가시성, 일관성 및 제어 수용

00:00 라구 난다쿠마라: 세그먼트에 오신 것을 환영합니다: 제로 트러스트 리더십 팟캐스트.저는 호스트입니다. 제로 트러스트 세그멘테이션 회사인 Illumio의 산업 솔루션 책임자인 라구 난다쿠마라입니다.오늘은 IBM 시큐리티의 스티븐 코라지오와 그렉 트카직이 저와 함께합니다.Stephen은 IBM의 관리 파트너로서 미국의 금융 서비스 사이버 보안 업무를 이끌고 있습니다.22년 이상의 금융 서비스 및 사이버 경험을 보유한 Stephen은 프로그램 전략 및 설계부터 구현 및 운영에 이르는 보안 프로젝트에 중점을 두고 있습니다.Greg는 IBM 글로벌 보안 역량 센터의 수석 컨설턴트로, 상태 관리, 컨테이너 보안, 마이크로세그멘테이션 기술을 비롯한 클라우드 및 인프라 보안에 중점을 두고 있습니다.오늘 Stephen과 Greg가 함께 사이버 보안의 비즈니스 가치, 귀사의 핵심 가치, 분석 마비 및 기타 제로 트러스트 문제를 극복하는 방법에 대해 이야기합니다.안녕하세요, 환영합니다.스티븐, 여기 와줘서 정말 좋아요.어떻게 지내세요?

01:02 스티븐 코라지오: 좋아요.좋아요.초대해 줘서 고마워요저도 이 자리에 오게 되어 정말 기쁩니다.

01:05 라구 난다쿠마라: 정말 반갑습니다.그렉도 마찬가지고요.오늘 어떻게 지내세요?

01:09 그렉 트카치크: 좋아요, 라구, 초대해 주셔서 감사합니다.

01:11 라구 난다쿠마라: 두 분 모두 오늘날에 이르기까지 매우 넓은 길을 가셨어요.스티븐 씨, 가능하다면 비즈니스 관점에서 볼 때 사이버 보안이 비즈니스 인식에서 어떻게 발전해 왔는지 관찰하셨나요?

01:26 스티븐 코라지오: 흥미로운 질문이네요.제 생각에 저는 이 분야에서 16년 동안 사이버 보안 컨설팅을 하면서 수많은 대규모 글로벌 고객, 지역 고객 및 그 사이의 모든 것들과 함께 일해 왔습니다.그리고 제가 최근에 본 것은, 3~4년이라는 시간이 비즈니스 관점, 즉 위험의 관점에서 볼 때 상당한 변화라고 가정해 보겠습니다.그래서 우리는 사이버의 비즈니스 측면에 점점 더 많이 참여하게 되었습니다.따라서 비즈니스 위험은 최고 위험 책임자에게 달려 있습니다. 심지어 이사회와 경영진을 통해서도 사이버의 실제 비즈니스 위험 영향이나 조력자가 무엇인지, 그리고 사이버가 어떻게 혁신을 주도할 수 있는지, 그리고 사이버 보안이 어떻게 이를 가능하게 할 수 있는지에 대한 것입니다.이는 지난 3~3~4~5년 동안 고객들이 우리를 참여시키는 방식에 큰 변화를 가져왔습니다.

02:18 라구 난다쿠마라: 정말 흥미롭다고 생각합니다. CISO와 비즈니스 마인드를 가진 CISO의 진화도 볼 수 있기 때문이죠.잠시 후에 다시 말씀드리고 싶습니다.그렉, 기술 구현에 깊이 있는 전문가로서 기술 및 구현 관점에서 지난 몇 년 동안 사이버 보안에 대한 접근 방식이 바뀌는 것을 어떻게 보셨나요?

02:41 Greg Tkaczyk: 20년 전 제가 사이버 보안 분야를 시작했을 때, 우리는 개선 가능한 사항에 대한 보고서를 제공하는 평가 작업에 매우 집중했습니다.사실 요즘에는 고객들이 기업에서 소프트웨어를 구현하는 과정을 안내해 줄 수 있는 신뢰할 수 있는 조언자의 지원이 필요하다는 사실을 깨닫고 있습니다.실제로는 기존의 인프라 기반 접근 방식에서 소프트웨어 기반 사이버 보안 접근 방식에 더 초점을 맞추고 있습니다.

03:10 라구 난다쿠마라: 멋지네요.그럼 그 얘기로 넘어가죠.온프레미스의 모든 것, 관리하는 모든 것에서 하이브리드 클라우드 등으로의 자연스러운 전환이 소프트웨어로의 전환을 주도하기 때문입니다.스티브 씨, 다시 말씀드리자면, 사이버 변화에 대한 우리의 사고 방식과 이제는 최고 위험 책임자 (Chief Risk Officer) 등으로 확대되고 있는 비즈니스 요구 사항에 훨씬 더 부합하는 방식에 대해 말씀드리겠습니다. 이러한 변화가 단지 고립된 거의 IT 분야에서 이제는 훨씬 더 많은 비즈니스 분야로 바뀌게 된 계기는 무엇이라고 생각하시나요?

03:43 스티븐 코라지오: 사이버가 주류가 된 것 같아요.지난 5~7년 동안 일어난 몇 가지 주요 사건들을 보면 이사회 차원의 논의가 된 것 같아요.이제 더 이상 CISO에만 국한된 문제가 아닙니다. 이제 이사회는 사이버가 수익에 미치는 영향에 대해 고민하고 있습니다.이것이 우리의 주가, 주주, 가치, 고객, 파트너가 시장에서 우리를 바라보는 방식에 어떤 영향을 미칠까요?그리고 우리가 사이버 프로그램을 구축할 때 많은 논의가 중심이 됩니다. “이를 조력자, 차별화 요소로 고객과 공유하여 고객이 우리와 더 안전하게 거래할 수 있다고 느낄 수 있을까요?우리가 제공하는 제품, 공유하는 플랫폼, 시장에 출시하는 방식에도 보안을 내장했나요?”그리고 이것이 비즈니스 가치와 고객 및 파트너의 시장 진출 방식을 촉진하는 원동력이라는 것을 그들이 깨달았다고 생각합니다.저는 지금 이 시대가 매우 흥미로운 시점에 와 있다고 생각합니다. 대기업에서는 이제 보안을 비즈니스 동력이자 차별화 요소로 생각할 수 있는 시기가 도래했다고 생각합니다. 5년 전까지만 해도 비용 중심지였고 자금이 사라지는 곳으로 여겨지기도 했습니다.하지만 지금은 그 반대입니다.

04:54 라구 난다쿠마라: 네, 물론이죠.또한 보안 기능은 항상 어떤 일에 대해 '아니오'라고 말하거나 모든 것에 의문을 제기하는 기능으로 간주된다는 인식도 있었던 것 같아요.그리고 “좋아, 이게 내가 당신의 비즈니스를 가능하게 하는 방법이야.” 라고 말할 수 있게 된 것이죠.그럼 그렉, 이제 그걸로 결실을 맺으시고, 기술적 관점에서 비즈니스와 혁신을 가능하게 하고 있다는 것을 어떻게 보여주시는지 설명해 주시겠어요?

