제로 트러스트가 성장했습니다. 창립자들이 말하는 다음 단계는 다음과 같습니다.

제로 트러스트가 성장했습니다.

체이스 커닝햄과 존 킨더백이 개념에서 글로벌 움직임에 이르기까지 자신들이 구축한 보안 전략의 현재 상태를 설명하는 방식입니다.

"포레스터에 입사했을 때 다른 사람의 아기를 물려받았어요." 체이스는 농담을 던졌습니다. "그 부모는 존이었습니다. 그리고 이제 아기는 십대가 되었습니다."

항상 이런 식이었던 것은 아닙니다. 하지만 오늘날 제로 트러스트는 어디에나 존재합니다. 존과 체이스는 이제 전 세계의 보안 리더들이 가장 중요한 것을 보호하는 방법을 재구상하도록 돕고 있습니다.

그렇다면 무엇이 이 모멘텀의 원동력이 되고 있으며, 다음 단계는 무엇일까요?

최근 더 세그먼트 팟캐스트 에피소드에서는 제로 트러스트의 대부인 존과 업계에서 제로 트러스트 박사로 알려진 체이스와 함께 이 전략의 부상, 보안 그래프의 힘, 공격자처럼 생각하는 것이 실제로 무엇을 의미하는지에 대해 이야기를 나눴습니다.

제로 트러스트는 전략입니다. 마침표.

약 15년 전 존과 체이스가 제로 트러스트를 처음 전파하기 시작했을 때만 해도 반응은 그다지 열광적이지 않았습니다.

"제 첫 연설에는 14명이 참석했습니다."라고 John은 말합니다. "그리고 대부분 저를 바보라고 말하더군요."

하지만 이제는 전 세계로 확대되었습니다. 소규모 기업부터 국제 정부에 이르기까지 다양한 조직이 마침내 보안 전략의 핵심에 격리 및 가시성을 두고 있습니다.

체이스는 우리가 제로 트러스트의 벽을 넘었다고 믿습니다. "온라인에서 '혐오'는 여전히 존재하지만, 채택은 현실입니다."라고 그는 말합니다.

대만에서 스위스에 이르기까지 전 세계에서 제로 트러스트 워크숍을 주도하고 있습니다. 실제로 존은 최근 코드브레이커의 본거지인 영국의 블레클리 파크에서 사이버 보안 리더들을 대상으로 연설한 바 있습니다.

이러한 성장의 원동력은 무엇일까요? 두 사람은 보안 엔지니어부터 경영진, 이사회 구성원까지 모든 계층에서 공감할 수 있는 것이 제로 트러스트의 능력이라는 데 동의했습니다.

제로 트러스트는 처음부터 어떤 기술을 구매해야 하는지에 대한 논의가 아니었습니다. 규모에 관계없이 모든 기능에 걸쳐 작동하는 탄력적인 조직을 구축하기 위한 프레임워크입니다.

보안 그래프가 사이버 게임의 판도를 바꾸고 있습니다.

제로 트러스트는 업계가 진화하는 와중에도 계속 작동하기 때문에 독특한 전략입니다. 현재 가장 큰 도약 중 하나는 보안 그래프와 함께 조직이 제로 트러스트를 채택하는 방식입니다.

체이스의 새 책, ' 공격자처럼 생각하세요: 보안 그래프가 위협 탐지 및 대응의 차세대 영역인 이유에서는 그래프 분석이 방어자가 공격자가 이미 가지고 있는 것과 동일한 명확성을 가지고 인프라를 이해하는 데 어떻게 도움이 되는지 설명합니다.

"제가 군대에 있을 때는 한 달에 5건의 작전을 성공시켰는데, 그래프 모델을 사용한 후에는 300건으로 늘었습니다."라고 체이스는 말합니다. "왜? 지형을 이해했기 때문입니다."

John도 동의합니다. 제로 트러스트를 위한 5단계 모델에서 보안 그래프는 2단계인 트랜잭션 흐름 매핑의 엔진입니다. 이 맵이 없으면 제로 트러스트는 추측에 불과합니다.

"좋은 지도가 전쟁에서 승리합니다."라고 그는 말했습니다. "나쁜 사람은 길을 잃게 됩니다." 사이버 보안에서도 마찬가지입니다.

좋은 지도가 전쟁에서 승리합니다. 나쁜 사람은 길을 잃게 됩니다.

보안 우선 순위를 파악하지 않으면 제어권을 잃을 위험이 있습니다.  

보안 그래프는 보안 팀이 가장 중요한 사안의 우선순위를 정하는 데도 도움이 됩니다.

존과 체이스는 사이버 보안 리더는 성공이 무엇인지 다시 생각해야 한다고 강조했습니다. "모든 것이 우선순위라면 아무것도 우선순위가 될 수 없습니다."라고 체이스는 경고했습니다.  

