존 킨더백이 말하는 제로 트러스트에 대해 보안 리더들이 여전히 놓치고 있는 점

존 킨더백은 운동을 만들려고 한 게 아니에요.그는 방화벽이 멍청하다고 생각했을 뿐이야.

당시 그가 작업한 특정 방화벽은 각 인터페이스에 신뢰 수준을 할당했습니다.네트워크의 “신뢰할 수 있는” 쪽에서 “신뢰할 수 없는” 쪽으로 이동하는 경우에는 규칙조차 필요하지 않았습니다.

당시 침투 테스터였던 John은 그것이 얼마나 위험한지 정확히 알고 있었습니다.그가 말을 꺼냈을 때, 그는 고객과 회사, 방화벽 공급업체로부터 열광을 받았습니다.

하지만 그는 그 생각을 떨칠 수 없었습니다. 왜 우리는 “신뢰”처럼 막연한 (솔직히 무의미한) 무언가를 기반으로 네트워크를 구축했을까요?

이 질문은 우리가 현재 제로 트러스트라고 부르는 것을 시작했습니다.그리고 수십 년이 지난 지금도, 현재 Illumio의 수석 에반젤리스트인 John은 여전히 시대에 뒤떨어진 가정을 무너뜨리고 사이버 보안 업계가 다르게 생각하도록 밀어붙이고 있습니다.

이 블로그 게시물에서는 존이 최근 체이스 커닝햄 박사와 나눈 대화에서 나온 지혜를 분석해 보겠습니다. 노 트러스트 팟캐스트, 이론에서 실천으로: 존 킨더백과 체이스 커닝햄 박사와 함께하는 제로 트러스트 여정그는 보안 리더들이 아직 놓치고 있다고 생각하는 주요 제로 트러스트 원칙을 공유했습니다.

짜증나는 센터는 이제 그만: 제로 트러스트의 탄생

John은 Forrester에 입사했을 때 마침내 이 큰 아이디어를 탐구할 수 있는 공간을 얻었고 회사의 애널리스트 교육을 통해 이를 장려했습니다.

“그들은 화이트보드에 우리의 직무 설명을 적었어요.” 라고 그는 말했습니다.“'큰 생각을 해 보세요. '그래서 디지털 시스템에 대한 신뢰에 대해 공부하고 싶다고 했죠.”

그 결과 연구와의 대화를 포함하여 2년간의 1차 연구가 이루어졌습니다. 제리코 포럼 (원래 제로 트러스트에 반대했던), 프로토타입 아키텍처, 개념을 깨려는 업계 전문가들의 끝없는 비웃음.

하지만 아무도 할 수 없었어요.

결국 John은 획기적인 논문을 발표했습니다. 더 이상 질긴 센터는 이제 그만, 제로 트러스트를 소개합니다.후속 논문은 네트워크 DNA에 보안 구축: 제로 트러스트 네트워크 아키텍처, 강조하는 비전 제시 분할John이 오랫동안 제로 트러스트의 핵심으로 여겨 온 개념입니다.

“표면을 보호하려면 분할이 필요합니다.” 라고 그는 말했습니다.“그게 제가 지금 일루미오에 있는 이유죠.”

가시성 빙산

만약 제로 트러스트 존은 마치 몇 년 전에 갑자기 그 광경이 갑자기 튀어나온 것 같다고 합니다. 빙산의 일각만 보고 있는 것 같아요.

“사람들은 2021년에 다시 불을 붙였다고 생각하지만 항상 그랬습니다.” 라고 그는 설명했습니다.“가시성이 없었을 뿐이죠.”

그는 다음과 같이 가리키고 있습니다. 2013년 타겟 침해 그리고 2015년 OPM 위반 제로 트러스트를 미국 정부 기관의 관심을 끄는 중요한 순간이었죠.

무대 뒤에서 채택이 눈덩이처럼 불어나기 시작했습니다. 특히 연방계에서는 더욱 그렇습니다.하지만 기업들은 이 사실을 인정하기를 꺼려했습니다.

“사례 연구를 요청했을 때 법무 팀과 PR 팀은 거절했습니다.” 라고 그는 말했습니다.“'우리가 제로 트러스트를 하고 있다는 사실을 사람들에게 알리고 싶지 않아요.그러면 우리가 표적이 될 수도 있어요. '”

모든 것이 바뀌었습니다. 바이든 대통령의 2021년 행정명령 연방 기관에 제로 트러스트를 의무화합니다.조용하던 운동이 갑자기 대중의 탄력을 받게 되었습니다.

“더 이상 위협을 따르지 않아요.”

존의 가장 직관적이지 않은 믿음 중 하나는 위협을 추적하지 않는다는 것입니다.

“저는 최신 공부를 하지 않아요. 악성 코드 또는 공격 캠페인이요.” 라고 그는 말했습니다.“잘 설계된 제로 트러스트 환경에서는 중요하지 않기 때문입니다.”

왜요?제로 트러스트는 보안 침해가 불가피하다고 가정하고 모든 경고를 추적하는 대신 중요한 정보를 보호하기 위한 제어 기능을 구축하기 때문입니다.