05:17 그렉 트카치크: 네, 물론이죠.그래서 제가 고객과 대화를 시작할 때, 특히 제로 트러스트에 대해 이야기할 때 주로 하는 일 중 하나는 고객이 직면하고 있는 문제를 정확하게 파악하는 것입니다.제 경험에 비추어 볼 때 이 문제는 크게 세 가지로 요약됩니다.가시성, 일관성, 통제력입니다.제로 트러스트는 광범위한 주제이지만, 궁극적으로는 제로 트러스트의 어떤 영역에 대해 이야기하든 관계없이 모든 고객이 달성하고자 하는 세 가지 목표가 바로 이 세 가지라고 생각합니다.가시성이란 자산, 애플리케이션, 사용자, 데이터 등에 대한 가시성을 말하는 것인데, 제가 보호하고자 하는 클라우드 리소스는 무엇이 전부일까요?어떻게 구성되나요?내 애플리케이션을 구성하는 워크로드는 무엇인가요?커뮤니케이션은 어떻게 이루어지나요?이러한 가시성 부족으로 인해 사각 지대가 생겨 공격자가 사용자 환경이나 현재 환경을 누비고 다닐 수 있습니다. 궁극적으로 보호하려는 대상을 모르면 보안 제어를 만들 수 없게 됩니다.

06:06 그렉 트카치크 (Greg Tkaczyk): 하지만 가시성을 확보하면 환경, 기업 내 이해 관계자들 간에 공유된 진실의 원천이 만들어지는 경우가 많으며, 이를 활용하여 향후 업무를 더 쉽게 수행할 수 있습니다.그래서 구현에 관여할 때마다 자주 하는 일 중 하나는 규정 준수 팀, 주로 CISO와 그의 조직, 사고 대응 등 조직 전체의 다양한 이해 관계자를 만나 이들이 기업 내에서 이 도구나 새로운 기능을 활용하여 삶을 더 쉽게 만들 수 있는 방법을 알아내는 것입니다.

06:43 라구 난다쿠마라: 설명하신 방식이 마음에 들어요.세 단어를 사용하셨듯이 가시성, 일관성, 통제력이죠.기본적으로 제로 트러스트를 설명한 방식의 세 가지 기둥입니다.이걸 고객에게 제시하면 어떻게 하면 디지털 혁신이 근본적으로 가속화될 것인지에 대해 “아하 모멘트”를 하게 된 예를 들어주실 수 있을까요?

07:03 그렉 트카치크: 네, 물론이죠.제가 지금 집중하고 있는 분야는 기본적으로 마이크로세그멘테이션과 클라우드 보안 상태 관리 기술입니다.저는 CSPM을 구현하는 대형 고객과 함께 일했는데 그 고객의 엔지니어링 책임자는 이렇게 말했습니다. “일반적으로 우리 그룹은 이 기술을 조달하여 자체 사일로 내에 구현하고 어떻게 관리할 것인지 알아내곤 했습니다.그게 전부예요.”규정 준수 조직에 직접 와서 이 새로운 툴이 제공할 수 있는 기능이 무엇인지 이해할 수 있는 파트너와 함께 일한 적이 없나요?보고 기능을 제공할 수 있나요?보호 측면에서 관심이 있는 특정 자산이 있나요?앞서 말씀드린 것처럼 저희는 사고 대응을 위해 연락을 취했습니다.이를 통해 구성상의 단점을 파악할 수 있을 것입니다. 어떻게 해결하실 수 있을까요?따라서 일반적으로 프로젝트 스폰서인 CISO 조직 외부에서 튜닝을 통해 얻을 수 있는 가치를 깨닫는 것이 핵심이라고 생각합니다.사람들이 내부적으로 이 기술을 활용하기 시작하면 보안뿐 아니라 조직 전반에서 평소처럼 업무가 가능해지기 때문입니다.

08:05 라구 난다쿠마라: 네.그러면 제가 스티브에 대해 물어보고 싶었던 것이 떠오릅니다.그렉이 이 프로그램 구축의 일환으로 CISO 조직 밖으로 확장하는 것에 대해 언급한 건가요?그렇다면 경영진 스폰서십 차원에서 이런 프로그램을 위한 부서 간 지원을 구축할 수 있도록 어떻게 도와줄 수 있을까요?

08:31 스티븐 코라지오 (Stephen Coraggio): 제 생각에 가장 큰 화제 중 하나는 최근에 고객들과 노출 관리에 대해 이야기를 나눴다는 것입니다.노출 관리나 환경에 대한 전반적인 가시성과 같은 용어에 대해 자세히 알아보면, 경영진들은 우리가 어떻게 인프라의 취약점에 실제로 노출되는지 도저히 이해할 수 없다는 말을 하곤 합니다.우리 환경에 대한 진정한 가시성은 무엇일까요?특히 지금은 대부분의 고객이 하이브리드 클라우드 클라이언트입니다.따라서 하이퍼스케일러가 여러 개 있고, 해당 분야 및 주변에 여러 공급업체를 두고 가시성 범위를 고려하고 가장 중요한 것을 보호하려고 할 때 경영진 수준에서 이러한 대화를 나누면 이러한 프로그램을 추진하는 데 큰 도움이 됩니다.예전에는 모든 것을 보호하고, 모든 것을 암호화하고, 한 환경에서 모든 것을 스캔하는 것이 관건이었기 때문입니다.고객과 대화할 때는 우리가 하는 모든 일을 망치고 있는 대신, 우리 환경에서 가장 중요한 것들을 제대로 보호하고 통제하고, 가시성을 확보하고, 이를 모니터링하고, 특정 환경의 위협에 대응하기 위해 어떻게 해야 하는지가 관건입니다.

09:43 스티븐 코라지오: 노출 관리는 공격 표면 관리 또는 공격 표면 매핑이라고도 합니다.하지만 중요한 것은 가시성, 적용 범위, 그리고 가장 중요한 자산의 우선 순위 지정으로 귀결됩니다.경영진 수준에서 이뤄지는 이런 논의는 자금 조달에 관한 일종의 합의된 의견, 동의, 이런 종류의 프로그램에 대한 공감대를 형성할 때 항상 울려 퍼집니다.

10:05 라구 난다쿠마라 (Raghu Nandakumara): 그리고 우리는 가장 중요한 자산, 가장 중요한 구성 요소를 가리키는 용어를 사용합니다.경영진에서는 일반적으로 어떻게 정의/식별되나요?

