.png)
John Kindervag氏が、ゼロトラストについてセキュリティリーダーにまだ欠けている点を語る
ジョン・キンダーヴォーグはムーブメントを作ろうとはしませんでした。彼はファイアウォールが馬鹿だと思っただけです。
当時、彼が使用していた特定のファイアウォールは、各インターフェイスに信頼レベルを割り当てていました。ネットワークの「信頼できる」側から「信頼できない」側に移行する場合、ルールすら必要ありませんでした。
当時ペネトレーション・テスターだったジョンは、それがどれほど危険かを正確に知っていました。そして彼が声を上げたとき、彼はクライアント、彼の会社、そしてファイアウォールベンダーから非難されました。
しかし、彼はその考えを揺るがすことができませんでした。なぜ私たちは「信頼」のように曖昧な(そして率直に言って無意味な)ものの上にネットワークを構築していたのでしょうか?
この疑問から、現在ゼロトラストと呼ばれるものが始まりました。そして数十年経った今でも、イルミオのチーフエバンジェリストであるジョンは、時代遅れの前提を打ち破り、サイバーセキュリティ業界に違った考え方をするよう促しています。
このブログ記事では、ジョンとチェイス・カニンガム博士との最近の会話から得た知恵を分析します。 信頼なし ポッドキャスト、 理論から実践へ:ジョン・キンダーヴォーグとチェイス・カニンガム博士によるゼロトラストジャーニーそこで彼は、セキュリティリーダーがまだ欠けていると考えている主要なゼロトラストの原則を共有しました。
歯ごたえのあるセンターはもうありません。ゼロトラストの誕生
ジョンがフォレスターに入社したとき、彼はついにこの大きなアイデアを探求するスペースを手に入れ、会社のアナリストトレーニングがそれを後押ししました。
「彼らは私たちの職務記述書をホワイトボードに書いてくれました」と彼は言います。「『大きなことを考えなさい。』そこで、「デジタルシステムにおける信頼について勉強したい」と言いました。
それが2年間の一次調査につながり、その中には彼らとの会話も含まれていました ジェリコフォーラム (当初はゼロトラストに反対していた人)、プロトタイプアーキテクチャ、そして概念を破ろうとする業界の専門家による果てしないポーキング。
しかし、誰もできませんでした。
最終的に、ジョンは画期的な論文を発表しました。 歯ごたえのあるセンターはもうありません、ゼロトラストをご紹介します。フォローアップペーパー、 ネットワークのDNAにセキュリティを組み込む:ゼロトラストネットワークアーキテクチャ、強調したビジョンを示しました セグメンテーション、ジョンがゼロトラストの中核として長い間考えてきたコンセプトです。
「表面を保護するには、セグメンテーションが必要です」と彼は言います。「それが私が今イルミオにいる理由です。」
可視性の氷山
もし ゼロトラスト それが数年前に突然現れたような気がする。ジョンは、あなたは氷山の一角を見ているだけだと言います。
「2021年に再燃したと思われがちだが、それはずっと続いている」と彼は説明した。「可視性がなかっただけです。」
彼が指摘しているのは 2013年のターゲット違反 と 2015 年午後違反 ゼロトラストが米国政府機関の注目を集めた重要な瞬間でした。
舞台裏では、特に連邦政府関係者の間で、養子縁組が雪だるま式に増え始めました。しかし、企業はそれを認めるのに緊張していました。
「ケーススタディをするように頼んだとき、法務チームと広報チームはノーと言った」と彼は言った。「『私たちがゼロトラストをやっていることを人々に知られたくないのです。それが私たちを標的にする可能性があります。」
それがすべて変わった バイデン大統領の2021年の大統領命令 連邦政府機関にゼロトラストを義務付けています。突然、静かだった運動が世間の勢いを増しました。
「もう脅迫には従わない」
ジョンの最も直感に反する考えの1つは、脅威を追跡しないというものです。
「最新のことは勉強しない マルウェア または攻撃キャンペーン」と彼は言った。「適切に設計されたゼロトラスト環境では、それらは問題にならないからです。」
なぜ?なぜなら、ゼロトラストはbreaches は避けられないと想定し、すべての警告を追いかけるのではなく、重要なものを保護することを中心に統制を構築しているからです。
