2021.08.05 Day 1-1
Keynote: Supply Chain Infections and the Future of Contactless Deliveries
요약 및 정리
코로나로 인한 원격 근무로 인하여 외부에서의 접근이 증가하고 있으며 이에 따라 공격의 진입지점 또한 확장되고 있습니다. 세계적으로 가장 문제가 되고 있는 사이버 공격은 SolarWinds, CodeCov, Kaseya 등의 랜섬웨어로, 공격자들은 랜섬웨어에 필요한 데이터를 얻기 위해 아직 패치되지 않은 연구된 제로데이를 사용하거나, 피싱 메일, 자격증명 탈취 등의 공격을 사용합니다. APT 를 성공적으로 수행하기 위해서는 하나의 제로 데이 취약점이 아니라 성공으로 이어지기 까지의 제로데이 체인이 필요합니다. 하나의 체인을 구성하기까지의 비용이 공격 성공시에 얻을 수 있는 비용보다 크므로, 공격자들은 경제적인 측면에서 피싱 및 자격증명 탈취 공격을 보통 수행합니다. 공격자들은 목표되는 시스템을 탈취하기 위해 직접적으로 진입하기보다는 공급망을 이용하여 진입합니다. 이를 사전에 예방하고 탐지하기 위해서는 외,내부에서의 접근 권한 통제와 포렌식 기술을 활용할 수 있는 환경을 구축하는 것이 필요합니다.
2020 년에는 코로나로 인한 원격 근무 환경 때문에 Supply Chain 의 무결성을 확보하는데 그 어느때보다 어려워 졌습니다. Supply Chain 의 문제는 새로운 것이 아니라 매년 복잡성이 증가하고 있는 문제입니다. 연계된 공급 업체가 확장 되면서 관리하기 위한 더욱 강화된 인증 프로세스가 필요하며, 이는 네트워크에 진입지점과 관리를 새롭게 도입해야 하는 문제가 있습니다. 코로나로 인해 원격 근무가 갑작스럽게 증가하면서 개인용 기기와 회사의 기기를 분리하는 것은 현재로서는 어려운 일입니다. 기존에 소수의 원격 액세스를 위해 설계된 기업 환경은 모든 서비스 개발자에게 공개 되어야 했으며, 이는 새로운 작업 방식 뿐만 아니라 새로운 침입 기회 또한 확대 되었습니다. SolarWinds, CodeCov, Kaseya 와 같은 랜섬웨어는 공급망을 위협하고 있습니다. 인터넷으로 연결된 세상에서, 소프트웨어 전송 시스템이 안전하지 않은 세상은 아무것도 안전하지 않은 것입니다.
범죄자들이 원하는 것은 비밀 데이터를 읽고 처리해서 랜섬웨어 공격에 필요한 정보로 가공하는 것입니다. 범죄자들은 아무 이유 없이 데이터를 수집하지 않습니다. 목적은 돈을 벌기 위해 데이터에 접근하기 원하고 정보를 돈으로 변환할 수 있기를 바랍니다. 공격자들은 데이터에 접근하기 위해 위험을 감수하고 적절히 취약한 진입지점을 찾아야 합니다. 일단 진입해도 바로 필요한 데이터에 근접하지 못할 수 있습니다. 따라서 실제로 원하는 데이터에 접근하기 위해 권한 상승 도구와 기법이 필요합니다. APT 공격에 성공하기 위해서는 하나의 취약점이 필요한 것이 아니라 취약성의 사슬이 있어야 합니다. ZERO DAY CAHIN 를 구축해야 하는데 이것을 생성하는 비용은 매우 비쌉니다. 이는 취약점을 발견할 수 있는 기술을 보유하고 있더라도 비용 때문에 제한하는 경우가 많다는 것을 의미합니다. 제로데이를 사용해서 공격하게 되면 공격에 성공해서 얻을 수 있는 가치에 비해 너무 많은 비용이 듭니다. 따라서 랜섬웨어 공격자들은 피싱, 크레덴셜 탈취, 메크로 문서 보내기 등에 의존하는 경향을 보입니다. 세계에서 일어나는 가장 큰 문제를 일으키는 침입은 랜섬웨어에 기반을 두고 있습니다. 랜섬웨어들 중 상당수가 공급망에서 일어나는 것으로 보이며 대게 이를 목표로 무차별적인 타겟팅이 이뤄집니다. 공급망을 목표로 하는 공격에서 주목해야 할 점은 유출된 데이터들의 사용입니다. 보안 연구에 대해 접근해서 취약점을 발견하고 패치가 이루어지기 전 사이에 공격자들에게 넘어가는 식으로 이미 연구된 제로데이를 탈취한 사례가 있습니다. 제로데이는 대부분 원격 RCS 를 대상으로 이뤄집니다. 하나의 공급망이 탈취되면 다른 공급망으로 이동할 수 있는 가능성이 높아지는 효과도 있습니다.
