돈 들이지 않고 사이버보안 기술을 쌓는 8가지 방법

돈 들이지 않고 사이버보안 기술을 쌓는 8가지 방법

Josh Fruhlinger | CSO

모든 기업은 직원이 사이버보안 기술을 최신 상태로 유지하기를 바란다. 하지만 고급 정규 교육 비용이 예산을 초과하는 일은 빈번히 일어난다. 예를 들어 많은 사람이 전문 교육의 표준이라고 생각하는 SANS 연구소 강좌는 1인당 5,000달러 이상이다. 블랙햇 같은 유명한 컨퍼런스의 1~2일치 세션 가격은 4,000달러에 육박한다.

​​​​​​ⓒ Getty Images Bank
비싼 교육이 유일한 선택지는 아니다. 사실, 여러 전문가가 큰 돈을 들이지 않고 보안 기술을 강화할 수 있는 수준 높은 방법이 많이 있다고 말한다. 이런 방법은 크게 두 가지 범주로 구분된다. 내부 자원을 활용해 기업 전체에 사이버보안 지식을 공유하는 것과 내부 노력과 함께 저비용의 외부 자원을 물색하는 것이다. 

 

내부 교육을 활용하는 방법

여러 사이버보안 전문가에게 저렴하거나 무료인 교육을 받을 수 있는 방법을 물었을 때, 답은 한 가지로 귀결됐다. ‘내부를 들여다보라’. 기업은 100%의 확률로 풍부한 보안 지식을 보유하고 있다. 직원 역시 동료를 훈련하고 교육하는 데 도움을 줄 수 있다.
프로프라이버시 디지털 개인정보보호 전문가 아틸라 토마섹은 “어떤 기업이든 가장 먼저 주시해야 할 자원은 직원이다. 내부 사이버보안 전문가는 효과적인 교육 방법이 무엇으로 구성되어야 하는지에 대해 귀중한 통찰력을 제공할 뿐 아니라, 교육 세션을 주도하고 참자가의 질문에 대답할 수 있다. 엄청나게 생산적이면서 비용 효율적인 방법이다”라고 말했다.
내부 교육이 무료이거나 저렴하다는 인식은 회계적으로 경계해야 하는 점이기도 하다. 직원을 활용하는 것도 결국 무료가 아니기 때문이다. 기업은 직원에게 급여를 지급하고, 직원이 업무에 헌신해야 하는 시간은 한정되어 있다. 하지만 내부 자원을 구축하면 값비싼 교육 세션 또는 과정에 대한 초기 비용을 절감할 수 있는 것은 사실이다. 또 내부 보안 훈련 문화를 만드는 것은 또 다른 유무형의 이점이 있다. 

정식 교육 프로그램

기업 규모와 역량에 따라 내부적으로 교육을 하고 지식을 전달하는 다양한 방법이 있다. 몽고DB CISO 레나 스마트는 사내 ‘보안 챔피언’ 프로그램이 모든 부서에 스며들어 있다고 말했다. 스마트는 직원이 프로그램에 자발적으로 참여하며, 사업부는 보안 요구, 이슈, 요청을 논의할 수 있는 통로로 여긴다고 설명했다. 챔피언은 매달 열리는 보안 회의에 참석하고 보안 문제에 대한 팀 교육을 돕고, 현재의 보안 문제에 대해 더 배우는 데 매주 2시간을 할애한다. 
스마트는 비용을 계량화하기는 어렵지만, 그만한 투자라고 생각했다. 스마트는 “예를 들어, 보안 엔지니어가 챔피언에게 네트워크 보안 모범 사례를 설명한다고 가정해 보자. 보안 엔지니어는 챔피언에게 가치를 제공하면서 자신의 업무 환경도 개선하는 셈이다. 챔피언이 배운 내용을 공유하고 구현할 가능성이 크기 때문이다”라고 설명했다. 몽고DB 최고 경영자도 보안 챔피언 프로그램을 받아들이고 있으며, 현재 정규직 직원 한 명이 이 프로그램을 담당하고 있다. 
하지만 몽고DB는 약 2,900명의 직원을 둔 상당히 큰 회사다. 작은 기업이나 스타트업이라면 보안 챔피언 같은 프로그램을 운영할 수 없다. 더 적은 자원을 가진 기업의 직원이 서로의 기술을 최신 상태로 유지하는 데 도움이 되는 보다 비공식적인 방법은 무엇일까?