10:19 스티븐 코라지오: 네, 대부분의 경우 그렇지 않습니다.그리고 대부분의 경우 우리는 그것이 어떻게 정의되는지에 대해 어려움을 겪습니다.모든 종류의 사업부 또는 IT 부서는 자신이 중요한 자산을 가지고 있다고 생각합니다.그래서 우리가 하는 일은 컨설팅 접근 방식을 통해 조직의 가장 중요한 요소라고 생각하는 요소를 정의하는 것입니다. 업종, 비즈니스 라인, 시장 진출 방식, 공공/민간 부문, 제품을 배포하는 제조 회사이는지, 아니면 소프트웨어를 실제로 공급하는 핀테크 회사인지에 따라 다릅니다.그런 다음 비즈니스 프로젝트, 과제, 중요한 사항을 정의한 다음 다양한 비즈니스 접근 방식을 취하여 그것이 무엇인지 정의한 다음 위험 순위를 지정합니다.그래서 우리는 이러한 자산의 가치를 시장에, 그 가치를 회사에 가져간 다음, 그 방법론을 적용하여 회사에 중요하거나 가장 중요한 것이 무엇인지 정의하는 데 도움을 줍니다.따라서 일반적으로 이것이 우리 조직에 실제로 의미하는 바를 중심으로 프레임워크 또는 방법론을 마련하기 전까지는 그 의미가 정의되지 않습니다.

11:23 라구 난다쿠마라: 그래서 저는 그냥...그렉, 일종의 실행/구현 관점에서 말씀드리죠.일반적으로 조직이 “이것이 중요하고, 이것이 올바른 우선 순위이며, 여기서 시작해야 한다”는 합의에 도달하기까지 얼마나 많은 주기가 걸리나요?이 과정을 하나의 프로세스와 타이밍으로 어떻게 해석할 수 있을까요?

11:45 Greg Tkaczyk: 가장 먼저 말씀드릴 것은 완벽한 CMDB 또는 엔터프라이즈 애플리케이션 목록을 가지고 있는 사람은 아무도 없다는 것입니다. 하지만 보통은 뭔가가 있습니다.일반적으로 활용할 수 있는 시작점이 있습니다.그래서 스티브가 말한 것처럼 이런 조직들에 대해 살펴본다면, 망설이고 싶지 않으실 겁니다.어딘가에서 시작해야 합니다.비즈니스와 가장 관련이 있는 것들에 우선 순위를 두어야 합니다.그리고 일반적으로 우리는 존재하는 모든 것을 활용합니다.합의에 도달하기까지는 보통 상당히 주기적인 과정을 거쳐야 하지만, 우리가 직접 나서면 알 수 있는 사실이죠.이를 확립하기 위해서는 우선 순위가 되어야 합니다.종종 어려운 점 중 하나는 아무도 최종 결정을 내리려 하지 않는다는 것입니다.따라서 이러한 결정을 내릴 수 있는 권한을 가진 기술 프로젝트 책임자를 찾아내도록 고객 조직을 이끌어야 합니다. 궁극적으로는 그러한 결정이 솔루션 아키텍처와 관련된 결정인지, 아니면 우선 목표로 삼을 사항의 우선 순위에 관한 결정인지 여부입니다.이는 이러한 유형의 기술을 출시하는 데 있어 매우 중요한 부분입니다.

12:47 라구 난다쿠마라: 사실 그것에 대해 좀 더 물어보고 싶어요.말씀하신 것처럼 많은 보안 프로젝트가 그러한 관성 때문에 중단되는 경우가 많기 때문입니다.이제 X를 실행해야 한다는 결정은 아무도 내리지 않으려 한다는 것이죠. 그럼 보통 어떻게 하면 고객을 그 고비를 넘을 수 있을까요?어떤 조언을 해주시나요? 아니면 발전을 시작하기 위해 어떤 수단을 활용하시나요?

13:10 그렉 트카치크: 보통 우리는 두 갈래의 접근법을 취합니다.보통 빠른 위험 감소라고 부르는 작업 흐름이 있습니다.일반적으로 어떤 기술을 구현하든 구현 초기에 할 수 있는 일이 있습니다. 완벽하지 않을 수도 있지만, 이는 도움이 될 것이며 이전보다 더 나은 위치에 있게 될 것입니다.그렇다면 신속한 위험 감소를 위한 사용 사례는 무엇일까요? 분석 마비에 휘말리지 마세요.이러한 문제들을 파악하려고 할 때 CSPM 솔루션에 어떤 상위 5개 정책을 적용할지 결정하는 데 4개월을 허비하고 싶지는 않을 것입니다.따라서 이러한 결정을 신속하게 내리고 위험을 줄이십시오.이것이 첫 번째 작업 흐름입니다.그리고 두 번째는 전략적 목표 측면에서 이러한 사용 사례에 초점을 맞추고 완벽함이 핵심이 아니라는 점을 이해하면서 여전히 가치를 보여주기 위해 할 수 있는 일이 있는지 살펴보는 것입니다.따라서 1000개의 애플리케이션을 보호하려는 경우 상위 10개로 범위를 좁혀 보십시오.그리고 상위 10개 항목 중 실제로 얼마나 세분화해야 할까요?더 광범위하고 더 나은, 완벽하지 않은, 최종 상태가 아닌 정책 결정을 내릴 수 있을 수도 있습니다.네, 그래요.하지만 움직여서 가치를 보여줍시다.

14:26 스티븐 코라지오: 그리고 여기에 덧붙이자면, 아마도 지난 몇 년 동안 최근에 추가한 세 번째 것이 있을 것 같습니다.우리는 보통 위험 정량화에 관한 세 번째 작업 흐름을 도입합니다.이 용어가 널리 사용되는 또 다른 용어라는 건 알지만, 위험 정량화 프로그램은 위협, 취약성, 위험 식별, 자산 순위 측면에서 경영진이 프로그램에서 기대하는 가치의 측면에서 이제 막 도약했습니다.우리는 그들이 보석이라고 생각하는 것을 활용할 수 있기 때문에 시장 외부에서 볼 수 있는 위협, 특정 산업에 대한 위협을 중심으로 해당 자산에 정량화를 적용할 수 있습니다.특정 자산이나 환경에 대한 공격이 어떻게 될지 시뮬레이션한 다음, 어떤 일이 발생할 경우 해당 기업에 실제로 어떤 비용이 들 것인지 정량화할 수 있습니다.따라서 위험 정량화 모델은 많은 기업에게 상당히 적은 투자이지만 통제, 가시성, 마이크로세그멘테이션, 자산 가시성 등에 투자하고자 하는 부분에 있어서는 상당한 ROI를 제공합니다.제가 보기에는 이런 것들이 우리가 하는 많은 일에 녹아들어 가기 시작했습니다. 비록 그것이 반드시 위험 정량화 프로그램의 일부가 아니었을지라도 말이죠.

