업데이트됨 2025. 1. 14.
Claroty 는 강력한 다층 데이터 보호 및 정보 보안 프로그램을 구현하고 유지합니다. 당사의 데이터 보호 프로그램에는 고객 데이터를 보호하고, 사이버 보안 위협으로부터 Clarory 환경을 보호하고, 규제 요건(ISO 27001, ISO 27701, SOC2 Type 2, GDPR, HIPAA 및 현지 개인정보 보호법과 모범 사례 조항)을 준수하는 데 Claroty 필요한 다양한 기술, 조직 및 절차적 통제를 구현하는 것이 포함됩니다.
Claroty의 인포섹 및 데이터 보호 전략에는 다음과 같은 주요 구성 요소가 포함됩니다.
거버넌스, 위험 및 규정 준수(GRC)
기업 보안 정책
조직 보안
보안 위험 관리 프로그램
자산 분류 및 통제
직원/인사 보안 관리
정보 보안 인식
암호화
통신 보안
벤더 보안 위험 관리
변경 관리
물리적 및 환경적 보안
운영 보안
보안 취약성 관리
액세스 제어
안전한 시스템 개발 및 유지보수
재해 복구 및 비즈니스 연속성
시정 조치 프로그램
규제 준수
정보 보안 정책: 데이터 보호, 보안 및 HIPAA, GDPR, SOC 2 및 ISO 27001와 같은 표준 준수를 위한 정책을 수립하고 시행합니다.
데이터 분류: 민감도(예: 기밀, 내부, 공개)에 따라 데이터를 분류하고 각 등급에 적절한 보안 통제를 적용합니다.
위험 관리 프레임워크: 보안 위험을 식별, 평가 및 완화하기 위한 공식 위험 관리 프로세스를 구현합니다.
준수 모니터링: GDPR, HIPAA 및 산업 표준과 같은 규제 프레임워크의 준수 여부를 지속적으로 모니터링합니다.
내부 감사: 내부 보안 프로세스 및 통제를 정기적으로 감사하여 확립된 정책 및 표준의 준수를 보장합니다.
사고 대응 계획: 보안 침해를 처리하기 위한 역할, 책임 및 절차를 포함하는 인시던트 대응 계획을 개발하고 유지합니다.
ID 및 액세스 관리(IAM): IAM 솔루션을 구현하여 시스템, 애플리케이션 및 데이터에 대한 사용자 액세스를 관리하고 제어합니다.
역할 기반 액세스 제어(RBAC): 사용자가 자신의 직무 역할에 필요한 리소스에만 액세스할 수 있도록 합니다.
다중 인증(MFA): 직원과 고객 모두를 위해 중요한 시스템 및 데이터에 액세스하기 위해 MFA를 적용합니다.
최소 권한: 최소 권한 원칙을 적용하여 사용자의 액세스 권한을 필요한 최소 권한으로 제한합니다.
SSO(Single Sign-On): SSO를 구현하여 인증을 간소화하고 보안을 개선합니다.
계정 검토 및 재인증: 사용자 액세스 권한을 정기적으로 검토하여 최신 상태이고 적절한지 확인합니다.
휴식 시 암호화: 데이터베이스, 파일 시스템 및 백업에 대한 강력한 암호화 알고리즘(예: AES-256)을 사용하여 휴식 시 모든 데이터를 암호화합니다.
전송 중 암호화: TLS/SSL을 사용하여 SaaS 플랫폼과 고객 간에 전송 중인 데이터를 암호화합니다.
종단 간 암호화: 매우 민감한 데이터의 경우 종합 암호화를 구현하여 데이터가 원본에서 대상까지 암호화되도록 합니다.
암호화 키 관리: 키 순환, 저장 및 액세스 제어를 포함한 암호화 키를 안전하게 관리합니다.
방화벽: 방화벽을 배포하여 수신 및 발신 네트워크 트래픽을 제어하고 무단 액세스를 방지합니다.
