
  • 자원 고갈 공격
악성 코드 소유자의 동의없이 정상적인 컴퓨터 작동을 방해하고 정보 자산을 손상시키는 데 사용되는 모든 악성 소프트웨어. 이동식 장치에서 실행하면 맬웨어의 위협이 높아질 수 있습니다.
해킹

비 윤리적 인 액세스를 얻기 위해 의도적으로 약점을 악용하려는 시도로 일반적으로 원격으로 수행됩니다. 다음을 포함 할 수 있습니다.

  • 데이터 유출 공격
  • 주입 공격 및 기능 남용
  • spoofing
  • 시간 상태 공격
  • 버퍼 및 데이터 구조 공격
  • 자원 조작
  • 훔친 자격 증명 사용
  • backdoors
  • 암호에 대한 사전 공격
  • 인증 악용
사회 전술

속임수 및 조작과 같은 사회적 전술을 사용하여 데이터, 시스템 또는 제어에 대한 액세스 권한을 획득합니다. 그것은 포함합니다-

  • 사전 문자 (위조 설문 조사)
  • 피싱 선동
  • 대화를 통한 정보 검색
부적절한 사용 (내부자 위협)

조직의 정책을 위반하는 조직 내 개인의 데이터 및 통제 권한 남용. 그것은 포함합니다-

  • 무단 소프트웨어 설치
  • 민감한 데이터 제거
물리적 조치 / 장비 분실 또는 도난

다음과 같은 인간 주도 공격-

  • 도난당한 ID 토큰 및 신용 카드
  • 카드 리더기 및 POS 단말기 조작 또는 교체
  • 센서 방해
  • 랩톱과 같이 조직에서 사용하는 컴퓨팅 장치의 도난
다중 구성 요소 여러 고급 공격 기술 및 구성 요소를 포함하는 단일 연결 기술.
다른

같은 공격-

  • 공급망 공격
  • 네트워크 조사

전략 2 − 보증 프레임 워크 생성

이 전략의 목적은 전통적인 제품, 프로세스, 사람 및 기술을 통해 글로벌 보안 표준을 준수하는 개요를 설계하는 것입니다.

국가 안보 요건을 충족하기 위해 Cybersecurity Assurance Framework개발되었습니다. "활성화 및 승인"조치를 통해 중요한 인프라 조직과 정부를 수용합니다.

Enabling행동은 상업적 이익이없는 자치 기관인 정부 기관에 의해 수행됩니다. "국가 보안 정책 준수 요구 사항"과 IT 보안 구현 및 준수를 가능하게하는 IT 보안 지침 및 문서의 발행은 이러한 기관에서 수행합니다.

Endorsing 의무적 자격 기준을 충족 한 후 수익성있는 서비스에 관련된 조치는 다음과 같습니다.

  • ISO 27001 / BS 7799 ISMS 인증, IS 시스템 감사 등은 본질적으로 컴플라이언스 인증입니다.

  • 'Common Criteria'표준 인 ISO 15408 및 IT Security 제품 평가 및 인증 인 Crypto 모듈 검증 표준입니다.

  • IT 보안 인력 교육과 같은 IT 보안 구현에서 소비자를 지원하는 서비스입니다.

신뢰할 수있는 기업 인증

인도 IT / ITES / BPO는 아웃소싱 시장의 발전과 함께 보안 및 개인 정보 보호에 대한 국제 표준 및 모범 사례를 준수해야합니다. ISO 9000, CMM, Six Sigma, Total Quality Management, ISO 27001 등이 일부 인증입니다.

SEI CMM 레벨과 같은 기존 모델은 소프트웨어 개발 프로세스 전용이며 보안 문제를 해결하지 않습니다. 따라서 자체 인증 개념과 미국 CMU의 SW-CMM (Software Capability Maturity Model) 라인을 기반으로 모델을 만들기 위해 여러 노력을 기울이고 있습니다.

산업과 정부의 이러한 연합을 통해 생성 된 구조는 다음과 같이 구성됩니다.

  • standards
  • guidelines
  • practices

이러한 매개 변수는 중요한 인프라의 소유자와 운영자가 사이버 보안 관련 위험을 관리하는 데 도움이됩니다.

전략 3 − 개방형 표준 장려

표준은 지리적 지역 및 사회 전반에 걸쳐 정보 보안 관련 문제에 접근하는 방법을 정의하는 데 중요한 역할을합니다. 개방형 표준은 다음과 같이 권장됩니다.

  • 주요 프로세스의 효율성 향상,
  • 시스템 통합 활성화,
  • 사용자가 새로운 제품이나 서비스를 측정 할 수있는 매체를 제공하고,
  • 새로운 기술 또는 비즈니스 모델을 정렬하기위한 접근 방식을 구성합니다.
  • 복잡한 환경을 해석하고
  • 경제 성장을지지하십시오.

ISO 27001 [3]과 같은 표준은 고객이 프로세스를 이해하고 감사 비용을 줄일 수있는 표준 조직 구조의 구현을 장려합니다.

전략 4 − 규제 프레임 워크 강화

이 전략의 목적은 안전한 사이버 공간 생태계를 만들고 규제 프레임 워크를 강화하는 것입니다. NCIIPC (National Critical Information Infrastructure Protection Center)를 통해 사이버 위협을 처리하기 위해 24X7 메커니즘이 구상되었습니다. 컴퓨터 비상 대응 팀 (CERT-In)은 위기 관리를위한 노드 기관으로 지정되었습니다.