지식 세션

로긴레이디어스 공동 설립자 디팍 굽타는 창업 초기에 이 문제를 어떻게 해결했는지 설명했다. 굽타는 “우리에게는 경험이 별로 없는 소규모 팀이 있었고, 이들에게는 배우고 성장하는 것이 중요했다. 그래서 팀에 특정 기술이 부족해지면 지식 격차를 극복하기 위해 매주 세션을 열곤 했다. 핵심은 팀이 배우고 응용할 의지가 있어야 한다는 것이다. 이런 접근법을 통해 팀을 성공적으로 구축할 수 있었다”라고 설명했다.
1898 & Co. 사이버보안 관리자 제이슨 빅도 직원을 훈련하기 위해 반공식적인 프레젠테이션을 활용한다고 말했다. 빅은 “’점심 먹으면서 배우기’처럼 다양한 사이버보안을 주제로 열린 포럼을 개최한다. 선후배가 다양한 주제에 대한 개인적 연구를 논의하고 경험이 풍부한 직원으로부터 피드백을 요청해 연구하거나 학습했던 개념을 검증할 수 있다”라고 말했다. 

1대1 멘토링

빅이 설명한 ‘점심 먹으면서 배우기’와 같은 맥락에서, 사이버보안 전문가는 기업이 세대를 초월하여 기술을 이전할 수 있도록 선후배 직원이 짝을 이루는 기회를 활용하라고 조언했다. CSAA 보험그룹 CISO 맬리스 로저스는 “공식, 비공식적인 업무 연수로 좋은 결과를 얻었다. 지난해에는 서비스 부서에서 완전히 비기술적인 재원을 데려와 피싱 캠페인, 메트릭스 및 데이터 분석을 맡겼다. 기업 내 경험 많은 재원과 그들의 지식을 활용하기 위해 직무 순환 및 인턴십에 집중하고 있으며, 그 결과 일을 배우면서 도움을 줄 수 있는 여력이 생겼다”라고 말했다.

공개된 콘텐츠 맥락화하기

블로그부터 웨비나와 팟캐스트에 이르기까지 보안에 중점을 둔 다양한 콘텐츠를 이미 무료로 이용할 수 있다. 무료 콘텐츠 대부분은 기술 및 비기술 직원 모두에게 유용하며, 적절한 콘텐츠를 선별하는 방법은 내부 IT 보안 전문가에게 달렸다.
두팔로우(dofollow.io) CTO 세바스찬 쉐퍼는 “직원과 팟캐스트를 공유한다”라고 설명했다. 쉐퍼는 정보보안 전문가 다니엘 미슬러가 운영하는 팟캐스트 ‘비지도 학습(Unsupervised Learning)’과 사이버보안 전문가 잭 라이사이더의 팟캐스트 ‘다크넷 다이어리(Darknet Diaries)’의 팬이다. 쉐퍼는 이런 무료 온라인 콘텐츠를 이용하는 것은 단순히 링크를 공유하는 것 이상이라고 강조했다. 그는 “사내 IT 전문가로서 무료 콘텐츠를 맥락화하고 사람들이 핵심을 추출할 수 있도록 도와줘야 한다. 하지만 IT 배경이 없는 직원에게 최고 전문가와 소통할 수 있는 기회를 제공하는 것만으로도 전반적으로 사이버보안 모범 사례를 주입하는 것이 전반적으로 가능하다”라고 덧붙였다.

외부에서 지혜를 찾는 방법

쉐퍼가 밝혔듯이 IT 팀을 진정으로 발전시키고 사이버보안에 대한 최신 지식을 더 큰 규모의 직원에게 전달하기 위해서는 외부의 정보와 자원을 모아야 한다. 넓은 세상에 끌어올 수 있는 자원이 충분하다.

온라인 강좌

온라인에는 무료 자원과 저렴한 자원이 풍부하다. 여러 전문가가 공통으로 추천한 강좌를 소개한다.
 

• 오펜시브 시큐리티(Offensive Security)의 메타스플로이트 과정
• SANS 사이버 에이시즈(SANS Cyber Aces)
• 핵 더 박스(Hack the Box)
• 마이크로소프트 CISO 워크샵
• 유데미(Udemy)
• 사이버리(Cybrary)
• 에드엑스(edX)

온라인 강좌는 기업 내부에서 운영하는 사이버보안 교육 프로그램과 통합해 부서 예산을 줄이거나 신규 교육 과정 개발에 시간을 할애할 필요 없이 잘 설계된 과정을 제공할 수 있다.
크리티컬 스타트 CSO 조던 무아리엘로는 직원 훈련을 위해 유데미(Udemy)와 에덱스(edX)를 사용한다. 무아리엘로는 “에덱스의 하버드 CS-50x 컴퓨터 과학 입문 과정은 훌륭한 프로그래밍 기초 입문 과정이다. 특히 피에리안 데이터 강사 호세 포틸라는 아주 저렴한 가격으로 유데미에서 파이썬 강좌를 진행하고 있다. 두 과정 모두 필수다. 분석가의 코드 분석 능력을 향상시키고, 최종적으로 악성코드 분석 과정에서 필요한 소프트웨어 검토 방법을 배우기 때문이다”라고 설명했다.