IDPS(침입 탐지 및 방지 시스템): IDPS를 사용하여 의심스러운 활동이 있는지 네트워크 트래픽을 모니터링하고 악의적인 행동을 차단합니다.
네트워크 세분화: 네트워크를 다른 영역(예: 생산, 개발, 테스트)으로 세분화하여 공격의 확산을 제한합니다.
VPN(가상 사설 네트워크): VPN을 사용하여 내부 시스템에 대한 보안 원격 액세스 을 확보합니다. 특히 외부에서 근무하는 직원의 경우 더욱 그렇습니다.
DDoS 보호: 분산 서비스 거부(DDoS) 보호 메커니즘을 구현하여 네트워크 가용성에 대한 대규모 공격을 방어합니다.
바이러스 백신 및 멀웨어 방지: 모든 엔드포인트에 최신 바이러스 백신 및 멀웨어 방지 소프트웨어를 설치하고 유지합니다.
EDR(엔드포인트 탐지 및 대응): 엔드포인트 장치에서 악의적인 활동을 탐지하고 대응하기 위한 EDR 솔루션을 구현합니다.
패치 관리: 모든 엔드포인트 장치가 보안 패치 및 소프트웨어 업데이트로 정기적으로 업데이트되도록 합니다.
모바일 장치 관리(MDM): MDM 솔루션을 적용하여 직원이 사용하는 모바일 장치를 관리, 보안 및 모니터링합니다.
SDLC(Secure Software Development Lifecycle): 보안 코딩 관행, 코드 검토 및 취약성 평가를 포함하여 개발 프로세스 전반에 걸쳐 보안을 통합합니다.
정적 및 동적 애플리케이션 보안 테스트(SAST 및 DAST): 자동 테스트를 수행하여 개발 중 및 개발 후에 코드 및 애플리케이션의 취약점을 식별합니다.
침투 테스트: 정기적인 침투 테스트를 수행하여 애플리케이션의 보안 약점을 식별합니다.
보안 패치 적용: 애플리케이션 취약성이 식별되는 즉시 패치를 적용합니다.
WAF(웹 애플리케이션 방화벽): WAF를 사용하여 SQL 주입, XSS(교차 사이트 스크립팅) 및 기타 공격과 같은 위협으로부터 웹 애플리케이션을 보호합니다.
데이터 익명화 및 가명화: 익명화 및 가명화와 같은 기법을 사용하여 개인 식별 정보(PII) 및 기타 민감한 데이터를 보호합니다.
데이터 최소화: 개인 데이터의 수집 및 처리를 업무 목적에 필요한 것으로만 제한합니다.
데이터 보존 및 삭제: 개인정보 보호 규정에 따라 고객 데이터의 보존 및 안전한 삭제에 대한 정책을 구현합니다.
데이터 주체 권리 관리: GDPR 및 유사한 규정에서 요구하는 데이터 액세스, 수정, 삭제 및 이동성에 관한 고객의 요청을 준수하는 메커니즘을 제공합니다.
클라우드 액세스 보안 브로커(CASB): CASB를 사용하여 클라우드 사용에 대한 보안 정책을 적용하고 클라우드 서비스에 대한 액세스를 모니터링하며 클라우드 호스팅 데이터를 보호합니다.
컨테이너 보안: 이미지 스캔 및 런타임 보호를 포함하여 컨테이너(예: Docker, Kubernetes)에 대한 보안 통제를 구현합니다.
IaC(Infrastructure-as-Code) 보안: Terraform 또는 AWS CloudFormation과 같은 IaC 도구를 사용하여 배포된 보안 인프라 구성은 구성 파일의 잘못된 구성을 검증합니다.
클라우드 리소스 격리: 클라우드 리소스 격리 기술(예: VPC)을 사용하여 다중 테넌트 환경에서 고객 데이터를 분리하고 격리합니다.
