보안의 개방성과 투명성을 제고하는 지속적인 리더십

blog-open-and-transparent-security-720x420-A.png

Elastic Security는 오랫동안 오픈 소스에 뿌리를 두고 개방적인 개발 과정을 거쳐 2019년에는 SIEM을 선보일 수 있었습니다. 2020년에는 Elastic의 개방성에 더욱 집중하고자 공개 리포지토리인 detection-rules 리포지토리시작으로 Elastic 사용자들과 협업하고 Elastic이 고객을 보호하는 방법에 대한 투명성을 확보했습니다. 이 리포지토리는 SIEM 및 Security Analytics 사용 사례에 중점을 두고 있으며 아직 Elastic Endpoint Security 아티팩트를 포함하지 않았습니다. 드디어 오늘 새로운 공개 리포지토리인 protections-artifacts를 오픈함으로써 보안에 대한 Elastic의 지속적인 노력을 사용자와 공유할 수 있게 되었습니다.

protections-artifacts 리포지토리에서는, Elastic Endpoint Security가 Windows, macOS 및 Linux 운영 체제에서 위협을 차단하는 데 사용하는 보호 로직을 찾아보실 수 있습니다. 여기에는 파일과 메모리 모두에 적용되는 YARA 시그니처뿐만 아니라 EQL로 작성된 Malware 동작 보호 규칙이 포함됩니다. 이것은 하위 집합이나 샘플링이 아니라 위협을 적극적으로 차단하는 규칙과 시그니처의 전체 집합입니다. Elastic 제품에서 이러한 기능을 업데이트하면, 해당 기능이 차단할 위협 및 동작을 정확히 식별하는 방식을 투명하게 보여주는 변경 사항이 적용됩니다.

투명한 접근법

SIEM 공급업체에서는 탐지 로직을 공유하는 것이 관례이지만, 엔드포인트 제품에서는 그렇지 않습니다. 그리고 Elastic은 이러한 현 상황에 변화가 필요하다고 보고 있습니다. 엔드포인트 위협 탐색 및 대응(EDR)과 엔드포인트 보호 플랫폼(EPP)은 블랙박스처럼 여겨지며 많은 공급업체들이 사용자에게 충분한 정보와 인사이트를 제공하지 않습니다. 이러한 비즈니스 방식은 사용자를 교육하고 권한을 부여하는 데 거의 도움이 되지 않습니다. 

Elastic은 사용자와의 관계를 파트너십으로 보고 있습니다. 이러한 관계에서 투명성은 상호 성공의 전제 조건이며 분명한 이유로 상호 투명성을 전제로 한 보편적인 방식이 적용되어야 합니다. 보안 솔루션 구축의 핵심은 리스크 완화입니다. 그리고 공급업체가 위험도를 낮추는 데 도움이 되는지 사용자가 확인할 수 있는 유일한 방법은 공급업체의 보안 방식을 사용자에게 투명하게 공개하는 것뿐입니다. 투명성을 통해, 사용자는 제품의 강점을 이해할 수 있으며 자신에게 가장 위험도가 높은 오차를 줄이이기 위한 노력을 기울일 수 있게 됩니다.

[관련 기사: Forrester, Elastic을 엔드포인트 위협 탐지 및 대응(EDR) 웨이브에서 우수 기업(Strong Performer)으로 선정]

사용자를 우선으로 하는 해결책

Elastic은 사용자들에게 개방성과 투명성을 제공하는 것을 최우선의 가치라 생각하며 장기적으로는 모두의 보안을 향상시키는 길이라 믿습니다. 이러한 결정을 내리기까지 수많은 고민을 거듭했습니다. 투명성의 정신으로, Elastic은 일부 사람들이 제기할 것으로 예상되는 다음과 같은 몇 가지 부정적인 인식에 대한 우리의 견해를 공유하겠습니다.

우리는 투명성 때문에 더 많은 대중의 비판과 조사를 받을 수도 있습니다. 우리가 진정으로 관심을 갖는 것이 사용자에게 권한을 부여하고 사용자를 보호하는 것이라면, 제품의 작동 방식을 숨길 이유가 없습니다. Elastic은 이미 공개적으로 이용 가능하며, 우리 제품을 조사하는 뛰어난 연구자들을 포함하여 수천 명의 사람들이 매일 우리를 다운로드하고 시험하고 있습니다. Elastic은 이를 환영합니다. 그리고 탐지 격차가 발견됨에 따라 대부분의 연구자들이 우리와 협력하기를 바랍니다. 

