제로 트러스트 세분화를 통한 공급망 공격 차단

국가의 사이버 보안 개선에 관한 바이든 행정부의 행정명령 4항은 공급망에 초점을 맞췄습니다. 놀랍지 않았습니다.

공급망은 그 복잡성 때문에 특히 보안을 유지하기가 어렵습니다.

자동차 제조를 대조적으로 생각해 보십시오. 이 업계에서는 엔지니어가 자동차 프레임, 엔진 구성 요소, 부품 및 하위 구성 요소 등 각 부품을 각 차량에 맞게 설계합니다. 각 요소에는 내구성과 안전성을 보장하는 사양이 있습니다.

반대로 보안 구매자의 개념 증명(POC) 및 조달 프로세스를 생각해 보세요. 많은 상황에서 규정 준수는 여러 제품으로 해결할 수 있는 솔루션이나 원하는 최종 상태를 요구합니다. 공급업체가 빌드하는 사양이 정의되어 있는 경우는 거의 없습니다. 마지막으로 방화벽 공급업체에서 제품을 맞춤 제작한 것이 언제였나요?

물론 구성을 조정할 수는 있지만 특정 목적에 맞게 맞춤 설정할 수 있는 것은 아닙니다. 대신, 공급업체는 가장 넓은 시장을 공략하기 위해 최대한 폭넓게 적용할 수 있는 제품을 만듭니다. 또한 모든 공급업체는 빠르게 변화하는 시장을 따라잡기 위해 제품을 신속하게 제작, 출시, 제공하기 위해 경쟁하고 있습니다.

여기에 더해 자동차 업계와 마찬가지로 공급업체는 수익을 내야 한다는 압박을 받고 있습니다. 그러기 위해서는 무언가를 제공해야 합니다. 솔라윈즈의 경우 이익을 추구하다 보니 보안에 타협하게 되었습니다. 다시는 이런 일이 반복되어서는 안 됩니다.

보안 실무자들은 다른 제품을 '감시'하기 위해 다른 솔루션에 의존하지만, 안타깝게도 여기에도 문제가 있습니다. 다시 말하지만, SolarWinds의 경우 엔드포인트 탐지 솔루션이 항상 SolarWinds 소프트웨어를 멀웨어로 표시했기 때문에 SolarWinds는 지식 기반 문서에서 소프트웨어의 모니터링 기능을 비활성화할 것을 권장했습니다.

그렇다면 어떻게 해야 할까요?

행정명령이 발표되기 전, AttackIQ의 조나단 라이버와 저는 로페어에 바이든의 행정명령에서 기대하는 바를 간략하게 설명한 블로그를 게시한 바 있습니다. 저희가 살펴보지 않은 한 가지 항목은 공급망입니다. 여기서 몇 가지 생각을 살펴보고자 합니다:

1. 모든 엔드포인트 모니터링 도구에는 제3자를 모니터링할 수 있는 강력한 프로그램이 있어야 하지만 오탐을 발생시키지 않아야 합니다. 엔드포인트 공급업체에게는 비용이 많이 들겠지만, 그 이점은 엄청날 수 있습니다! 안타깝게도 이러한 프로그램의 비용과 고객의 가격에 대한 민감성 때문에 이를 달성하기는 어렵습니다.
2. 행정명령은 소프트웨어 개발의 투명성이 부족하다는 점을 인정하지만, 공급업체의 공급망이 손상되지 않도록 베일을 벗기는 방법이 문제입니다. 이를 위해 저는 바퀴를 재발명하기보다는 국제적인 동료 중 하나를 살펴볼 것을 권장합니다: 프랑스입니다.
3. 프랑스 정부는 정부 인프라뿐만 아니라 중요 인프라를 식별하고, 해당 인프라를 보호하기 위한 표준을 설정한 다음, 해당 인프라를 보호하는 소프트웨어를 공급하는 공급업체를 감사하는 기관인 ANNSI를 설립했습니다.
5. 이 접근 방식의 장점은 소프트웨어 공급업체가 규제 기관을 경쟁자로 간주하지 않으며 ANNSI는 소프트웨어를 "도용"하지 않는다는 것입니다. 대신 공급업체를 감사하여 프랑스 인프라의 안전을 보장합니다.
7. ANNSI에 대한 마지막 참고 사항입니다. 위에서 언급했듯이 ANNSI는 정부 인프라에만 원칙을 적용하는 것이 아니라 '중요' 인프라에도 원칙을 적용합니다. 일루미오에서는 이 기관이 프랑스 제약, 제조, 은행 및 프랑스 국민에게 '중요'하다고 간주되는 기타 인프라에 관여하는 것을 확인했습니다.
9. 콜로니얼 파이프라인 랜섬웨어 공격 (이 역시 중요 인프라에 대한 공격임이 분명합니다)에도 도움이 되었을 것입니다.

여러 면에서 자본주의와 미국의 치열한 독립성 때문에 위의 두 가지 항목은 불가능할 수도 있습니다. 많은 미국인들은 정부가 사업 운영 방식을 지시하는 것을 달가워하지 않을 것입니다. 그렇다면 또 무엇을 할 수 있을까요?

해답은 간단하며 이미 많은 민간 부문 조직에서 이를 실행하고 있습니다: 바로 제로 트러스트입니다.

제로 트러스트 프레임워크를 채택하면 공급망 공격이 발생할 경우 해당 이벤트가 구획화됩니다.

바이든 행정부의 행정명령은 이 논제에 동의했습니다. 섹션 4(i)에 따르면 중요 인프라는 최소 권한과 네트워크 세분화, 즉 제로 트러스트 원칙을 적용해야 한다고 명시되어 있습니다.

제로 트러스트 프레임워크를 적용한다고 해서 조직의 공급망에 대한 감사의 필요성이 없어지는 것은 아닙니다. 하지만 공급망에 알려진 공급망 해킹에 대한 감사가 완료된 경우에도 제로 트러스트는 알려지지 않은 공급망 공격으로부터 보호합니다.

공급업체가 타사 소프트웨어를 가져오는 방식을 감사하여 멀웨어로 잘못 신고되지 않도록 하고, 소프트웨어 코딩 관행을 살펴보고, 복잡한 비밀번호를 사용하는지 확인함으로써 조직은 공급망을 보호할 수 있습니다. 하지만 오늘날의 악의적 행위자(국가가 후원하거나 조직 범죄의 후원을 받는)는 방법을 찾을 것입니다. 문제는 폭발이 일어났을 때 폭발 반경을 어떻게 제한할 수 있느냐는 것입니다.

해답은 제로 트러스트를 적용하는 것이며, 지난주 행정명령은 정부가 그 길을 가고 있음을 보여줍니다!

백악관의 행정명령 요건을 더 빨리 충족하고 싶으신가요? 여기에서 방법을 알아보거나 연방 기관을 위한 제로 트러스트 아키텍처를 설계하는 방법을 배울 수 있는 워크숍에 참여하세요.