15:36 라구 난다쿠마라: 네.사실 제가 질문하기도 전에 제가 물어보려고 했던 질문에 거의 대답을 하셨잖아요. 왜냐하면 그렉이 처음에 했던 말을 다시 정리하고 싶었기 때문이죠. 약 20년 전에 사이버 보안에 입문했을 때는 체크박스를 하는 연습이었다고 말이죠.규정 준수에 매우 중점을 두었습니다. “이러한 요구 사항을 준수하고, 확인하고, 준수하고 있는지 확인해야 합니다.”규정을 준수한다고 해서 안전하다는 뜻은 아니라는 것을 우리 모두 알고 있습니다.규정을 준수하는 것은 안전과 동일하지 않습니다.제가 묻고 싶었던 것은 이제 위험을 이해하려면 일정 수준의 위협 모델링과 점수 산정을 통해 “좋아요, 제가 가장 큰 위험에 처한 부분이고 통제 관점에서 집중해야 하는 부분”을 식별할 수 있어야 한다는 인식이 높아진 것 같다는 것입니다.지난 몇 년 동안 보아온 것과 같은 중대한 변화인가요?

16:22 스티븐 코라지오 (Stephen Coraggio): 네, 사이버 보안은 더 이상 고객이 생각만 하는 기능이 아니라고 말하고 싶습니다.이 문제는 꽤 오래전부터 존재해 왔습니다.2000년대 후반쯤에는 모두가 기술 제품을 구매하고 수표를 열어 놓고 사는 줄 알았을 수도 있습니다.지난 4~5년, 어쩌면 지난 3년은 이렇게 되었을지도 모릅니다. “어떻게 하면 더 적은 돈으로 더 많은 일을 할 수 있을까요?지출과 기술의 합리화와 무분별한 확장을 생각하면 정말 어떻게 해야 할까요?”우리 고객은 보통 78개의 서로 다른 보안 제품을 가지고 있습니다.“어떻게 하면 합리화하고, ROI를 제공하고, 위험을 정량화하여 적합한 기술을 올바른 환경에 적용하고, 다른 항목의 우선 순위를 낮춰 비용을 절감할 수 있을까요?”가시성, AI 및 자동화를 포함하는 제로 트러스트 개념을 포함하는 마이크로세그멘테이션과 같은 차세대 기술에 대해 생각해 보면 고객이 생각하는 것들이죠. 단순히 나가서 반짝이는 물건을 사는 것이 아니라 올바른 방식으로 투자를 활용하고 지출의 우선순위를 정하는 것이기 때문입니다.이것이 바로 우리가 실제로 목격하고 있는 모습입니다. 특히 오늘날과 같은 시장에서 말이죠.

17:32 라구 난다쿠마라: 정말 흥미로워요. 도구 통합과 적은 것에서 더 많은 것을 얻는 것에 대해 말씀하셨기 때문이죠.다시 한 번 이 질문을 두 부분으로 나누어 질문하고 싶은데요, 하나는 스티브가 여러분과 그렉에게 드리는 질문인데요, 실무자의 관점에서 말씀드리자면, 어떻게 이야기를 나누면...여러분은 그런 임원 스폰서 앞에서 이렇게 말하죠. “좋아요, 이 역량에 투자해야 해요. 이런 혜택을 받을 수 있으니까요.”그리고 그렉도 마찬가지로 그 대가를 치렀습니다.이러한 혜택이 실제로 실현될 것이라는 것을 어떻게 증명할 수 있을까요?그럼 그렉, 먼저 가보실래요?

18:06 그렉 트카치크: 물론이죠.따라서 Steve가 말한 가시성, 일관성, 제어력에 덧붙여 말하자면 일관성 부분은 이기종 인프라 전반에서 작동할 기술을 선택하는 도구 합리화입니다.데이터센터뿐만 아니라 하이브리드 애플리케이션, 멀티클라우드, 컨테이너화된 기술, 서버리스 기술 등 생태계 전반에서 작동할 수 있는 기술을 선택하는 것에 대해 생각해 보아야 합니다.경영진 스폰서와 이야기를 나누고 가치를 보여준다는 측면에서는 한 걸음 물러서고 싶습니다.종종 고객들은 궁극적인 목표를 향해 뛰어들거나 기술이 제공할 역량을 최대한 활용하기를 원합니다.하지만 이러한 솔루션 및 영업 프로세스 중에는 고객과 협력하여 비즈니스 목표를 달성하고 위험을 줄일 수 있는 솔루션을 설계할 수 있는 기회가 종종 있습니다.제 말은 일종의 “라이선스란 무엇이고, 어떤 기능이 있고, 어떤 모듈이 필요한지, 언제 필요할까요?그리고 그 출시에는 어떤 종류의 지원이 필요할까요?”전문 서비스든 매니지드 서비스든 상관 없습니다.따라서 2~3년 후에 목표로 삼을 최종 목표와 달리, 당면한 관심사에 초점을 맞추어 보다 현실적이고 실용적인 목표 달성을 즉시 실현할 수 있도록 하는 것이 핵심입니다.

19:33 Greg Tkaczyk: 그리고 조달 및 솔루션 프로세스에서 이를 생각해 보면, 앞서 말씀드린 것처럼 위험과 비용도 절감하여 ROI를 극대화할 수 있는 경우가 많습니다.볼륨과 기능 그리고 그 모든 측면에서 램프업 모델을 만드는 거죠.고객과 대화할 때는 먼저 이 문제를 먼저 다루고, 일단 시작하면 성공 기준을 달성하기 위해 지속적으로 강조할 수 있는 지표는 무엇입니까?제대로 구축하고 초기 범위를 올바르게 해결했다면 성공 기준을 기준으로 측정하는 것은 매우 쉬울 것입니다.

20:06 라구 난다쿠마라: 네, 네.물론이죠.스티브?

20:11 스티븐 코라지오: 네, 흥미롭네요.저는 금융 서비스를 담당합니다.그래서 저에게는 저희 고객들이 세상에서 가장 성숙한 고객인 셈이죠.당사는 수년 동안 이러한 성숙도가 높은 것을 지켜왔고, 최고 중의 최고가 되고자 하는 고객들을 칭찬하며, 이것이 바로 우리가 역량의 관점에서 바라보는 시각에서 드러난다고 생각합니다.우리는 우리 시장 내 조직이나 통합 위험 센터와 같은 역량으로 전환하려는 다른 시장의 상위 10위 또는 20위 조직으로 이동하고 있습니다.위험을 사이버 통제, 사이버 융합 센터, 그리고 차세대 SOC 또는 위협 관리 역량에 완전히 통합하는 방법을 생각해 보십시오.이러한 고객들이 원하는 바를 실현할 수 있는 훌륭한 비전이라고 생각합니다.하지만 그렉이 말씀드렸듯이 이 로드맵은 3~5년, 3~4개년 로드맵입니다.