“제로 트러스트 환경에서는 인터넷의 알 수 없는 리소스가 보호 대상 표면에 알 수 없는 페이로드를 떨어뜨리는 것을 허용하는 정책은 없습니다.” 라고 그는 설명했습니다.

저는 최신 멀웨어나 공격 캠페인에 대해서는 연구하지 않습니다. 잘 설계된 제로 트러스트 환경에서는 중요하지 않기 때문입니다.

공격자가 사용하는 프로토콜은 변경되지 않았습니다.그리고 피싱 링크나 잘못된 암호와 같은 동일한 기본 공격 벡터가 여전히 우세합니다.

“공격자들은 여전히 20년 전과 같은 도구를 사용하고 있습니다.” 라고 그는 말했습니다.“여긴 키네틱 월드가 아니야.사이버에서는 여전히 동일한 TCP/IP 레일 안에 갇혀 있습니다.”

John은 위협 정보를 찾는 대신 시행 가능한 정책과 보호 표면에 초점을 맞춥니다.

제로 트러스트는 반드시 더 빠르게 대응하는 것을 의미하지는 않습니다.애초에 공격자의 선택지를 없애는 거죠.

기둥은 잊어버리세요: 제로 트러스트를 위한 5단계 모델 따르기

많은 제로 트러스트 노력이 중단되는 이유 중 하나는 조직이 유행어와 기둥으로 가득 찬 엄격한 프레임워크를 따르려고 하기 때문입니다.John은 이제 단순화해야 할 때라고 말합니다.

“저는 5단계 모델을 사용합니다.항상 그래요.제품 목록이 아닌 보호 표면부터 시작하세요.” 라고 그는 권장했습니다.

다음과 같은 정부 간행물에 설명된 다섯 단계 제로 트러스트 및 신뢰할 수 있는 ID 관리에 관한 NSTAC 대통령 보고서, 다음을 포함합니다:

1. 보호 표면 정의
2. 거래 흐름 매핑
3. 제로 트러스트 아키텍처 구축
4. 정책 생성
5. 모니터링 및 유지 관리

John은 제로 트러스트를 한 번에 해결하려고 하거나 그것이 선형적인 성숙의 여정이라고 생각하지 말라고 경고합니다.

“사람들은 '모든 아이덴티티를 먼저 한 다음 디바이스, 네트워크를 차례로 처리하겠다'고 생각합니다.” 라고 그는 말했습니다.“그런 식으로는 어떤 것도 이룰 수 없을 거예요.”

대신 그는 팀이 프로젝트를 처음부터 끝까지 보호할 수 있는 작고 가치가 높은 네트워크 부분인 보호 표면으로 나눌 것을 권장합니다.

그리고 항상 가장 중요한 질문부터 시작하세요. 우리는 무엇을 보호하고 있을까요?

제로 트러스트는 리더십의 필수 요소입니다

제로 트러스트 모멘텀을 유지하는 방법을 물었을 때 John은 간단한 진실을 제시했습니다. “리더십의 지지를 얻으세요.직원이 합류하면 모든 것이 바뀝니다.”

이것이 바로 잘못 조정된 인센티브를 조정으로 바꾸는 것입니다.

“많은 사람들이 '여기서는 절대 제로 트러스트를 하지 않을 거예요. '라고 말했어요.그러자 CEO가 우리가 하고 있다고 말하더니 갑자기 그런 일이 벌어졌어요.”

사고방식을 단기 증권 구매에서 장기 전략으로 전환할 수 있는 유일한 방법은 무엇일까요?이를 리더십의 우선 순위로 삼으세요.

“사이버 보안은 분기별 예산 항목이 아닙니다.” 라고 John은 말했습니다.“비즈니스를 운영하는 것은 바로 이것입니다.”아니면 그가 직설적으로 말했듯, “컴퓨터가 고장나면 비행기는 날지 않아요.”

사이버 보안은 분기별 예산 항목이 아닙니다.비즈니스를 운영하는 주체는 바로 이것입니다.

제로 트러스트: 트렌디하지 않음 또는 선택 과목

제로 트러스트가 주류가 되었습니다.정부 명령, 공급업체 캠페인, 화려한 백서에서 이를 확인할 수 있습니다.하지만 대부분은 요점을 놓치고 있습니다.

존 킨더백이 거의 20년 동안 공유해 온 것은 제품 홍보나 마케팅 프레임워크가 아닙니다.사고방식이 바뀐 거죠.이로 인해 조직은 대응을 멈추고 설계를 시작해야 합니다.이는 두려움에 기반한 지출이 아니라 실제 전략에 기반을 두고 있습니다.

끊임없는 공격, 중첩되는 도구, 빠르게 움직여야 한다는 압박이 만연한 세상에서 John의 목소리는 굳건합니다.이는 사이버 보안이 트렌드를 따라가는 것이 아니라 가장 중요한 것을 보호하는 것임을 일깨워줍니다.

이것이 바로 제로 트러스트가 더 이상 선택 사항이 아닌 이유입니다.설계상 운영상의 취약성 방지를 위한 것입니다.

John과 같은 제로 트러스트 리더의 팟캐스트를 더 듣고 싶으신가요?수상 경력에 빛나는 팟캐스트를 구독하세요 더 세그먼트: 제로 트러스트 리더십 팟캐스트.