솔루션 업체의 자원 활용하기

로비사 스텐베켄 스체른뢰프는 스웨덴 컨설팅 회사인 데보팀 클라우드 서비스의 옥타 프랙티스 책임자다. 스체른뢰프는 “여러 협력 업체의 교육 자원을 사용한다. 이런 방법은 다른 기업에서도 활용할 수 있다. 많은 솔루션 업체가 일반적인 사이버보안 지식을 포함해 자사 솔루션에 대한 교육을 무료로 제공한다”라고 말한다.
폭스포인트 솔루션 COO 존 로만도 스체른뢰프의 의견에 동의했다. 로만은 “에셋, 크라우드스트라이크, 시만텍과 같은 기업은 종종 무료 웨비나를 제공해 사이버보안과 관련된 중요한 주제에 대해 논의하고 교육한다. 이러한 사이트를 모니터링하고 추가 학습 기회를 활용하라”라고 조언했다.
즉, 로만은 이러한 자원을 솔루션 업체 마케팅 전략의 일부로 이해하고 접근해야 한다는 점을 강조했다. 로만은 “솔루션 업체와 함께 모범 사례를 검증하는 과정이 있어야 한다. 기업 CIO 또는 CISO는 사내 교육 세션에 솔루션 업체를 초빙하기 전에 업체의 프레젠테이션이나 자료를 검토해 세션이 교육으로 구성되어있는 게 맞는지, 영업 비중이 크지는 않은지 확인해야 한다”라고 말했다.

 
다른 사람들의 실수에서 배우기

때때로 보안 침해 사건은 공식적인 기록이 남는 경우가 많다. 규제가 심한 업종의 기업이라면 더욱 그렇다. 규제 기관이 이러한 침해에 대해 발표한 보고서는 인포섹 팀이 실제 사이버보안 문제를 이해하는 데 유용한 자료가 된다. 베네펙스 정보보안 담당자 사이먼 백웰은 “운이 좋지 않았던 다른 기업의 사건을 보고, 그들에게 부족했던 것을 이해하면서 배운다. 이러한 자료를 검토하는 데 쏟는 시간과 노력과는 별개로 비용이 전혀 들지 않는 것이 장점이다”라고 말한다.

모임 및 네트워킹

마지막 조언이다. 동료 정보보안 전문가보다 더 우수한 자원은 없다. 즉, 직원에게 회사 외부의 사이버보안 전문가와 네트워크를 형성하도록 권장해야 한다. IT 임원도 마찬가지다.
아담 파드 스튜디오 디자인 책임자인 아담 파드도 주변에서 모임을 찾아보기를 권했다. 파드는 “모임은 회의나 그룹 멤버십보다 체계적이지는 않지만, 훌륭한 학습과 네트워킹 기회를 제공한다. 만약 모임이 열리는 대도시 인근에 살지 않는다면, 가상 이벤트를 진행하는 클럽이 대안이다. 가끔은 무료로 모임에 참여할 수 있기 때문에 한정된 예산으로 숙련된 사이버보안 전문가로부터 배울 수 있는 멋진 기회가 된다”라고 설명했다.
더 넓은 전문 네트워크에서 무료 및 저렴한 교육에 대한 내부 정보를 얻을 수 있는 것도 네트워킹의 중요한 장점이다. 블루미라(Blumira) 사고 탐지 책임 엔지니어 아만다 베를린은 “지난해 나의 목표 중 하나는 탐지 영역 방어자로서 업무에 도움이 되는 훈련 과정을 찾는 것이었다. 컨퍼런스나 블랙햇 수업에 등록하는 수천 명의 사람들이 있지만, 그런 교육과정은 비쌌다. 그러던 중에 찾은 것이 사우스 다코타 밖에서 열리는 와일드 웨스트 해킨 페스트(WWHF)를 비롯한 다른 컨퍼런스였다”라고 말했다.
베를린은 “처음에는 망설였다. 비용이 높지 않은데 좋은 수업일까? 하지만 얼마 후, 업계의 다른 사람과 수강자에게서 경험담을 들었다. 공통적으로 추천 받은 강좌가 있었고 몇 개는 WWHF에서 제공하는 강좌였다. 강좌 당 500~600달러로 엄청난 양의 정보를 얻었고, 실습 수업도 받았다”라고 말했다. 궁극적으로 베를린은 아주 만족했다. 그리고 베를린이 그 수업을 찾았다는 사실은 공동체의 힘을 보여준다. editor@itworld.co.kr