20:54 스티븐 코라지오: 그래서, 우리의 견해는, 거기에 도달하기 위해 신중한 접근법을 취해 보자는 것입니다.동일한 비전을 염두에 두고 향후 3~5년 내에 목표를 달성하고자 하는 적합한 공급업체, 솔루션 및 기능을 찾아 이를 위한 크롤-워크 런 프로세스를 구축해 보겠습니다.하지만 기본적인 요소가 있습니다.이번 통화에서 기본적인 가시성, 제어, 액세스, 관리에 대해 이미 말씀드린 내용이 있습니다.이들은 조직이 차세대 통합 위험 센터를 구축하고자 할 때 기본적으로 갖추어야 할 항목입니다.하지만 처음부터 시작해 보죠.기본 구성 요소를 만들어 봅시다.가시성과 취약성 관점에서 문제를 해결하고 이러한 기본 기능을 갖춘 다음, 그 과정에서 제품 공급업체 및 솔루션 공급업체와 함께 해당 로드맵을 기반으로 구축해 나갑시다.

21:44 라구 난다쿠마라: 방금 두 분 다 이야기를 들으셨는데, 맞아요, 이 대화에서 그렉이 처음에 말씀하신 것 같아요...제로 트러스트는 정말 가시성, 일관성, 통제력입니다.두 분 모두 그 용어를 여러 번 반복하셨죠.스티브, 방금 말씀하신 건 이게 기본이에요.가시성, 일관성, 제어는 모든 훌륭한 보안 프로그램의 기본 구성 요소입니다.고객이 계획하고 있는 프로그램과 관련하여 금융 서비스 산업에 대해 잠깐 살펴보겠습니다. 제로 트러스트 또는 제로 트러스트 전략은 이러한 프로그램을 개발하는 데 어떤 역할을 할까요?그들이 제기하는 것이 진짜인가요, 아니면 거의...이렇게 하면 제로 트러스트 전략으로 이어질 수 있을까요?고객 그룹 내에서 제로 트러스트에 대해 어떻게 논의하고 계획하고 있나요?

22:37 스티븐 코라지오 (Stephen Coraggio): 제로 트러스트에 대한 우리의 생각을 다시 한 번 털어보면, 저에게도, 우리에게도, 그것은 프레임워크입니다.이는 고객이 가시성, 통제력, 정체성을 제공하고 누가 무엇을 왜 이용할 수 있는지를 지속적으로 검증할 수 있도록 실질적으로 도움을 줄 수 있는 방향을 제시하는 원칙입니다.제게는 정말 프레임워크에 불과합니다.이것이 바로 NIST의 예이고, 다른 많은 프레임워크들의 모습이기도 합니다.그런 다음 CMDB, 취약성 적용 범위, 자산 관리, 보안 조직의 기본 구성 요소 등 기본적인 사항에 대한 가시성과 이해와 같은 프레임워크 내의 기능을 살펴보면 전체 제로 트러스트 기능이 하나로 합쳐집니다.이 모든 것을 함께 구축하는 것이 관건입니다.

23:22 라구 난다쿠마라: 맞아요.금융계에서 말씀하셨듯이 금융 부문은 관련 규정, 요구 사항, 규제 기관의 위치 때문에 항상 보안의 최첨단에 서 있었습니다.뭘 보고 계세요?제로 트러스트가 점점 더 많이 채택되고 있는데, 말씀하신 모든 이유 때문에 제로 트러스트를 꼭 꺼낼 필요는 없다는 사실을 알고 계신가요?아니면 다시 말씀드리지만, 조직은 이러한 기본 사항을 개선하고 있는 것에 불과하며 근본적으로 암묵적 신뢰를 제거하여 궁극적으로 제로 트러스트 결과를 이끌어내고 있는 것일까요?

23:52 스티븐 코라지오 (Stephen Coraggio): 네, 금융 서비스 분야의 상위 10~20명의 CISO가 이사회 대화로 제로 트러스트를 활용하고 있다고 생각합니다.이사회는 용어를 알고 있기 때문에 용어도 이해합니다.제로 트러스트가 무엇을 의미하는지 쉽게 알 수 있습니다.하지만 이들이 채택하고 있는 것은 제로 트러스트 프레임워크를 채택하고 이를 역량 및 투자의 일부로 구현하는 것입니다. 그래서 이사회, 이사, 경영진에게 이를 요약하면 제로 트러스트 척도로 발전과 성숙도를 보여주고 있습니다. “우리는 얼마나 잘 보호되고 있나요?가시성이 얼마나 잘 확보되어 있을까요?우리는 얼마나 잘 보호되고 있나요?적절한 레질리언스가 마련되어 있나요?사고로부터 회복할 수 있을까요?사고가 실제로 일어날 경우 복구할 준비가 얼마나 잘 되어 있나요?”

24:37 스티븐 코라지오 (Stephen Coraggio): 이것이 이사회 대화에 활용하고 있는 프레임워크입니다. 다시 말씀드리지만 이해의 관점에서 보면 상당히 기본적이지만 투자 관점에서는 그 밑에 있는 기능을 주도하기 때문입니다.

24:48 라구 난다쿠마라 (Raghu Nandakumara): 그리고 정말 흥미로워요. 제로 트러스트는 보안 프로그램이 제시되는 방식에서는 제로 트러스트 프레임워크로 이사회에 제시되는 반면 실제 실행의 기반이 되는 기본 구성 요소를 중심으로 한다는 것입니다.저는 이것이 정말 흥미롭다고 생각합니다. 왜냐하면 저는 종종 우리 실무자들이 그것을 뒤집어서 “오, 좋아요, 저는 여기에 제로 트러스트 원칙을 적용할 거예요.” 라고 말하곤 하기 때문입니다.그리고 말씀하셨듯이, 모든 사람들이 저마다의 정의를 가지고 있기 때문에 좀 희미해지죠.그렉, 저는 실무자로서 여러분께 말씀드리고 싶습니다. 고객들이 제로 트러스트에 대해 이야기할 때, 제기되는 질문은 무엇이며, 여러분의 조언과 답변은 무엇입니까?

25:23 Greg Tkaczyk: 그래서 항상 가장 먼저 떠오르는 질문은 어떻게 시작하느냐입니다.앞서 말씀드렸듯이, 가장 먼저 고려해야 할 것은 제로 트러스트는 여정이라는 것입니다.사실 이것은 여정입니다.측정 가능한 지속적이고 점진적인 개선에 초점을 맞춰야 합니다.비즈니스를 혼란에 빠뜨릴 만한 빅뱅 구현은 아닙니다.앞서 말씀드린 것처럼 어떤 제어 기능을 매우 표적화된 방식으로 수행할 것인지 개발하기 시작하는 경우가 많지만, 위험을 줄이기 위해 조직 전체에 매우 광범위한 방식으로 어떤 제어 기능을 적용할 것인지도 개발하기 시작할 것입니다.이 두 가지를 병렬로 수행할 수 있으며 어떤 접근 방식이든 괜찮습니다.하지만 각각은 제로 트러스트를 향한 디딤돌입니다.그래서 저는 고객과 이 문제에 대해 이야기할 때 어떤 기술 영역에 대해 이야기할지 설명하려고 정말 노력합니다. 예를 들어 어떻게 할 건지 말이죠.