공급망을 노리는 침입을 해결할 수 있는 방법은 기반 기술을 수정하거나, 모든 업데이트를 끄면 됩니다. 하지만 업데이트를 하지 않으면 안전하지 않을 수도 있습니다. 혹은 휴대 전화에 있는 접근 권한을 관리하는 것입니다. 사용 권한 시스템은 앱이 허용되어야 하는 작업을 기계가 읽을 수 있도록 합니다. 그리고 이 범주에서 앱이 손상될 수 있다는 것을 뜻합니다. 공급 단계에서 위협을 최소화하기 위해 google android 의 플레이 스토어와 IOS 에서 앱을 스캔하는 기능이 필요합니다. 현재 IOS 에서는 이 기능이 존재하지 않습니다 또한, 모바일 장치에 보안 에이전트를 설치하고 포렌식 수행할 수 있는 기능을 넣는 것이 필요합니다. 이건 둘 다 사후 방지 차원에서 필요합니다.
공급망을 노리는 위협이 증가하고 있으며, 모바일 플랫폼을 통한 위협이 증가하고, 상당수의 ZERO DAY 가 악용 되고 있습니다. 피해를 줄이기 위해 포렌식을 위한 데이터 수집 방안 마련과 공급 단계에서의 스캔이 필요할 것으로 보입니다. 사용 권한에 대한 권한 부여, 애플리케이션 외부에서뿐만 아니라 내부적으로 권한이 매우 높은 애플리케이션에 대한 관찰이 필요하며, 합법적인 타사 애플리케이션 스캔 허가가 필요합니다.
2021.08.05 Day 1-2
AI Red Team and Attack Path Modeling
요약 및 정리
모의 해킹 연습을 위하여 실제와 동일한 환경에서, 사이버 범죄가 실제로 발생 했을 때 실시간으로 보안 위협을 탐지하는 방안을 마련하기 위한 훈련을 위한 RED TEAM AI 를 구축했습니다. 어떤 내용을 바탕으로 탐지하지 않는지, 어떤 부분이 취약한 부분인지 자율적으로 학습하고 위협을 미리 예측하고 방어할 수 있는 기틀을 마련할 수 있습니다. 위협 활동을 탐지할 수 있는 기술이나 IOC(Indicator Of Compromise)와 같은 내용을 미리 파악하는 것이 필요하지만, 쉽게 제공되지 못한다는 점에서 AI 를 이용하여 학습함으로써 미지의 위협을 방지할 수 있습니다.