 

不花钱积累网络安全技术的8种方法

Josh Fruhlinger | CSO
所有企业都希望员工把网络安全技术保持在最新状态。 但是高级正规教育费用超过预算的情况频繁发生。 例如，很多人认为专业教育标准的SANS研究所讲座人均5000美元以上。 black hot等著名会议1至2天的会议价格接近4000美元。
昂贵的教育并不是唯一的选择。 事实上，很多专家表示，有很多高水平的方法可以在不花大钱的情况下加强保安技术。 这种方法大致分为两种范畴。 利用内部资源向全体企业共享网络安全知识，在内部努力的同时物色低成本的外部资源。

内教之道
当记者向多位网络安全专家询问如何接受低廉或免费的教育时，答案只有一个。 "看看内部。" 企业拥有100%的概率丰富的保安知识。 职员也可以对同事进行训练和教育。
专业隐私数字个人信息保护专家阿蒂拉·托马塞克（音）表示:"任何企业最先需要关注的资源都是职员。 内部网络安全专家不仅能为什么构成有效的教育方法提供宝贵的洞察力，还能回答主导教育栏目、忍者的提问。 这是非常具有生产性和费用效率的方法。"
内部教育是免费的或低廉的观念也是需要会计警惕的一点。 因为利用职员最终也不是免费的。 企业给员工发工资，员工献身工作的时间是有限的。 但是，如果构建内部资源，确实可以节省昂贵的教育会话或课程的初期费用。 另外，创造内部保安训练文化还有其他有形和无形的好处。

正式教育计划
根据企业规模和力量，内部有各种教育、传达知识的方法。 蒙古DBCISO Lena Smart表示，公司内部的"保安冠军"项目已渗透到所有部门。 smart表示，职员自发参与项目，事业部认为这是讨论保安要求、焦点、请求的渠道。 冠军每周花两个小时参加每月举行的安保会议，帮助团队对安全问题进行培训，并进一步学习目前的安保问题。
虽然智能很难量化费用，但我认为是相当的投资。 smart表示:"例如，假设保安工程师向冠军说明网络保安模范事例。 也就是说，保安工程师在为冠军提供价值的同时，还能改善自己的业务环境。 因为很有可能共享并体现冠军所学的内容。" 蒙古DB首席执行官也接受保安冠军计划，目前由一名正式职员负责该计划。
但是蒙古DB拥有约2900名职员，是一家相当大的公司。 如果是小企业和初创企业，就不能运营保安冠军等项目。 哪些非正式的方法有助于拥有更少资源的企业职员将彼此的技术保持在最新的状态呢？

知识会话
洛金雷迪尔斯共同创始人迪帕克•古普塔在创业初期说明了如何解决这一问题。 古普塔说:"我们有没有什么经验的小规模球队，对他们来说，学习和成长非常重要。 因此，如果队伍缺乏特定技术，为了克服知识差距，每周都会举行活动。 核心是球队要有学习和应用的意志。 通过这种接近方法，球队得以成功构建。"
1898 & Co. 网络安全管理者Jason Big也表示:"为了训练职员，会利用半官方陈述。" Big表示:"像'边吃午饭边学习'一样，将举办以多种网络安全为主题的论坛。 可以验证前后辈讨论多种主题的个人研究，从经验丰富的职员那里要求反馈研究或学习的概念。"

一对一指导
与维克解释的"边吃午饭边学习"一脉相承，网络安全专家建议，为了让企业超越世代，能够转让技术，应利用前后辈职员结对的机会。 美国宇航局保险集团CISO的麦利斯•罗杰斯表示，"通过正式、非正式的业务研修取得了很好的结果。 去年，服务部门带来了完全非技术性的资金，委托他们进行钓鱼活动、黑客帝国及数据分析。 为了利用企业内部经验丰富的资金和他们的知识，他们集中精力进行职务循环和实习，结果在学习工作的同时也有了提供帮助的空间。"