그렇기 때문에 네트워크에서 가장 중요한 데이터, 애플리케이션, 서비스인 보호 표면을 정의하는 것이 기본입니다.

여기에서 보안 리더는 그래프 기반의 가시성을 사용하여 정보에 기반한 의사 결정을 내리고 목적에 맞게 제어 기능을 배포할 수 있습니다. 존은 이렇게 말합니다: "대부분의 사람들은 나쁜 일이 일어나지 않기를 바랍니다. 이는 위험 전략이 아닙니다."

대신 보안팀은 공격자가 침입할 수 있다는 사실을 받아들여야 합니다. 우리의 임무는 그들의 움직임을 봉쇄하고 폭발 반경을 최소화하는 것입니다.

공격자처럼 생각하거나 한 발 뒤처지지 않기

이번 토론에서 얻은 가장 강력한 시사점 중 하나는 수비수들이 각본을 뒤집어야 한다는 점입니다.

"공격자들은 규정 준수 체크리스트를 따르지 않습니다."라고 체이스는 말합니다. "그들은 빠르게 움직이고, 더럽게 놀며, 안전하다고 생각하는 것들을 악용합니다."  

그렇기 때문에 경고를 모니터링하거나 알려진 취약점을 패치하는 것만으로는 충분하지 않습니다. 방어자는 적의 사고방식을 이해해야 합니다. 공격자가 이미 여러분의 인프라를 여러분보다 더 잘 이해하고 있을 가능성이 높기 때문입니다.

공격자는 규정 준수 체크리스트를 따르지 않습니다. 그들은 빠르게 움직이고, 더럽게 놀며, 안전하다고 생각하는 것들을 악용합니다.

수십 년 동안 레드팀은 존재해 왔지만 이제는 진화해야 할 때라고 John은 강조합니다. "침투 테스트를 하고 200페이지에 달하는 보고서를 제출했지만 아무도 조치를 취하지 않았습니다."라고 그는 말합니다. "이제 공격자가 내 보호 영역에 접근할 수 있는지, 공격자가 접근하면 얼마나 빨리 차단할 수 있는지 등을 묻는 표적화된 테스트가 필요합니다."

주의하면 AI는 동맹이 될 수 있습니다.

AI는 위협을 보고, 이해하고, 우선순위를 정하고, 위협에 대응하는 방식을 발전시키는 데 실질적인 도움이 될 수 있습니다. 존과 체이스는 인공지능의 과대 광고에 회의적이지만, 그 가능성에 대해서는 낙관적입니다.

"AI는 마법이 아닙니다."라고 체이스는 말합니다. "수학이죠. 하지만 수비수가 기계 속도로 움직이는 데 도움이 된다면 사용하세요."

존은 AI의 가치는 조직의 대응을 가속화할 수 있도록 돕는 데 있다고 덧붙였습니다. "변화 관리와 같은 방식으로 에어백을 배포하면 죽습니다."라고 그는 말합니다. "자동화된 응답이 필요합니다. AI가 우리를 그곳에 데려다 줄 수 있습니다."

AI는 마술이 아닙니다. 수학입니다. 하지만 수비수가 기계 속도로 움직이는 데 도움이 된다면 사용하세요.

하지만 단순히 "AI"라고 표시된 도구를 구입하는 것만이 능사는 아닙니다. 기존 인프라가 이를 지원할 준비가 되어 있는지 확인하는 것입니다. 그래프 기반 가시성, 정책 엔진, 세분화가 이미 구축되어 있어야 AI를 통한 실시간 조치가 가능합니다.

제로 트러스트가 자리를 잡았습니다.

이번 대화에서 가장 고무적인 부분은 제로 트러스트가 얼마나 발전했는지 확인하는 것이었습니다. 카지노 펜 테스트와 호텔 체육관 채팅부터 장군 및 의원 자문까지, John과 Chase는 아이디어를 운동으로 발전시켰습니다.

이러한 움직임은 더 이상 IT의 틈새 관심사가 아닙니다. 이는 이사회 문제이자 국가적 우선순위이며 전략적 필수 과제입니다.

존의 말처럼: "공격자들은 우리를 이기기 위해 기계를 만들고 있습니다. 따라서 우리는 그들을 물리칠 수 있는 기계를 만들어야 합니다."

그러기 위해서는 더 나은 지도, 더 스마트한 시스템, 그리고 가장 중요한 것에 우선순위를 두는 용기가 필요합니다.

더 세그먼트에서 전체 대화를 들어보세요: 제로 트러스트 리더십 팟캐스트 애플, Spotify또는 당사 웹사이트.