이 전략의 일부 하이라이트는 다음과 같습니다.

  • 사이버 보안 연구 및 개발 촉진.

  • 교육 및 훈련 프로그램을 통한 인적 자원 개발.

  • 공공이든 민간이든 모든 조직이 사이버 보안 이니셔티브를 담당 할 CISO (최고 정보 보안 책임자)로 일할 사람을 지정하도록 권장합니다.

  • 인도 군은 방위 네트워크 및 시설의 사이버 보안 강화의 일환으로 사이버 사령부를 구축하는 과정에 있습니다.

  • 공공-민간 파트너십의 효과적인 구현은 끊임없이 변화하는 위협 환경에 대한 솔루션을 만드는 데 큰 도움이 될 파이프 라인에 있습니다.

전략 5 − IT 보안을위한 메커니즘 생성

IT 보안을 보장하기위한 몇 가지 기본 메커니즘은 링크 지향 보안 조치, 종단 간 보안 조치, 연관 지향 조치 및 데이터 암호화입니다. 이러한 방법은 내부 응용 프로그램 기능과 제공하는 보안 속성이 다릅니다. 간략하게 논의하겠습니다.

링크 지향 측정

데이터의 최종 소스 및 대상에 관계없이 두 노드간에 데이터를 전송하면서 보안을 제공합니다.

종단 간 측정

통신 링크의 중단이 보안을 위반하지 않는 방식으로 소스에서 대상으로 보호 된 방식으로 PDU (Protocol Data Unit)를 전송하는 매체입니다.

연관 지향 측정

연관 지향 조치는 모든 연관을 개별적으로 보호하는 수정 된 종단 간 조치 세트입니다.

데이터 암호화

기존 암호의 몇 가지 일반적인 기능과 최근 개발 된 공개 키 암호 클래스를 정의합니다. 권한이있는 사람 만 해독 할 수있는 방식으로 정보를 암호화합니다.

전략 6 − 전자 거버넌스 서비스 보안

전자 거버넌스 (e-governance)는 책임있는 방식으로 공공 서비스를 제공하기 위해 정부에서 가장 소중한 도구입니다. 안타깝게도 현재 시나리오에서는 인도의 전자 거버넌스를위한 전용 법적 구조가 없습니다.

마찬가지로 인도에서는 공공 서비스의 의무적 인 전자 전달에 대한 법률이 없습니다. 그리고 충분한 사이버 보안없이 전자 거버넌스 프로젝트를 실행하는 것보다 더 위험하고 번거로운 것은 없습니다. 따라서 특히 국가가 카드를 통해 매일 거래를 할 때 전자 거버넌스 서비스를 확보하는 것이 중요한 과제가되었습니다.

다행히 인도 중앙 은행은 2013 년 10 월 1 일부터 시행 할 수있는 인도의 카드 거래에 대한 보안 및 위험 완화 조치를 시행했습니다. 고객이 아닌 은행에 보안 카드 거래를 보장하는 책임을 맡았습니다.

"전자 정부"또는 전자 정부는 다음과 같은 목적으로 정부 기관이 정보 및 통신 기술 (ICT)을 사용하는 것을 말합니다.

  • 공공 서비스의 효율적인 제공
  • 내부 효율성 개선
  • 시민, 조직 및 정부 기관 간의 쉬운 정보 교환
  • 행정 프로세스의 재구성.

전략 7 − 중요 정보 인프라 보호

중요한 정보 인프라는 국가의 국가 및 경제 안보의 중추입니다. 여기에는 발전소, 고속도로, 교량, 화학 공장, 네트워크는 물론 수백만 명의 사람들이 매일 일하는 건물이 포함됩니다. 이는 엄격한 공동 작업 계획과 체계적인 구현으로 보안을 유지할 수 있습니다.

사이버 위협이 발생하지 않도록 중요 인프라를 보호하려면 체계적인 접근 방식이 필요합니다. 정부는 국가의 중요한 인프라에 대한 중단 시도 및 악영향에 대한 완화 노력을 예방, 대응 및 조정하기 위해 정기적으로 공공 및 민간 부문과 적극적으로 협력해야합니다.

정부는 사이버 및 기타 위협 정보를 공유하여 서비스 및 그룹을 강화하기 위해 사업주 및 운영자와 협력해야합니다.

공통 플랫폼을 사용자와 공유하여 의견과 아이디어를 제출해야하며,이를 함께 사용하여 중요한 인프라를 보호하고 보호하기위한 더 강력한 기반을 구축 할 수 있습니다.

미국 정부는 2013 년에 핵심 인프라 서비스 제공과 관련된 사이버 보안 위험 관리를 우선시하는 "중요 인프라 사이버 보안 개선"행정 명령을 통과 시켰습니다. 이 프레임 워크는 조직이 다음을 수행 할 수있는 공통 분류 및 메커니즘을 제공합니다.

  • 기존 사이버 보안 베어링을 정의하고
  • 사이버 보안에 대한 목표를 정의하고
  • 지속적인 프로세스의 틀 내에서 개발 기회를 분류하고 우선 순위를 지정합니다.
  • 사이버 보안에 대해 모든 투자자와 소통하십시오.