26:09 라구 난다쿠마라: 네, 물론이죠.스티브 씨, 조금 방향을 바꿔볼게요. 예를 들어 금융 서비스 부문을 기대하실 때 다시 말씀드리죠.더 나은 가시성, 더 나은 일관성, 더 나은 통제에 더 집중해야 하는 원동력은 무엇이라고 생각하시나요?규제 관점, 기술 채택 관점에서 볼 때, 이 세 가지 기본 통제의 채택 또는 개선을 위한 주요 원동력은 무엇이라고 생각하시나요?

26:38 스티븐 코라지오 (Stephen Coraggio): 보안 이외의 분야에 대해 고객과 논의한 가장 큰 영역 중 하나는 디지털 혁신입니다.그 어느 때보다 빠르게 가속화되고 있습니다.그리고 아마도 경쟁 때문일 수도 있고, 투자 때문일 수도 있습니다. 단지 이 분야에 종사하는 기업의 수가 엄청나게 많기 때문일 수도 있습니다.하지만 온보딩 프로세스, 고객 경험, 프로세스 개선 등 디지털 혁신에 대해 고객과 이야기하면서 말이죠.최종 사용자 지식 기반과 고객이 제품, 서비스, 기대치에서 무엇을 찾고 있는지 이해하기 위해 자동화를 적용하는 방법.이러한 변화는 이러한 기능의 필요성을 진정으로 주도하고 있습니다.그리고 하이브리드 클라우드 시나리오로 전환하고 다양한 하이퍼스케일러와 환경을 활용할 경우 이러한 환경에 가시성, 적용 범위, 제어, 대응 활동 및 탄력성을 진정으로 적용할 수 있는 방법에 대한 논의에 점점 더 많은 관심을 기울이고 있습니다.

27:41 스티븐 코라지오 (Stephen Coraggio): 왜냐하면 우리는 비즈니스가 실제로 보안 및 보안 요구 사항을 적용할 수 있는 속도보다 더 빠르게 움직인다는 사실이 극도로 두렵기 때문입니다.따라서 비즈니스 혁신, 디지털 혁신, 비즈니스의 진화에 뒤쳐지지 않는 것이 아마도 미래 지향적인 사이버 관점에서 볼 때 우리가 나누는 가장 일반적인 대화일 것입니다.

28:00 Greg Tkaczyk: 여기에 덧붙이고 싶은 것은 애플리케이션 현대화입니다.우리 고객들은 이러한 레거시 애플리케이션을 컨테이너형 또는 서버리스로 리팩토링하거나, 리프트 앤 시프트하거나, 하이브리드 애플리케이션으로 만드는 등 엄청난 변화를 겪고 있습니다.앞서 말씀드린 것처럼 가시성에 대해 많이 말씀드린 바와 같이 이러한 기술 중 상당수가 가시성을 제공하여 의사 결정을 더 쉽게 내리는 데 도움을 줄 수 있습니다. 하지만 지금이야말로 애플리케이션에 보안을 내장하기에 완벽한 시기입니다.이러한 변화를 겪으면서 말이죠.왜 이 과정을 거치면서 새로 팩토링된 앱을 보호할 수 있을지 거꾸로 생각해 보는 걸까요?

28:36 라구 난다쿠마라: 네, 물론이죠.그리고 그 얘기가 맞아요. 그들이 변화를 일으키면서 우리는 이 용어를 점점 더 많이 듣게 되죠. 사이버 레질리언스 요즘 유행하는 용어입니다.그게 고객들과 논의하고 있는 진짜 주제인가요?그들이 어떻게 하면 사이버 복원력을 높일 수 있느냐는 질문을 하시나요?아니면 지금 참여하고 있는 프로그램이 예상한 결과일 뿐인가요?

29:00 스티븐 코라지오: 네, 대화인 것 같아요.꼭 헌금인 건 아니에요.이는 대화의 산물이라 할 수 있습니다. 하위 구성 요소와 그 밑에 있는 일부 프로그램을 구동하기 때문이죠.사이버 레질리언스에 대해 생각할 때, 많은 논의는 일종의 사고의 정당성을 위한 것입니다.준비가 되셨나요?무언가에 대응하고 회복하는 방법을 알고 있나요?어떤 일이 닥쳤을 때 당신은 얼마나 잘 대처할 수 있나요?이러한 대화의 대부분은 준비, 인식, 교육, 대응, 백업, 복구에 관한 것입니다.어떤 일이 발생했을 때 조직이 이에 대비할 수 있도록 이러한 부분들을 준비해 두어야 합니다.사이버 전쟁 게임, 탁상 연습, 위협 시나리오에 대한 몰입형 경험, 위협 시뮬레이션 같은 것들이요.고객들은 이때부터 전사적 대비를 하고 사고 발생 시 지휘관이 누구인지 확실히 파악하는 데 돈을 쓰기 시작합니다.적절한 통제와 커뮤니케이션은 무엇일까요?

30:00 스티븐 코라지오: 어떻게 하면 다시 가동할 수 있을까요?우리는 올바른 백업 시스템을 보유하고 있으며 보호되고 있습니까?그래서 레질리언스에 대한 논의가 많이 오갔죠.아니요, 확실히 인시던트의 왼쪽은 통제, 가시성, 모니터링과 관련된 것들인데, 이는 한동안 지속되어 왔던 일입니다.하지만 이제 우리는 그 스펙트럼의 양면을 모두 살펴보고 있습니다.

30:17 라구 난다쿠마라: 멋지네요.그럼 그렉, 너한테 올게.조금 더 미래를 내다보자면, 사이버 측면에서 흥미로운 다음 단계는 어디에 있다고 생각하시나요? 역량 관점이든, 위협 관점이든, 실무자들이 정말로 경계해야 하는 관점이든 말이죠.

30:35 Greg Tkaczyk: 자동화 및 개선 측면을 최적화하고 자동화하는 것이 점점 더 중요해지고 있다고 생각합니다.이러한 도구 중 상당수는 사물을 식별하고 사용자에게 경고를 보내지만 사람의 대응이 필요합니다.많은 툴링과 SIEM 및 SOAR 플랫폼과의 통합이 이러한 루프를 좁히고 있습니다.저희 클라이언트에서는 이 기능이 그다지 많이 사용되는 것 같지는 않습니다.배관 및 기술적 관점에서도 이를 실현할 수 있는 역량이 있겠지만, 클라이언트가 실제로 앉아서 그러한 사용 사례가 무엇인지 생각해 보게 되면 저는 응답을 완전히 자동화하는 데 능숙합니다.이 부분이 앞으로 중점적으로 다루게 될 분야가 될 것 같아요.

31:16 라구 난다쿠마라 (Raghu Nandakumara): 그리고 거기에서 격차가 있는 이유를 설명해 봅시다. 오늘날 고객들이 그러한 사용 사례가 무엇인지 정의할 수 없기 때문인가요, 아니면 그러한 사용 사례를 계측하고 운영하는 데 필요한 데이터가 무엇인지 모르기 때문인가요?

