.png)
정부 사이버 보안 전문가가 제로 트러스트를 통해 미션 보장을 보장하는 4가지 방법
연방 보안 팀에게 임무 보증은 필수입니다. 미션의 성공을 위해서는 애플리케이션이 항상 사용 가능한 상태를 유지해야 합니다.
미션 복원력을 달성하는 가장 좋은 방법은 제로 트러스트 원칙을 따르는 것입니다. 제로 트러스트는 보안 침해는 피할 수 없다는 사고방식과 '절대 신뢰하지 말고 항상 확인하라'는 원칙에 기반하여 정부 기관이 보안 전략에 미션 보증을 구축하는 데 도움을 줄 수 있습니다.
미션 보증을 위한 제로 트러스트 전략과 모범 사례를 공유하기 위해 연방 사이버 보안 전문가인 일루미오의 연방 CTO이자 전 미국 우정청 감찰관실 CIO인 게리 바렛, NASA의 엔터프라이즈 사이버 보안 아키텍처 담당 마크 스탠리, 증권거래위원회 CIO인 데이비드 바텀이 연방 뉴스 네트워크와 함께 웨비나에 참여했습니다.
여기에서 전체 웨비나를 시청하세요.
계속 읽어보시면 기관에서 제로 트러스트를 구현하기 위한 주요 권장 사항과 논의 내용을 요약해 보실 수 있습니다.
연방 기관이 미션 보증을 위해 제로 트러스트를 도입해야 하는 이유는 무엇인가요?
제로 트러스트 보안 전략은 기관이 이 질문에 답하는 데 도움이 됩니다: 문제가 발생했을 때 어떻게 성공할 수 있을까?
"모든 시스템이 정상적으로 작동하면 정말 좋은 일입니다."라고 Barlet은 설명합니다. "하지만 공격받고 있을 때는 어떨까요?"
제로 트러스트는 보안 침해가 발생하는 것은 시간 문제라고 가정합니다. 이러한 사고방식은 팀이 공격을 인지하고 차단하는 데 도움이 될 뿐만 아니라 내부적으로든 대중에게 배포된 시스템이든 계속 운영되도록 하는 보안을 확립합니다.
Barlet이 지적한 것처럼 "NASA는 발사 도중에 전원을 끌 수 없으며, 거의 모든 다른 기관도 마찬가지입니다."라고 말합니다. 공격자의 공격으로 시스템이 오프라인 상태가 되면 직원과 시민의 생명은 위험에 처할 수 있고 기관은 이해관계자와의 신뢰를 잃을 수 있습니다.
패널들은 사이버 보안에 대한 한 번 설정하고 잊어버리는 접근 방식으로는 시스템 미션의 복원력을 유지하는 데 충분하지 않다는 데 동의했습니다.
"미션 보증은 정적인 연습이 아닙니다."라고 Bottom은 말합니다. "기대치와 요구 사항은 항상 변화하고 있습니다. 우리가 하는 계획에 이를 고려해야 합니다."
토론자들에 따르면, 이러한 계획의 일부에는 공격자가 네트워크를 측면으로 이동할 수 있는 능력을 제한하는 제로 트러스트 인프라가 포함되어야 합니다. 이는 시스템에 대한 공격의 폭발 반경 또는 영향을 제한하고 공격이 진행되는 동안 복원력을 유지하는 데 도움이 됩니다.
스탠리는 "제로 트러스트의 핵심 테넌트 중 하나는 폭발 반경을 제한하는 기능입니다."라고 설명합니다. "멀웨어 공격을 실행하려는 사람이 내 계정을 침해할 수 있다면 제로 트러스트, 최소 권한 시나리오 하에서는 내가 액세스할 수 있는 것들에 대해서만 공격을 실행할 수 있고 그 이상은 불가능합니다." 제로 트러스트는 "네트워크에서 횡방향 이동을 제거합니다."라고 그는 덧붙였습니다.
Barlet이 설명했듯이, 이 작업은 결코 끝나거나 완전히 달성되는 것이 아닙니다. 제로 트러스트 보안은 지속적인 프로세스입니다.
"제로 트러스트의 여정은 결코 끝나지 않을 것입니다."라고 바렛은 말합니다. "직면하는 위협은 끝이 없습니다. 따라서 제로 트러스트의 여정은 결코 끝나지 않을 것입니다."