방어를 위해서는 공격이 어떤 도구를 사용할 지, 공격자의 작업에 대한 이해를 바탕으로 해야 합니다. 조직의 네트워크가 어떻게 설계 되었는지, 어떤 용도로 사용되는지에 대한 이해가 필요합니다. 정상적인 구성에서 빠진 내용을 알아야 합니다. 인공지능이 어떤 내용을 탐지 하지 않는지에 대한 것을 파악해야합니다. 표준에서 벗어난 것들을 찾는 것은 악성활동을 탐지하는 능력 측면에서 유용합니다. 특정 IP 주소가 어느 클래스에 속하는지 또는 특정 도구가 사용되었는지 알아야 하는 알려진 IOC 집합에는 의존하지 않고, 사이버 범죄가 실제로 발생 했을 때 실시간으로 보안 위협을 탐지하는 강력한 방안이 될 수 있습니다. 우리가 이런 배제된 것들을 이용하여 AI 를 학습함으로써 미지의 위협을 탐지하고 방어할 수 있습니다. 이런 활동을 탐지할 수 있는 기술이나 IOC 는 쉽게 제공되지 않았지만, 연구의 핵심은 인공지능을 이용하여 새롭고 다양한 방법으로 위협을 감지하고 인간이 볼 수 있는 방안 대로 대응을 하려는 것이 목적입니다. 위협을 감지하는 것 뿐만 아니라 장치를 설치하는 것에 관한 것이든, 스스로 대응할 수 있는 방안들을 마련했습니다. 통신을 끊어 격리 시키는 등. 공격자의 동작을 자동으로 간섭할 수 있고, 자율적으로 대응합니다. Trace 자동화와 프로세스 및 활동 사이버 보안에 대한 NET 이 가지고 있는 장점입니다. 사이버 보안 분야가 인간적이고, 강력하고, 지식이 풍부해야 하며, 가독성이 높지 않고 서비스의 질이 바뀔 수 있다는 것은 사실입니다. 보통 1 년에 한번 분기 마다 한번 드물게 한번 어쩌면 그 한번 마저도 없었을 지도 모릅니다. 정말 커다란 사건이 일어났을 때만 사이버 보안 팀을 가질 수도 있습니다. 따라서 사이버 보안 방어의 공개 테스트는 많은 레이아웃에서 반복할 수 없고, 평가 하기 힘들 다는 것입니다. 사이버 보안의 접근성과 수준을 높이기 위한 스스로 학습이 가능한 AI 가 있습니다. 기본적으로 조직이나 특정 피해자, 또는 일부 그룹을 목표로 만약 이게 피해자 프로파일과 자연 언어 처리를 이해하게 된다면, 이 사람들이 어떤 주제에 대해 이야기 하는지, 누가 그 팀에 있는 매니저 A 가 공격 받기 쉬운지 계층 구조를 파악해 보는 것이 중요합니다. 피해자 프로파일을 이해하고 특정 페이로드를 첨부하는 것이 아니라 공격자로서 해야할 유일한 일은 인공지능이 하는 일을 yes 하는 것이 유일할 것입니다. 자체 학습 ai 로 증강 및 자동화 할 수 있는 공격형 보안 운영, 다음은 주제에 대한 자연어를 계층화 하여 사람의 작업을 수동으로 하지 않고도 컨텍스트를 얻을 수 있는 맥락을 이해할 수 있습니다. 자율 AI 레드팀핑은 방어 시스템을 전환하고 인간 팀을 증강하며 ‘셀프러닝 AI 루프’ 사이클을 제공하여 단계별로 개선되며 보안에 대한 완전한 자율적 접근 방식을 제공함으로써 실제 공격이 공격하기도 전에 완화하고 데 도움이 됩니다. 이 기술을 이용하여 공격이 발생할 때를 예측하거나 방지할 수 있습니다.
2021.08.05 Day 1-3
Current Trends in the Cyber Threat Landscape
요약 및 정리
세계적으로 랜섬웨어를 중심으로 사이버 위협 행동과 이에 대한 방어 체계를 구축하는 것이 주요 이슈가 되었습니다. 공격자들은 운영시스템, 주요 인프라와 같은 사회 인프라에 간섭할 수 있는 것들에 접근하고 있습니다. 다크웹을 이용하여 네트워크 취약점, 악성 프로그램 및 툴 공유와 같은 상용 기술의 불법 복제 등이 빠르게 전파되고 있습니다. 저렴하고 접근성이 쉬운 도구를 이용하여 새로운 위협이 나타나고 있습니다. 카시야 랜섬웨어1 사건과 같이 서비스 제공업체들은 수십 수백명의 다른 공급 업체와 연결되어 있어 오랜 기간동안 연계된 서비스에서의 랜섬웨어가 상주해 있으며 피해가 지속적으로 발생할 가능성이 높습니다. 의학 연구와 서비스를 대상으로 한 랜섬웨어에 대한 우려가 높아지고 있으며 위협행위가 합법적인 도구를 사용하는 경우 탐지가 어렵습니다. 이를 인지하고 의료와 각종 서비스들의 보안 교육과 피해 발생시의 회복 체계를 구축하는 것이 중요하다는 것을 강조하고 있습니다.