31:33 그렉 트카치크: 네, 하지만 무섭기도 해요.올바른 결정을 내리기 위해 본질적으로 신뢰하고 있는 것에 인프라의 일부에 대한 제어권을 넘겨주는 셈이죠.이게 바로 제가 말하고자 하는 바입니다.아주 편한 소규모의 명확한 사용 사례부터 시작해야 한다고 생각합니다.이러한 사용 사례를 기업 전체에 적용할 필요는 없습니다.익숙해지면 자동 대응을 위한 기능을 구축하게 됩니다.

31:58 라구 난다쿠마라 (Raghu Nandakumara): 네, 그리고 포레스터의 제로 트러스트라는 일종의 기둥을 생각해 보면 거기에는 자동화와 오케스트레이션이라는 고리가 있습니다.일종의 가시성과 모니터링이라는 최종 목표와 함께 일종의 가시성과 모니터링에 묶여 있습니다. 마치 생태계가 근본적으로 스스로 보고하고 환경 변화 등에 대응하고 그 과정에서 액세스를 조정하는 것과 같은 것이죠.그래서 모든 사람들이 그 지점에 도달하고 싶어하는 것 같아요.하지만 말씀하셨듯이 통제권을 포기하는 것은 어려운 일이에요.스티브 씨, 여러분이 겪고 있는 다른 중대한 과제와 마찬가지로, 금융 서비스 분야에서든, 사이버 프로그램을 한 단계 발전시키고 제로 트러스트를 향한 진전을 잠재적으로 가속화하려는 조직 전반에서든 상관 없습니다.

32:46 스티븐 코라지오 (Stephen Coraggio): 우리가 고객에게서 가장 많이 보는 것은 프로그램에 대한 ROI와 투자를 실제로 제공하고 CISO가 이제 사이버 보안 투자의 가치에 관한 비즈니스 사례를 이사회에 전달하도록 돕는 것입니다.소프트웨어 구성 요소이든 서비스 구성 요소이든 상관 없습니다.지난 한 해 동안 비즈니스 사례/ROI/정량화 프로그램을 더 많이 수행했는데, 아마도 이전 10여 개에 달했을 것입니다.왜냐하면 너무 많이 투자해서 부를 분산시키는 것보다는 지출에 있어 좀 더 사려 깊고 파트너와의 명확한 관계를 유지하는 것이 중요하기 때문입니다.그래서 기업들이 예산을 줄이고 비즈니스를 통해 제가 어떻게 혁신할 수 있을지에 대해 고민하면서 동시에 사려 깊고 효율적인 방식으로 혁신할 수 있는 방법이 무엇인지에 대해 고민하면서 이러한 현상이 점점 더 많이 나타날 것이라고 생각합니다.하지만 벤더와 솔루션 측면에서는 고객이 그 어느 때보다 조직에 대한 투자 수익을 점점 더 많이 보고 있는 부분이 충분히 있다고 생각합니다.그래서 저는 이것이 어떤 방향으로 흘러갈지 기대가 됩니다.

33:45 라구 난다쿠마라: 정말 흥미롭네요. 이 대화에서 ROI에 대해 몇 군데 다루었기 때문인 것 같아요.말씀하신 것처럼 이 부분이 지난 12개월 동안 매우 중요한 주제였다는 것은 확실합니다.공급업체 측에서든 클라이언트 측에서든 거의 모든 종류의 보안 리더가 ROI를 입증해야 한다고 이야기하는 것을 보았습니다.간단히 말씀드리자면, ROI 모델을 구축할 때 강조하고 이를 이사회에 잘 전달할 수 있는 핵심 사항은 다음과 같습니다.이에 대해 조금 설명해 주실 수 있나요?

34:16 스티븐 코라지오 (Stephen Coraggio): 그렉이 언급한 내용 중 많은 부분이 자동화와 위협의 채점 및 처리에 관한 것입니다.대규모 고객 기반을 보유하고 있고 많은 고객의 힘을 활용하고 데이터를 종합하여 가치를 되찾을 수 있을 때, 이렇게 말할 수 있습니다. “이 위협을 본 적이 있고, 이 사건을 본 적이 있는데, 분석과 연구를 바탕으로 보면 오탐입니다. 자동 종료하세요.”이를 통해 분석가의 시간과 비용을 절약할 수 있습니다.이를 통해 에스컬레이션으로 인한 시간과 비용을 절약할 수 있습니다.실제로 1급 분석가를 고용하는 것에도 드는 시간과 비용을 절약할 수 있습니다.따라서 우리는 점점 더 자동화된 플랫폼과 더욱 자동화된 대응을 제공할 수 있게 되었습니다. 그리고 이러한 솔루션에 기술을 내장하여 흔히 사용되는 위협이나 알려진 위협 벡터를 많이 제거하고 조직에 가장 중요하고 가장 가치 있는 요소에 초점을 맞출 수 있도록 노력하고 있습니다.그리고 저는 이를 플랫폼이나 기술 또는 AI 모델로 대체함으로써 X의 작업 시간과 X의 자원을 줄일 수 있다고 말함으로써 가치를 보여줍니다.이는 우리가 투자하는 엄청난 금액입니다.

35:16 라구 난다쿠마라: 그렉, 할 수 있으면 그걸 짝을 지어줬으면 좋겠어요.이것이 비즈니스 사례입니다.그렇다면 제가 이 정도 비율의 작업을 자동화했다는 것을 어떻게 보고하고 보여줄 수 있을까요?그런 검증을 어떻게 할 수 있을까요?

35:30 그렉 트카치크: 일반적으로 약혼을 시작합니다.목표 유형을 기준으로 기본적으로 매주 어떤 지표를 추적하고 보고할 수 있는지가 성공 기준을 정의하는 데 도움이 될 것입니다.몇 명의 에이전트가 배포되었나요?보호되고 있는 자산은 몇 개입니까?활성화된 사용 사례는 몇 개입니까?특정 보안 상태에 있는 환경과 나머지 환경의 비율은 몇 퍼센트입니까?사업부나 운영 체제가 다르거나 지표가 무엇이든 상관 없이 이러한 상황을 어떻게 반영할 수 있을까요?따라서 일반적으로 이러한 지표와 KPI를 식별하여 매주 측정한 다음 분기별로 경영진 이해관계자에게 종합적으로 반영하는 것이 이러한 프로세스의 일부입니다.

36:09 라구 난다쿠마라: 멋지네요.스티브, 그렉, 청취자들과 나누고 싶은 지혜의 진주가 더 있나요?