「ゼロトラスト環境には、インターネット上の未知のリソースが保護対象サーフェイスに未知のペイロードをドロップすることを許可するポリシーはありません」と彼は説明しました。
最新のマルウェアや攻撃キャンペーンについては研究していません。適切に設計されたゼロトラスト環境では、それらは問題にならないからです。
攻撃者が使用するプロトコルは変更されていません。そして、フィッシングリンクや不正なパスワードなど、同じ基本的な攻撃ベクトルが依然として優勢です。
「攻撃者は今でも 20 年前と同じツールを使っています」と彼は言います。「これはキネティックの世界ではありません。サイバーの世界では、いまだに同じ TCP/IP レールの内側にとどまっています。」
Johnは、脅威情報を追いかけるのではなく、強制力のあるポリシーと表面を保護することに重点を置いています。
ゼロトラストは必ずしも迅速に対応することではありません。そもそも攻撃者のオプションを削除することです。
柱は忘れて:ゼロトラストの5ステップモデルに従う
多くのゼロトラストの取り組みが行き詰まっている理由の1つは、組織が流行語や柱だらけの厳格な枠組みに従おうとするためです。ジョンは、今こそシンプルにする時だと言います。
「私は5ステップモデルを使っています。常に。製品リストではなく、保護面から始めましょう」と彼は奨励しました。
次のような政府出版物で概説されている5つのステップ ゼロトラストとトラステッドアイデンティティ管理に関するNSTAC社長への報告、以下を含みます:
- 保護サーフェスを定義してください
- トランザクションフローのマッピング
- ゼロトラストアーキテクチャを構築
- ポリシーの作成
- 監視と保守
ジョンは、ゼロトラストに一度に取り組もうとしたり、直線的な成熟の旅だと思ったりしないように警告しています。
「人々は、『まずアイデンティティのすべてを行い、次にデバイス、次にネットワークを行う』と考えています」と彼は言います。「あんなふうに何かを成し遂げることは決してないだろう。」
その代わり、チームがプロジェクトを分割して、エンドツーエンドで保護できるネットワークの小さくて価値の高い部分を保護面に分けることを推奨しています。
そして、常に最も重要な質問から始めてください。私たちは何を保護しているのでしょうか?
ゼロトラストはリーダーシップの必須事項
ゼロトラストの勢いを維持するにはどうすればよいか尋ねられたとき、ジョンは単純な真実を答えました。「経営陣の賛同を得てください。彼らが乗っていると、すべてが変わります。」
これが、不整合なインセンティブを連携に変えるものです。
「多くの人に『ここではゼロトラストは絶対やらない』と言われてきました。そして、CEOは私たちがそれをやっていると言って、突然それが起こりました。」
短期的な証券購入から長期戦略に考え方を変える唯一の方法は?それをリーダーシップの優先事項にしてください。
「サイバーセキュリティは四半期ごとの予算項目ではありません」とジョン氏は言います。「それがあなたのビジネスを動かしているのです。」または、彼が率直に言ったように、「コンピューターがダウンすると、飛行機は飛ばない」。
サイバーセキュリティは四半期ごとの予算項目ではありません。それがあなたのビジネスを動かしているのです。
ゼロトラスト:トレンディではない または オプショナル
ゼロトラストが主流になりました。政府の命令、ベンダーキャンペーン、派手なホワイトペーパーなどにそのことがよく見られます。しかし、そのほとんどは要点を見逃しています。
John Kindervagが20年近く共有しているのは、製品の売り込みでもマーケティングの枠組みでもありません。それは考え方の変化です。組織に反応をやめ、設計を始めることを強いるものです。恐怖に基づく支出ではなく、実際の戦略に根ざしたもの。
絶え間ない攻撃、重複するツール、そして迅速に行動しなければならないというプレッシャーがある世界では、ジョンの声は土台となります。サイバーセキュリティはトレンドを追いかけることではなく、最も重要なものを保護することであることを思い出させてくれます。
ゼロトラストがもはやオプションではないのはまさにそのためです。これは設計上、運用上の脆弱性対策です。
ジョンのようなゼロトラストのリーダーからのポッドキャストをもっと聞きたい?受賞歴のあるポッドキャストを購読する ザ・セグメント:ゼロトラスト・リーダーシップ・ポッドキャスト。
.webp)