Accenture 사이버 위협 인텔리전스 팀은 주요 사이버 위협 동향을 조사하고 다크웹 및 사고 대응을 수행하는데 많은 시간을 보냅니다. 세계적으로 랜섬웨어를 주심으로 사이버 위협 행동과 토론이 이뤄졌습니다. 랜섬웨어 공격자들은 기존의 피해자들로부터 벗어나 운영 시스템, 주요 인프라와 같은 것들에 가까이 다가가고 있습니다. 네트워크 취약점, 악성 프로그램 및 툴 공유와 같은 상용 기술의 불법 복제 등 빠르게 전파되고 있습니다. 훨씬 저렴하고 쉬운 도구를 포함한 웹 포럼등으로 새로운 위협이 나타나고 있습니다. 랜섬웨어 공격자들은 게이트웨이서비스(VPNs)와 같은 것들을 대상으로 하고 있습니다. 태양풍과 카시야를 예로 들어 서비스 제공업체자들은 3 자를 통해 수십명, 수백명의 다른 잠재적 피해자들에게 접근 권한을 부여합니다. 그래서 6~12 개월 동안 랜섬웨어가 사라지거나 수가 줄어드는 것을 볼 수 없었습니다. 환자 데이터와 의학 연구를 대상으로 한 랜섬웨어는 생명을 위협하는 범죄 입니다. 위협 행위가 합법적인 도구를 사용하는 경우 탐지가 어렵고 자원의 우선순위를 지정하기 어렵습니다 악성코드는 다크웹에서 판매, 구입되며 저렴하고 매우 빠르게 전파 됩니다. 공격자들이 손쉽게 구한 공격 도구로 인해 공급자들은 포인트 탐지 및 대응, 안티1바이러스 소프트웨어에 의존합니다. 그러나, 공격이 발생하면 툴키드일 지라도, 위협 요인이 될 가능성이 높습니다. ITOT 융합으로, 의료기기 용 인터넷을 통하여 대형 엑스레이 기계부터 MRI 까지 다양한 기기들이 인터넷에 연결되어 있습니다. 병원은 네트워크 상으로 패치를 적용하고 모니터링 하며 취약점을 살펴 봐야 할 필요성이 있습니다. 법률기관, 의료기관의 파트너, 공급업체에게 정보를 공유할 때, 이러한 보안 위협 탐지 정보를 제공함으로써 위협에 대한 인식과 경각심을 가지고, 대비를 할 수 있게 해야 합니다. 사전 예방하는 보안이 위협을 방지하는데 도움이 될 것이고, 랜섬웨어 공격을 대비하여 시뮬레이션하고 과도한 ID 및 액세스 관리를 제거하여 데이터가 있는 곳을 파악해야 합니다. 또한 장애 발생 대응을 위해 사전 예방적 보안으로 백업 환경을 갖추고 공격이 일어날 경우 빨리 회복 할 수 있도록 합니다. 이러한 공격들의 복잡도와 규모가 증가하는 것에 대비하여 보안 인재를 고용하고 보안 기술에 대비할 수 있는 인재를 키워야 하는 것이 중요합니다. 또한, 보안 교육에 많은 사람들이 참여 할 수 있도록 환경을 구축하는 것이 중요할 것 입니다.
2021.08.05 Day 2-1
Keynote: Hacking the Cybersecurity Puzzle
요약 및 정리
사이버 보안 및 인프라 보안국(CISA)의 신임이사 Jen Easterly 연설로 보안 사업에서의 해커,정부 및 민간 사업자들의 협력과 정보공유에 대한 중요성에 대해 강조했습니다. 사이버 공간에서의 위협 뿐만 아니라 물리적인 세계와 융합된 하이브리드 범죄(절도와 사기)에 대해서도 예방책이 필요성을 말하고, 대량의 데이터를 다루는 시기에, 사이버 보안 체계 구축을 위한 세계적인 문화를 구축해야 한다고 말합니다.