정기 백업: 중요한 데이터를 정기적으로 백업하여 백업이 암호화되고 지리적으로 분리된 위치에 안전하게 저장되도록 합니다.
재해 복구 계획(DRP): 재해 발생 시 시스템 및 데이터 복구 절차를 설명하는 재해 복구 계획을 개발하고 유지합니다.
백업 테스트: 데이터를 효과적으로 복구할 수 있도록 백업 및 복원 절차를 정기적으로 테스트합니다.
보안 정보 및 이벤트 관리(SIEM): SIEM 시스템을 사용하여 보안 로그를 실시간으로 수집하고 분석하여 보안 이벤트를 탐지하고 대응합니다.
지속적인 모니터링: 의심스러운 활동을 위해 시스템, 네트워크 및 애플리케이션에 대한 지속적인 모니터링을 구현합니다.
로그 보존: 감사 및 포렌식이 용이하도록 규제 요건 및 비즈니스 요구 사항에 정의된 기간 동안 보안 로그를 보존합니다.
감사 추적: 데이터, 구성 및 액세스 제어 설정에 대한 변경을 포함하여 사용자 및 시스템 활동에 대한 세부적인 감사 추적을 유지합니다.
정기적인 취약성 검사: 네트워크, 애플리케이션 및 시스템에 대한 정기적인 취약성 검사를 수행하여 잠재적인 보안 문제를 식별합니다.
패치 관리: 공식적인 패치 관리 프로세스를 구현하여 모든 중요한 취약점이 적시에 패치되도록 합니다.
버그 바운티 프로그램: 버그 바운티 프로그램을 실행하여 외부 보안 연구원이 취약점을 찾도록 장려하십시오.
데이터 센터 보안: 생체인식 액세스 제어, 24/7 감시 및 환경 제어(예: 화재 진압, 기후 제어)를 포함한 데이터 센터의 물리적 보안을 보장합니다.
사무실용 액세스 제어: 사무실 건물에서 배지, 생체 인식 및 CCTV와 같은 액세스 제어 메커니즘을 사용하여 무단 액세스를 방지합니다.
사고 대응 계획(IRP): 보안 인시던트 발생 시 취해야 할 단계를 정의하는 문서화된 IRP를 수립합니다.
인시던트 감지 및 보고: 보안 인시던트를 실시간으로 감지, 보고 및 관리하기 위한 프로세스를 구현합니다.
사고 후 검토: 인시던트 후 검토를 수행하여 사고의 근본 원인을 분석하고 향후 대응 노력을 개선합니다.
보안 인식 교육: 피싱, 소셜 엔지니어링 및 적절한 데이터 취급과 같은 주제에 대해 직원들에게 지속적인 보안 인식 교육을 제공합니다.
피싱 시뮬레이션: 정기적인 피싱 시뮬레이션을 실행하여 소셜 엔지니어링 공격에 대한 직원의 인식을 테스트하고 개선합니다.
보안 정책 교육: 모든 직원이 회사의 보안 정책 및 절차에 대해 교육을 받도록 합니다.
벤더 위험 평가: 제3자 벤더에 대한 보안 평가를 수행하여 이들이 회사와 동일한 보안 및 개인정보 보호 표준을 준수하는지 확인합니다.
제3자 감사: 중요한 벤더가 정기적인 보안 감사(예: SOC 2, ISO 27001)를 받고 검토를 위한 보고서를 제공하도록 요구합니다.
데이터 처리 계약: 제3자 처리자와의 계약에 GDPR 및 HIPAA와 같은 규제 표준을 준수하는 데이터 보호 조항이 포함되도록 합니다.
비즈니스 연속성 계획: 가동 중단 또는 중단이 장기간 발생할 경우 중요한 운영의 연속성을 보장하는 BCP를 개발 및 유지합니다.
비즈니스 영향 분석(BIA): BIA를 수행하여 중단 시 연속성에 필요한 중요한 비즈니스 기능 및 리소스를 식별합니다.