将公开的内容脉络化
从博客到Webina和Podcast，已经可以免费使用以安全为重点的各种内容。 免费内容大部分对技术及非技术职员都有用，选择适当内容的方法取决于内部IT保安专家。
Duplo(dofollow.io) CTO Cebastian Schaper解释说:"与职员共享播客。" 雪佛是信息安全专家丹尼尔•米斯勒运营的播客"学习Bizo(Unsupervised Learning)"和网络安全专家杰克•赖赛德的播客"Darknet Diaries"的粉丝。 雪佛强调，使用这种免费在线内容，不仅仅是单纯地共享链接。 他说:"作为公司内的IT专家，应该将免费内容脉络化，帮助人们提取核心。 但是，只要为没有IT背景的职员提供与最高专家沟通的机会，就可以全面灌输网络安全模范事例。"

外智之道
正如雪佛所言，为了真正发展IT团队，把网络安全的最新知识传达给更大规模的职员，必须收集外部信息和资源。 有充足的资源可以推向广阔的世界。

在线讲座
网上有丰富的免费资源和低廉的资源。 下面介绍多位专家共同推荐的讲座。
Offensive Security的元流过程
SANS 网络艾滋病（SANS Cyber Aces)
超级盒子( Hack the Box)
微软CISO工作坊
尤德米( Udemy)
Cybrary)
红色(EDX)
在线讲座可以与企业内部运营的网络安全教育项目合并，减少部门预算或不用花时间开发新教育课程，提供设计好的课程。
CSO乔丹•穆阿里埃洛(Jordan Muariel)为了训练职员，将使用"Udemy"和"edX"。 穆阿里洛表示，"Edex的哈佛CS-50x计算机科学入门课程是优秀的编程基础入门课程。 特别是皮耶里安数据讲师何塞•波蒂拉以非常低廉的价格在尤德米进行Python讲座。 两个过程都是必须的。 因为可以提高分析家的代码分析能力，最终在恶性代码分析过程中学习必要的软件研讨方法。"

利用解决方案企业的资源
罗比萨•斯滕贝肯•斯切恩勒夫是瑞典咨询公司"德沃蒂姆云服务"的负责人。 斯切恩勒夫说:"我们使用很多合作企业的教育资源。 这种方法在其他企业也可以使用。 很多解决方案企业免费提供包括一般网络安全知识在内的本公司解决方案教育。"
福克斯点阵解决方案COO约翰•罗曼也同意斯切恩勒夫的意见。 罗曼说:"像埃塞、克劳德斯特瑞克、赛门铁克等企业经常提供免费韦维纳，讨论和教育与网络安全相关的重要主题。 要监控这些网站，并利用追加学习机会。"
也就是说，罗曼强调，应该将这种资源理解为解决方案企业营销战略的一部分。 罗曼表示:"应该和解决方案企业一起进行模范事例的验证过程。 企业CIO或CISO在公司内部教育会话聘请解决方案企业之前，应该先研究企业的陈述或资料，确认会话是否由教育构成、营业比重是否较大。"

从别人的失误中学习
安全侵害事件往往会留下正式记录。 如果是管制严重的行业的企业，更是如此。 规制机关对这种侵害发表的报告书是Infosec团队实际理解网络安全问题的有用的资料。 Benefex信息安全负责人西蒙·白威尔（音）表示:"看到其他企业运气不佳的事件，一边理解他们身上存在的不足，一边学习。 与研究这些资料所花费的时间和努力不同，其优点是完全不花费任何费用。"

聚会及网络
这是最后的建议。 没有比同事信息安全专家更优秀的资源。 也就是说，应该鼓励职员与公司外部的网络安全专家形成网络。 IT高管也是如此。
亚当·法德工作室设计负责人亚当·法德也建议在周围聚会。 帕德说:"聚会虽然不像会议或集团成员资格那样系统，但提供优秀的学习和网络交流的机会。 如果不在举行聚会的大城市附近居住，那么进行假想活动的俱乐部就是替代方案。 因为偶尔可以免费参加聚会，所以这是一次用有限的预算向熟练的网络安全专家学习的好机会。"
在更广阔的专业网络中，可以获得免费和低廉教育的内部信息，这也是网络化的重要优点。 Blumira事故探测责任工程师阿曼达•柏林表示，"去年我的目标之一是寻找作为探测领域防御者对业务有帮助的训练过程。
虽然有数千人报名参加会议或黑太阳课程，但这样的教育课程却非常昂贵。 在此期间，我找到了包括在南达科他外举行的Wild West Hackin Fest(WWHF)在内的其他会议。"
柏林表示:"刚开始犹豫不决。 费用不高，是好的课程吗？ 但是不久之后，从业界的其他人和听课者那里听到了经验之谈。 有共同推荐的讲座，有几个是WWHF提供的讲座。 以每堂500~600美元的价格获得了大量的信息，还上了实习课。" 最终柏林非常满意。 柏林找到这门课程的事实表明共同体的力量。 editor@itworld.co.kr