36:15 스티븐 코라지오 (Stephen Coraggio): 제 생각은 이러한 역량에 투자하고 있는 솔루션 파트너 서비스 공급업체를 선택하는 것입니다.정말 잘 해낸 오래된 기술과 플랫폼이 많이 있지만, 지금 빛나는 회사들은 마이크로세그멘테이션과 제로 트러스트에 대한 정보를 제공할 뿐만 아니라 가시성을 제공하고 특정 컨테이너 또는 영역에 무엇이 있는지 이해할 수 있는 회사들일까요?그리고 특정 영역 내에서의 지속적인 가시성과 커버리지.따라서 당사와 확실히 파트너 관계를 맺고 있는 회사와 여기서 다루고 있는 내용을 살펴보는 것이 향후 투자에 매우 중요하다고 생각합니다.전면 교체 모델은 문제가 있다고 생각합니다.지속적인 투자와 강력한 전략적 파트너 구축, 미래 프로그램 구축에 대해 생각해 봐야 한다고 생각합니다.따라서 이러한 프로그램을 시작할 때 적합한 공급업체를 선택하는 것이 중요합니다.

37:09 라구 난다쿠마라: 고마워요, 스티브.그렉?

37:10 Greg Tkaczyk: 저는 개념 증명이 아니라 생산 파일럿을 해보라고 말하고 싶습니다.제 고객들 중 성공한 사람들이 그렇게 한다는 게 가장 큰 장점이에요.작게 시작하고, 파일럿의 사용 사례와 성공 기준을 정의하고, 기술을 검증하고, 구현 파트너의 기술을 검증합니다.그리고 이 프로세스의 일환으로 구현과 관련된 인사이트, 종속성 또는 제약 조건을 발견하게 될 것입니다.그리고 엔터프라이즈 배포를 위해 어떤 접근 방식을 취하는지 정확히 알려주세요.

37:41 라구 난다쿠마라: 정말 좋은 조언이에요.프로덕션 파일럿과 개념 증명은 고무가 도로에 닿았을 때 제대로 작동하는지 확인하고 싶기 때문이죠.그렉, 이건 제로 트러스트 팟캐스트예요.가장 좋아하는 제로 트러스트 비유는 무엇인가요?

37:55 Greg Tkaczyk: 좋아요. 참아주시면 사실 몇 개 있어요.

37:57 라구 난다쿠마라: 아, 좋아요, 좋아요.스티브에게도 하나 맡겨야 돼요.

38:00 그렉 트카치크: 좋아요.

38:01 라구 난다쿠마라: 그럼 어서, 두 개 먹을 수 있어요.

38:04 그렉 트카치크: 음, 빨리 할게요.중심이 부드러운 하드 캔디의 역사적 보안 모델이죠.하지만 제로 트러스트에 대해 생각해 보면 매우 세분화되고 분산된 신뢰입니다.그러니까 그건 더 이상 적용되지 않아요.어쩌면 그 사탕들이 든 봉지일지도 몰라요.아직 경계를 넓혀야 할 부분이 있습니다.들어가야 할 통제가 있지만 내부에는 그런 사탕들이 많이 있어요.각각은 보안 통제를 나타냅니다.보호하려는 대상에 더 가깝습니다.따라서 더 세밀한 의사 결정이 가능하죠.다른 하나는 어제 제 친구와 이야기를 나누다가 제로 트러스트가 치즈 샌드위치와 같다는 결론을 내렸다는 것입니다.개념적으로 말씀드리자면, 그냥 치즈 샌드위치라고 말씀드리기 쉽습니다.하지만 세부 사항을 파헤쳐 보면 어떤 종류의 빵, 어떤 종류의 치즈, 어떤 토핑이 있는지, 구운 것일까요?사람마다 완전히 다른 의미죠.

38:48 라구 난다쿠마라 (Raghu Nandakumara): 좋아요. 한쪽에서는 방금 캔디 봉지가 컨셉이고 치즈 샌드위치가 콘셉트라고 설명하셨기 때문이죠. 거기에는 많은 뉘앙스가 있고 사람마다 생각이 다릅니다.그리고 매일 친구들과 제로 트러스트에 대해 대화를 나누면서 새로운 비유를 생각해낸다는 사실도 마음에 듭니다.스티브, 캔디나 치즈 샌드위치 한 봉지 더 잘해주실 수 있어요?

39:09 스티븐 코라지오: 네, 글쎄요, 그렉이 지금 저보다 배가 고픈 것 같아요.그래서 제 비유는 음식과 관련이 없습니다. 하지만 저는 이 비유를 한동안 사용해 왔고 이런 종류의 분야는 맞는 것 같아요.공항을 생각하시듯, 공항을 통과하는 데 필요한 것이 무엇인지 생각하실 겁니다. 보안 검사와 신원 확인, 그리고 터미널, 게이트, 비행기, 좌석을 통과하면서 지속적인 검증을 거쳐야 하죠.제 생각에 이런 유형의 방법론은 프로세스를 진행하면서 점점 더 세밀해지고 보안 검사, 신원, 게이트 및 있어야 할 터미널의 측면에서 지속적으로 검증을 받게 된다는 것입니다.보안의 관점과 통과하는 사람과 사물의 양을 보면 그들은 아주 잘 해냈다고 생각합니다.물론 문제도 있고 극복할 수 있는 것도 있지만, 대부분의 경우 스톱 갭 프로세스, 지속적인 검증이 매우 효과적이었습니다.

40:04 라구 난다쿠마라 (Raghu Nandakumara): 스티브, 그렉 (Greg) 과 정말 좋은 대화를 나눴다고 생각합니다. 이사회 수준부터 기술 구현 및 프로그램 관리, 진정한 위험 감소 결과를 가져오는 성공적인 보안 프로그램을 제공하는 방법에 대한 일종의 보고에 이르기까지 일종의 실무자의 관점에서 놀라운 통찰력을 얻었습니다.이것이 제가 가장 중요한 교훈으로 여기는 것 같아요.그리고 제로 트러스트에 대해 생각할 때 우리는 정말 중요한 세 가지를 생각하게 됩니다.가시성, 일관성, 통제력을 확보하고 이를 부동산 전체에 적절한 장소에 적용하여 위험 감소에 기여하고 사이버 복원력을 근본적으로 개선하십시오.오늘 시간을 내주셔서 다시 한 번 진심으로 감사드립니다.그렇습니다. IBM과 Illumio가 어떻게 협력하여 조직이 향상된 가시성과 제로 트러스트 세그멘테이션을 통해 더 나은 레질리언스를 달성할 수 있도록 지원하는지 자세히 알아보고 싶다면 당사 웹 사이트를 확인해 보세요.스티브, 그렉, 오늘 시간 내주셔서 정말 고마워요.정말 고마워요.

41:16 라구 난다쿠마라: 이번 주 더 세그먼트 에피소드를 시청해 주셔서 감사합니다.더 많은 정보와 제로 트러스트 자료를 보려면 당사 웹 사이트 illumio.com을 참조하십시오.LinkedIn과 트위터 @illumio 를 통해서도 당사와 연락할 수 있습니다.오늘 대화가 마음에 드셨다면 팟캐스트가 있는 곳 어디에서나 다른 에피소드를 찾아보실 수 있습니다.제가 호스트인 라구 난다쿠마라입니다. 곧 다시 찾아뵙겠습니다.

‍