사이버 보안 및 인프라 보안국(CISA)의 신임이사 Jen Easterly 연설로 해커, 정부 및 민간 사업자들이 협력하여 사이버 위협에 대비하기 위해 투명성과 정보 공유, 파트너와 협업 현재와 미래의 인력이 위협으로부터 보호 할 수 있는 올바른 기술과 지식을 갖추도록 격려하는 연설과 동시에 자신의 성장 과정을 이야기하며 어떻게 사이버 보안 전문가로서 성장하게 되었는지를 퍼즐에 빗대어서 설명합니다. 사이버 공격에 대한 문제는 세계적인 문제이고, 인터넷 망을 구성하는 것은 하나의 국가, 하나의 사업 자가 아니라 다른 여러 나라에 분산되어 분포 되어 있습니다. 이것들은 모두 연결되어 있기 때문에 하나의 인프라에 문제가 있는 경우 다른 나라의 누군가와 의논을 해야 될 필요성이 있습니다. 따라서 인프라를 구축할 때 표준이 필요하고, 이것은 많이 사용되는, 크게 개발된 표준으로 최소한의 작업을 수행해야 합니다. 무임 승차 문제는 단기적 자기 이익 대 장기적 집단 이익 사이의 균형을 파괴합니다. 모두 자신의 이익을 추구하기 때문에 정부의 역할이 필요합니다. 화재에 대비하여 세금을 내고 , 화재가 나면 소방서를 통해 화재를 진압하는데 도움을 줄 것입니다. 하지만 정부차원에서 대응 문제가 모두 해결되지는 않을 것임으로 특정 범주에서 어떤 측면이 정부가 집단적 문제를 해결할 수 있는지 논의하고 관계를 구축하는 것이 필요합니다. 은행에 대한 대규모 DDoS 공격으로 인하여 금융 인프라에 대한 취약성이 조명되고 사이버 보안 융합센터가 구축되었습니다. 확장되어 인텔리전스와 대응 훈련을 통합하는 융합 복원 센터를 구축하였고, 바이러스와 공격에 대한 변화에 대비하여 사이버 공간과 물리적인 공간에 대한 하이브리드 공격에 대비해야 할 필요성이 있습니다. 사기와 절도가 원격으로 작업 할 수 있는 환경을 예로 들수있습니다. IPHONE 이 출시되고 트위터와 FACEBOOK 이 전 세계적으로 확장되면서 수많은 데이터를 처리해야 되는 상황입니다. 전 세계는 엄청난 양으로 디지털화 되어 데이터의 속도가 매우 다양합니다. 더 많은 플랫폼과 장치를 연결함에 따라 삶의 질이 향상되고 문제를 빠르게 결하는데 도움이 되고 있습니다. 코로나 19로 인하여 높은 위협에 처해있는 의료부문에 대한 랜섬웨어 공격을 보면, 사이버 중단으로 인해 인명 손실이 발생할 수 있는 상황입니다. 데이터를 무기화하고 네트워크의 취약성을 위협하여 개인정보 또는 보안의 기밀정보를 위협하고 있습니다. 하이브리드 공공-민간 협업 협력이 활성화되어 사이버 및 물리적 인프라에 대한 위험을 관리하기 위한 노력이 필요합니다. 취약점 공개 플랫폼은 인터넷을 안전한 환경으로 만드는데 일조하고 있습니다. 취약점을 식별하여 신속하게 완화할 수 있도록 하는 작업은 안전한 사이버 생태계를 만드는 기초가 됩니다. 또한 사이버 보안 인력 강화의 중요성에 대해 강조합니다. 인재를 양성하기 위한 교육 프로그램과 장학금 제도를 마련했고, 프레지던트 컵 사이버 보안 대회를 개최가 추진되었습니다. 사이버 공격을 초기단계에서 방어하기 위해서는 네트워크 방어가 근본이 되어야 하는데 이를 위해서 강력한 암호화를 갖추어야 하고, 이것이 근본적인 해결책입니다. 가장 중요한 것은, 협업과 팀워크, 신뢰와 투명성을 통하여 사이버 보안 위협에 대한 정보를 공유하고, 관리해야 하는 문화가 형성되어야 합니다.
