Hacker News 의견

• 공격자는 특정 목표를 달성하기 위해 깊이 탐구할 수 있는 특권이 있음
• 방어자는 여러 신호와 위협 벡터를 추적하며 우선순위를 정해야 함
  • 방어자는 자산을 관리하기 위해 목록을 사용함
  • 목록을 통해 자산을 최신 상태로 유지하고 제한된 신뢰를 가정하며 자원을 격리함
  • 의존성 그래프를 만들기 전에 목록을 먼저 작성해야 함
• 복잡한 적응 시스템은 구성 요소와 상호 작용을 위한 메시징 버스를 가짐
  • 개별적으로 개미를 잡는 것보다 페로몬 경로를 파괴하는 것이 효과적임
• 방어자의 역할은 단순한 방어가 아님
  • 사이버 보안은 주 업무가 아닌 부수적인 역할임
  • 공격자는 시스템을 공격하는 것이 유일한 목적임
• 공격자는 약점을 찾고 한 번만 성공하면 됨
• 방어자는 모든 것을 동시에 지켜야 함
• 공격자는 그래프를 사용하지 않음
  • 웹 보안에서는 그래프 사고가 적용되지 않음
  • 침투 테스트 보고서에는 그래프가 아닌 할 일 목록이 포함됨
  • 방어자는 종종 중요하지 않은 일에 시간을 소비함
• 사이버 보안 회사에서 일한 경험이 있음
  • 많은 사이버 보안 관행이 무의미하다고 느낌
• 방어는 여러 요소로 구성됨
  • 효과적인 통제 개발, 공격 식별, 사건 대응 등
  • 방어에는 네트워크 그래프를 고려한 건축적 결정이 포함됨
• 방어의 약한 고리가 전체 강도를 결정함
  • 체크리스트 기반 보안은 인프라 문제를 무시함
  • SBOM을 사용하여 구성 요소 관계를 매핑할 수 있음
• 네트워크에 침입자를 잡기 위한 허니팟이 필요함
  • 가짜 암호화 자격 증명, 가짜 비밀번호 저장소 등