제로 트러스트 세그멘테이션을 통한 공급망 공격 차단

바이든 행정부의 섹션 4 행정 명령공급망에 초점을 맞춘 국가의 사이버 보안 개선에 중점을 둡니다.놀랍지 않았어요.

공급망은 복잡성 때문에 특히 보호하기가 어렵습니다.

자동차 제조를 대조적으로 생각해 보십시오.이 산업에서는 엔지니어가 자동차 프레임, 엔진 부품, 부품, 하위 부품 등 각 부품을 설계합니다. 특히 각 차량에 맞게 말이죠.각 요소에는 내구성과 안전성을 보장하는 사양이 있습니다.

반대로 증권 구매자의 POC (개념 증명) 및 조달 프로세스를 생각해 보십시오.대부분의 경우 규정 준수를 위해서는 여러 제품에서 해결할 수 있는 솔루션 또는 원하는 최종 상태가 필요합니다.공급업체가 기반으로 제작하는 일련의 정의된 사양은 거의 없습니다.방화벽 공급업체에서 마지막으로 제품을 맞춤 제작한 것이 언제였습니까?

물론 구성을 조정할 수는 있지만 특정 목적에 맞게 사용자 지정되지 않았으며 그 외에는 아무것도 없습니다.대신 공급업체는 시장 최대 규모를 확보하기 위해 적용 범위가 가장 넓은 제품을 만듭니다.게다가 모든 공급업체는 빠르게 변화하는 시장에 뒤쳐지지 않기 위해 제품을 신속하게 제작, 출시 및 납품하기 위해 경쟁하고 있습니다.

여기에 더해 (자동차 산업과 마찬가지로) 벤더들은 수익을 창출해야 한다는 압박을 받고 있습니다.그러기 위해서는 무언가 주어야 할 것.SolarWinds의 경우 수익 추구 때문에 보안에 대한 타협이 발생했습니다.이런 일이 다시 일어나도록 내버려 둘 수는 없습니다.

보안 실무자들은 다른 제품을 “감시”하기 위해 다른 솔루션을 사용하지만 안타깝게도 이러한 문제도 있습니다.다시 말씀드리지만, SolarWinds의 경우에도 엔드포인트 탐지 솔루션에는 항상 SolarWinds 소프트웨어를 멀웨어로 신고했기 때문에 SolarWinds는 기술 자료 문서에서 해당 소프트웨어의 모니터링 기능을 비활성화할 것을 권장했습니다.

그럼, 어떻게 해야 할까요?

행정 명령 이전에 AttackIQ의 조나단 라이버와 저는 다음과 같은 글을 발표했습니다. 로페어 블로그 그것은 우리가 바이든의 행정 명령에서 바라던 바를 요약했습니다.우리가 탐구하지 않은 항목 중 하나는 공급망입니다.여기서 몇 가지 생각을 해보려 합니다.

1. 모든 엔드포인트 모니터링 도구에는 오탐을 일으키지 않으면서 타사를 모니터링할 수 있는 강력한 프로그램이 있어야 합니다.엔드포인트 공급업체에게는 비용이 많이 들지만 그 혜택은 엄청날 수 있습니다!안타깝게도 이러한 프로그램에 드는 비용과 고객의 가격 민감성 때문에 이 목표를 달성하기는 어려울 것입니다.
2. 행정명령은 소프트웨어 개발의 투명성이 결여되어 있다는 점을 인정하고 있지만, 문제는 공급업체의 공급망이 손상되지 않도록 하기 위해 어떻게 베일을 제거할 것인가입니다.이를 위해서는 처음부터 새로 만들지 말고, 국제 경쟁국 중 하나인 프랑스를 살펴보는 것이 좋습니다.
3. 프랑스 정부는 기관을 개발했습니다. 안시, 중요 인프라 (정부 인프라뿐만 아니라) 를 식별하고 해당 인프라를 보호하기 위한 표준을 설정한 다음 해당 인프라를 보호하는 소프트웨어를 제공하는 공급업체를 감사합니다.
5. 이 접근 방식의 이점은 소프트웨어 공급업체가 규제 기관을 경쟁 업체로 보지 않고 ANNSI가 소프트웨어를 “도용”하지 않는다는 것입니다.대신 공급업체를 감사하여 프랑스 인프라의 안전을 보장합니다.
7. ANNSI에 대한 마지막 메모입니다.위에서 언급한 바와 같이 ANNSI는 원칙을 정부 인프라에만 적용하는 것이 아니라 “중요” 인프라에도 적용합니다.Illumio에서는 이 기관이 프랑스 제약, 제조, 은행 및 프랑스 국민에게 “중요”하다고 간주되는 기타 인프라에 관여하는 것을 목격했습니다.
9. 다음과 같은 경우에도 도움이 되었을 것입니다. 콜로니얼 파이프라인 랜섬웨어 공격 (이는 분명히 중요한 인프라이기도 합니다).

여러 면에서 자본주의와 미국의 치열한 독립은 위의 두 항목을 가능하게 만들지 못할 수도 있습니다.많은 미국인들은 정부가 사업 운영 방법을 지시하는 것을 좋아하지 않을 것입니다.그럼, 우리가 할 수 있는 게 뭐가 있을까요?

답은 간단하며 많은 민간 부문 조직이 이미 이를 실천하고 있습니다. 바로 제로 트러스트입니다.

제로 트러스트 프레임워크를 채택하면 공급망 공격이 발생할 경우 이벤트를 구분할 수 있습니다.

바이든 행정부의 행정 명령은 이 조항에 동의했습니다.섹션 4 (i) 에서는 중요 인프라에 최소한의 권한이 있어야 한다고 명시하고 있습니다. 네트워크 세분화 - 즉, 제로 트러스트의 원칙을 적용해야 합니다.

제로 트러스트 프레임워크를 적용한다고 해서 조직의 공급망을 감사할 필요가 없어지는 것은 아닙니다.하지만 알려진 공급망 해킹에 대해 공급망을 완전히 감사했더라도 제로 트러스트는 알려지지 않은 공급망 공격으로부터 보호합니다.

공급업체가 타사 소프트웨어를 도입하는 방식을 감사하여 멀웨어로 잘못 신고되지 않았는지 확인하고, 소프트웨어 코딩 관행을 살펴보고, 복잡한 암호를 사용함으로써 조직은 공급망을 보호하는 데 도움을 줄 수 있습니다.그렇긴 해도 오늘날의 악의적 행위자들 (국가가 조직 범죄의 후원을 받거나 후원을 받음) 은 방법을 찾을 수 있을 것입니다.문제는 폭발 발생 시 폭발 반경을 어떻게 제한할 것인가입니다.

정답은 제로 트러스트 적용 — 그리고 지난 주 행정 명령은 정부가 순조롭게 나아가고 있음을 보여줍니다!

백악관의 행정 명령 요구 사항을 더 빠르게 충족할 방법을 찾고 계십니까?방법 알아보기 이리 또는 우리와 함께 하세요 작업장 여기서는 연방 기관을 위한 제로 트러스트 아키텍처를 설계하는 방법을 배울 수 있습니다.