2021.08.05 Day 2-2
Chip Chop - Smashing the Mobile Phone Secure Chip for Fun and Digital Forensics
요약 및 정리 스마트폰의 인증을 우회하여 자료에 대한 디지털 포렌식 획득을 용이하게 하는 것을 목표로, 버퍼 오버 플로를 통해 얻어낸 AES 암호키를 활용하여 1 분 38 초 만에 스마트폰 PIN 이 풀리는 시연 영상을 보여 주었습니다. 스마트폰의 구조와 취약점에 대해 생소했는데 이번 세션을 통하여 접할 수 있었습니다. 디지털 포렌식 툴 셀러브라이트나 MD-RED 에 모바일 잠금 해제 기능에 사용되는 취약점과 같은 기능을 하는 CVE-2020-28341 를 발견하고, 이를 시연하는 세션이었습니다.
eSE(Embedded Secure Element) 하드웨어 형태의 하드웨어 보안 모듈은 중요한 시스템 기능과 암호화된 사용자 데이터의 보안을 강화하기 위해 휴대폰에 도입되었습니다. Android 에서 이 개념은 “strongbox” 및 “변조 방지 하드웨어”(TRH)와 같은 이름으로 사용됩니다. 스마트폰의 암호화 키 자료에 액세스 하려면 소크라테스 방식(양자 암호키 분배)를 깨야 합니다. Common Criteria EAL 5+(AVA_VAN.5) 인증 eSE, S3K250AF 을 대상으로 원격 공격을 시연하였습니다. 악용될 수 있는 중요한 0-day 취약점을 발견하여 암호화된 FW 업데이트에 사용되는 포함된 AES 키를 노출시키는데 성공했습니다 현재는 이 취약점이 패치된 상태 입니다. (CVE-2020-28341 / SVE-2020-18632). 1 분 38 초 만에 PIN 이 풀리는 것을 시연했고, 얻을 수 있는 모든 디스 어셈블된 코드를 얻어, 모든 종류의 리버싱 엔지니어링을 통해 버퍼 오버 플로를 통해 얻어낸 반환 주소의 OFFSET 과 OFFSET 을 알 수 있었습니다. 모바일 인증을 우회를 통해 디지털 포렌식 획득을 용이하게 하는데 이바지 할 수 있습니다.
2021.08.05 Day 2-3
Action Bias and the Two Most Dangerous Words in Cybersecurity
요약 및 정리
사이버 보안에 대한 예방 대책을 어떤 기술이 필요하다라는 접근 방식이 아닌 사람들의 행동 경제학을 가지고, 효율적인 예방 방법에 대한 것을 강의한 세션 입니다. 사용자가 원하는 서비스의 목적을 달성하고, 범죄자들이 데이터 탈취 및 서비스 방해의 목적을 방해하기 위해 적절한 수준의 보안 예방 대책을 마련해야 할 필요성을 말합니다. 적절한 수준이란, 어떤 공격에 대비하기 위하여 시스템의 가용성을 해치거나 방어를 위해 과대 비용을 들이지 않는 것을 뜻합니다. 모든 공격의 진입 성공은 예상치 못한 일이고, 피싱과 침입 탐지 시, 과대 대응하지 않고, 적정한 수준의 방어체계 가이드라인을 세우고, 합리적인 행동을 하기 위한 교육 시행이 필요함을 말하고 있습니다. 모든 범죄와 서비스 제공의 목표는 경제적 가치의 창출입니다. 이를 위해서 적정한 수준의 예방 가이드 라인과 훈련이 필요함을 말한 세션입니다.