Elastic은 이 접근법을 받아들이지 않는 사람들도 있을 것이라고 생각하며 또 어떤 일부는 오차를 강조하며 우리를 끌어내리려는 시도를 할 수 있다는 것도 알고 있습니다. 건설적인 평가와 피드백은 성장의 자양분입니다. Elastic은 변함없이 발전하며 그 과정 역시 공유해 나갈 것입니다. 

어떤 분들은 공격자들이 우리 제품을 우회하는 것이 더 쉬울 수 있다고 생각하실 수 있습니다. 어떤 분들은 비오픈된 제품이 공격자로 하여금 위협을 탐지하고 차단하는 방법을 이해하는 데 어려움을 겪을 것이라고 생각할 수 있습니다. 하지만 현실은 그렇지 않습니다. 공격자들은 엔드포인트의 디스크 또는 메모리에서 이를 덤핑하는 것을 통해서든, 제품에 대한 오류 테스트를 통해서든 결국 탐지 로직을 얻을 수 있습니다. 불투명을 앞세우는 보안은 실질적인 보안이라고 할 수 없습니다. 우리는 특정 보호나 규칙 뒤에 숨겨진 로직에 대한 공격자의 지식에 근본적으로 탄력적인 보호를 구축해야 한다고 믿습니다. 우리는 공격자가 활용하지 못하는 데 어려움을 겪는 기술을 목표로 하며, 여러 계층의 보호 기능을 제공하므로 어느 한 부분을 우회하더라도 더 많은 보호 기능으로 보안을 강화합니다.

경쟁사들이 우리의 탐지 로직을 도용할 가능성도 배제할 수 없습니다. 개방형 접근 방식을 통한 우리의 목표는 사용자에게 권한을 부여하고 투명성을 높여 보안을 의미 있게 개선하는 것입니다. 이것이 다른 보안 업체들에게 이익이 될 수도 있습니다. 일부 업체들은 라이선스 및 기타 제한 사항에 관계없이 댓가를 치르지 않고 이익만 취할 수도 있습니다. 그러나 이것은 모든 보안 관행을 개선하는 것을 의미합니다. 우리는 사용자를 돕기 위한 작업을 수행함에 따라 경쟁 우위가 강화될 것이라고 확신합니다. 이는 또한 단지 탐지 로직에 관한 것만이 아닙니다. Elastic Security는 탐지 로직을 실행하고 위협을 차단할 수 있는 최상의 아키텍처를 사용자에게 제공합니다.

열린 대화

방성을 핵심 가치로 여기는 Elastic에서는 사용자들과의 열린 대화를 언제나 환영합니다. GitHub 이슈를 통해 함께 대화하고, Elastic의 커뮤니티 Slack에서 함께 채팅하고, Elastic의 토론 포럼에서 질문을 해주세요. 어떤 것들이 필요한지 알려주세요. 왜 Elastic이 어떤 선택을 했는지 물어보세요. 더 좋은 것은, 세계와 탐지 로직을 공유하고 우리가 기준을 높이는 것을 도와주시는 것입니다. 

탐지 로직을 공유하기 위한 우리의 초대는 글로벌 사용자 기반 이상입니다. EPP/EDR 공급업체 간의 현상 유지는 투명성을 향해 발전해야 합니다. 우리는 우리가 이 일을 주도하는 기업이라는 것을 알고 있으며 다른 업체들도 함께 해주기를 바랍니다. 

요약하면, 엔드포인트 보호에 투명성을 추가하는 것이 사용자에게 적합하다고 생각하여 그렇게 했습니다. Elastic은 다른 공급업체들이 이를 따르고 엔드포인트 보안에 더 큰 투명성을 가져다 주기를 바랍니다. Elastic Endpoint Security를 업데이트하면 YARA 시그니처 및 동작 규칙이 업데이트되는 것을 보실 수 있니다.

protections-artifacts를 계속 지켜봐 주시고 Elastic Security의 계속되는 엔드포인트 보안 투명성 향상을 눈여겨 봐주세요. 앞으로 추가 엔드포인트 보호 기능에 대한 아티팩트를 릴리즈할 계획입니다. 또한 Elastic Security Labs를 통해 Elastic에서 진행 중인 보안 연구에 대한 더 많은 인사이트를 확인하는 것도 잊지 마세요.  

다음으로 이 포스팅을 읽어보세요. SIEM으로 더 많은 데이터를 가져오면서 운영 효율성 향상.