ClickCease CISA 보안 요구 사항: 민감한 정보 보호

CVE 상태를 확인하세요. 자세히 알아보기.

미국 사이버안보 및 인프라 보안국(CISA)은 최근 적대국이 미국인의 개인 및 정부 관련 정보에 접근하는 것을 방지하기 위한 보안 요건 제안을 발표했습니다. 이 제안된 가이드라인은 올해 초 바이든 대통령이 서명한 행정명령 14117에 따른 광범위한 노력의 일환으로 마련되었으며, 국가 안보를 위협하는 데이터 보안 위험에 대한 우려가 커지고 있음을 반영합니다.

데이터 유출과 국가가 후원하는 사이버 활동이 증가함에 따라 이러한 보안 요건은 외국의 위협에 대응하고 미국 기업의 보안 태세를 강화하는 것을 목표로 합니다.

 

CISA 보안 요구 사항의 영향을 받는 대상은 누구인가요?

 

새로운 보안 요건은 주로 대량의 민감한 미국 개인 데이터 또는 정부 이해관계와 관련된 데이터를 포함하는 제한된 거래를 처리하는 조직에 초점을 맞추고 있습니다. 기술, 통신, 의료, 생명공학, 금융, 방위 계약과 같은 부문의 기업에 중점을 두고 있습니다. CISA의 요건은 이러한 조직에서 관리하는 데이터가 '우려 대상 국가' 또는 '대상자'에게 노출될 경우 발생할 수 있는 위험을 완화하기 위한 것으로, 일반적으로 미국의 국익에 반하는 사이버 스파이 활동 및 국가 후원 해킹 캠페인으로 알려진 국가 및 개인이 여기에 포함됩니다.

 

제안된 보안 요구 사항은 무엇인가요?

 

CISA는 조직 및 시스템 수준의 보안과 데이터 수준의 보안 요구사항이라는 두 가지 주요 영역에 중점을 두고 있습니다. 다음은 몇 가지 주요 제안 사항에 대한 분석입니다.

  • 조직은 매월 IP 주소와 하드웨어 MAC 주소를 포함한 자산 인벤토리를 유지 관리하고 업데이트해야 합니다.
  • 알려진 익스플로잇 취약점(KEV)을 14일 이내에 수정합니다.
  • 중요 취약점은 15일 이내에(악용되지 않더라도), 심각도가 높은 취약점은 30일 이내에 수정하세요. TuxCare의 KernelCare Enterprise는 재부팅할 필요 없이 커널 취약점 패치를 자동화하여 이 프로세스를 크게 간소화할 수 있습니다. KernelCare는 우분투, 데비안, RHEL, CentOS, 록키 리눅스, 알마 리눅스, 클라우드 리눅스, 오라클 리눅스, 아마존 리눅스 등 모든 주요 엔터프라이즈 리눅스 배포를 지원합니다.
  • CISA는 효과적인 사고 식별 및 대응을 위해 정확한 네트워크 토폴로지를 유지할 것을 제안합니다.
  • 중요한 시스템에서 MFA(다단계 인증)를 적용하고 강력한 비밀번호 정책(최소 16자)을 구현하세요. 또한 개인이 조직을 떠나거나 역할이 변경되면 즉시 액세스 자격 증명을 해지하세요.
  • USB와 같은 승인되지 않은 디바이스가 해당 시스템에 연결되지 않도록 정책을 구현하세요.
  • 액세스 및 보안 관련 이벤트와 관련된 로그를 최소 12개월 동안(또는 데이터 침해가 최종적으로 해결될 때까지) 수집하고 저장합니다. 여기에는 침입 탐지 시스템/침입 방지 시스템(IDS/IPS) 알림, 방화벽 로그, VPN, 로그인 이벤트가 포함되어 잠재적인 보안 침해를 적시에 파악할 수 있습니다.
  • 특정 기능에 대해 명시적으로 허용되지 않는 한 기본적으로 모든 연결을 거부합니다.
  • 데이터 최소화 및 데이터 마스킹 전략을 적용하여 데이터를 수집하거나 난독화할 필요성을 줄이세요.
  • 모든 제한된 거래에서 민감한 데이터에 암호화를 적용하여 무단 액세스로부터 보호하세요. 업계 표준 암호화(예: TLS 1.2 이상)를 사용하여 전송 중 및 미사용 데이터를 암호화합니다. 암호화 키를 별도로 저장하고 권한이 없는 개인이나 위치의 액세스를 방지합니다.
  • 동형 암호화 및 차등 개인정보 보호와 같은 기술을 사용하여 보호 대상 데이터의 재구성을 방지하고 처리된 데이터를 민감한 정보에 다시 연결할 수 없도록 합니다.

 

결론

 

CISA는 최종 확정에 앞서 제안된 보안 요구사항에 대한 대중의 피드백을 받고 있습니다. 데이터 보안에 관심이 있고 보다 안전한 디지털 미래를 위해 기여하고 싶다면 규정.gov에서 CISA-2024-0029를 검색하고 "지금 의견 제출!" 옵션을 선택하여 의견을 제출할 수 있습니다.

조직이 CISA의 새로운 보안 요구 사항에 적응함에 따라 자동화된 실시간 패치와 같은 최신 접근 방식을 구현하면 취약성 패치 프로세스를 간소화하면서 중단을 최소화할 수 있습니다. KernelCare Enterprise를 통해 기업은 가동 시간이나 운영 연속성을 희생하지 않고도 보안 및 규정 준수를 유지할 수 있습니다.

Linux 보안, 취약점 패치 또는 규정 준수 표준에 대해 궁금한 점이 있으신가요? 지금 바로 전문가에게 문의하세요. 조직에 맞는 효과적인 솔루션을 찾을 수 있도록 도와드리겠습니다!

 

출처: 출처: CISA

요약
CISA 보안 요구 사항: 민감한 정보 보호
기사 이름
CISA 보안 요구 사항: 민감한 정보 보호
설명
민감한 개인 데이터와 미국 정부 관련 데이터를 해외 위협으로부터 보호하기 위한 CISA의 새로운 보안 요건에 대해 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

목차

필요한 오픈 소스 보안에 대한 답변 얻기

질문하기

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.