제로 트러스트로 미션 보증을 구축하기 위한 4가지 요구 사항
패널들은 제로 트러스트를 구현하는 기관을 위한 네 가지 주요 권장 사항을 다음과 같이 설명했습니다:
1. 엔드투엔드 가시성 확보
끝없는 여정에서 중요한 것은 바로 가시성입니다: "기업 전체에 대한 강력한 가시성을 확보하는 것입니다."라고 Barlet은 말합니다. 기업이라는 단어가 중요합니다. 이는 기관이 전통적으로 경계 방어를 설치한 인프라 요소뿐만 아니라 가시성을 의미합니다. 가시성은 애플리케이션, 데이터 및 이들이 서로 상호 작용하는 방식까지 확장됩니다.
Barlet은 "애플리케이션에는 기관이 잘 알지 못하는 내부 연결성이 있습니다."라고 말합니다. CISA가 명명한 제로 트러스트의 다섯 가지 기둥을 보호하기 위해 기관은 "먼저 기업에서 어떤 일이 일어나고 있는지, 사물이 실제로 어떻게 상호 연결되는지 이해해야 합니다."
"사람들이 생각하는 것이 아니라 실제로 어떤 일이 일어나고 있는지 객관적으로 살펴볼 필요가 있습니다."라고 Barlet은 말합니다. "실시간으로 상호 연결과 트래픽 흐름을 확인해야 합니다." 그는 일루미오가 고객에게 이러한 의존성과 상호 연결성을 보여줄 때 "솔직히 말해서 심장마비가 올 정도로 서로 다른 경우가 많다"고 덧붙였습니다.
2. 유연하고 적응력이 뛰어난 아키텍처 구축
오늘날의 네트워크는 끊임없이 변화합니다. 보안팀은 더 이상 변화가 느린 정적 네트워크의 기존 모델에 의존해서는 안 됩니다.
"모든 제로 트러스트 모델이나 아키텍처는 이러한 모든 급격한 변화에 적응할 수 있어야 합니다."라고 Barlet은 말합니다.
기관에서 가상 머신을 생성 및 제거하거나 설정을 재구성할 때 사이버 보안은 이러한 변경 사항을 일관되게 따라야 합니다.
3. 엔드포인트, OT, IoT를 포함한 모든 환경에 제로 트러스트 배포
세 전문가 모두 제로 트러스트가 사용자뿐만 아니라 사용자 디바이스, 네트워크와 상호 작용하는 OT 및 IoT로 확장되어야 한다는 데 동의했습니다.
스탠리에 따르면, 그의 팀은 NASA 시스템의 디바이스 활동을 지속적으로 모니터링합니다. 특정 접속 시도에 대한 신뢰 수준을 변경할 수 있는 이상 징후를 찾습니다.
"제로 트러스트의 장점은 활동을 모니터링하고 실시간으로 점수를 조정할 수 있다는 점입니다."라고 스탠리는 말합니다.
이를 통해 NASA의 보안 팀이 모든 문제를 신속하게 파악하고 우선순위를 정하여 해결함으로써 임무를 계속 수행할 수 있도록 합니다.
4. 개발 프로세스에 제로 트러스트 보안 구축
Barlet은 제로 트러스트 원칙을 DevSecOps 프로세스에서 새로운 애플리케이션 개발에 적용할 것을 권장했습니다. 개발자는 오픈 소스 코드를 사용하고 있으며, 사이버 보안은 이러한 애플리케이션을 보호하기 위해 제로 트러스트를 통합해야 합니다.
"오늘날 코드 개발의 현실은 더 이상 아무도 혼자서 모든 코드를 작성하지 않는다는 것입니다. 그들은 모듈을 다운로드하고 오픈 소스 코드를 사용하고 있습니다."라고 Barlet은 설명합니다. "이러한 모든 소프트웨어에는 기관이 인지하고 제로 트러스트 체계에 통합해야 하는 종속성과 상호 연결이 있습니다."
기관은 네트워크 통신 흐름에 대한 가시성을 확보하여 이러한 종속성을 확인할 수 있습니다. 그런 다음 모든 취약점을 차단하고 필요한 액세스만 허용하는 보안 정책을 설정할 수 있습니다.
.webp)
.webp)
.webp)