이 세션의 발표자는 사이버 보안 협력 센터에서 국가 안보국의 기술 연구원 Josiah Dykstra 으로 국가 안보 시스템과 방위 산업 기지에 대한 위협을 완화하는데 이바지 하는 연구원입니다. 그리고 Doug Huff 는 행동 경제학자로 사람들의 비합리성과 행동 경제학, 행동 정신병 개념에 대해 이야기 하고 생각하는 분야의 권위자 입니다. 합법적인 사용자가 하는 일의 주요 목표는 사용자가 원하는 목적을 달성하는 것입니다. 온라인으로 물건을 구매할 수 있어야 하고 은행을 통해 재정 관리를 할 수 있어야 합니다. 화재가 났을 때는 화재를 진압하고, 이를 복구한후 다시 발생하지 않도록 돕는 것이 일이지만, 사이버 보안에서는 재발생이 되지 않도록 방지하는데 매우 중점을 둡니다. 사용자의 기본 사용 목적을 최적화 하지 않더라도 이는 사이버 보안 전문가들의 직업이기 때문에 사용자, 서비스 제공자, 보안 전문가 세 그룹에 모두 합리적인 방식으로 행동하게 됩니다. 랜섬웨어와 같은 미래의 손실을 방지하기 위해 노력하고 있고, 어떤 것이 잘못되었는지 무엇이 고장 났는지 사용자에게 데이터를 반환하고 상황을 시정할 때 어떤 방식으로 회복, 방지 할 수 있는지에 대한 접근 방법은 일반적인 회사의 시작과는 다릅니다. 보안에 대한 진정한 목적은 근본적인 보안 입니다. 자산의 가치 및 손실에 상응하는 보안은 과도하거나 과소하지 않는 지출 입니다. 두가지의 사고 종류가 있는데 이것은 시스템 1 과 시스템 2 로 나뉩니다. 시스템은 우리가 일반적으로 그것이 통제된다고 생각하는 것으로 생각하는 것입니다. 어떻게 그 결론에 도달했는지에 대한 것입니다. 즉 의사결정 시스템이라고 할 수 있습니다. 두번째는 자동입니다. 자동차를 어떻게 운전하는지 생각하는 시스템과 같습니다. 인지 편향에 대해서 말하자면, 관련을 유발하고 결과적으로 패턴이 존재하지 않을 때 이러한 편향을 생성한다는 것은 과신 편향입니다. 우리가 실제로 할 수 있는 것보다 더 많은 것을 할 수 있다고 생각하는 것입니다. 행동 편향이란 어떤 상황이 낮설거나 불분명할 때 똑같은 결과나 더 나쁜 결과가 나오더라도 가만 있는 것보다는 행동하는 게 더 낫다는 믿음입니다. 사이버 보안에서 어떤 행동 편향이 작용하는지에 대해 논의를 합니다. 예를 들어 해커가 AP 통신의 트위터 계정을 제어하고 계정에 액세스한 후 백악관에서 두 번의 폭탄 테러가 있었고 대통령이 부상을 입었다는 가짜 트윗을 보냈습니다. 사용자와 보안 전문가는 상황을 제어 해야 한다는 본능을 갖게 될 것입니다. 우리는 행동하기 전에 더 많은 정보를 얻고 사실인지 확인 해야 합니다. 피싱이라는 것을 깨닫는다면 실제로 계정에서 긴급한 조치를 취해야 한다는 두려움이 작용할 것입니다. 피싱이 유효한 것은 사람들이 사전에 생각하지 않고 행동하는 직관적인 행동이 있기 때문입니다. 이런 일이 다시 발생하지 않도록 방지하지만 준비 없이 이런 순간에 있을수록 행동에 일관성이 없어지며, 상황을 더 악화 시킬 수 있습니다.
사이버 보안에서 가장 위험한 단어는 “절대 다시는 안된다” 라는 것입니다. 공격자가 피싱 탐험에서 악용하는 기능. CISO 및 기타 보안 리더는 제안된 방어의 비용이 가치나 손실을 능가하더라도 신중한 분석을 적용하기보다 긴박감과 통제의 필요성에 따라 신속하게 행동할 때 침해 또는 공격에 따른 행동 편향을 보입니다. 어떤 것을 시도하더라도 결코 위험이 0 이 될 수는 없습니다. 이 문제를 해결하기 위해 황금을 쓴다면 우리는 절대로 이길 수 없을 것입니다. 보안은 다양한 측정기준에 대해 생각할 필요가 있습니다. 현실적이고 중요한 목표를 달성하는데 도움이 되는 다양한 성공 측정 방법을 고려해야 합니다. 체크리스트 및 사전 부검(위험 관리에 사용됨)과 같은 도구는 행동 편향의 위험을 완화할 수 있습니다. 결과적으로 우리는 편견 없는 결정을 내릴 수 있도록 미리 대비하여 합리적으로 준비할 수 있습니다.