제로 리시 트러스트를 향한 발걸음

0:00:04.4 라구 난다쿠마라: 제로 트러스트 리더십 팟캐스트인 The Segment에 오신 것을 환영합니다.호스트로서 제로 트러스트 세그멘테이션 회사인 Illumio의 산업 솔루션 책임자인 라구 난다쿠마라입니다.오늘은 브룩스 러닝의 선임 정보 보안 엔지니어인 라이언 프리드 (Ryan Fride) 가 저와 함께합니다.Ryan은 Brooks에서 설계부터 완료까지 조직 전반의 보안 프로젝트를 감독하는 책임을 맡고 있습니다.Brooks에 입사하기 전에는 Coverys 및 BlueSnap과 같은 조직에서 보안 분석가, 네트워크 엔지니어, 위험 평가 관리자 및 보안 설계자로 근무했습니다.오늘 Ryan은 우리와 함께 제조 및 소매 부문에서의 사이버 보안의 역할, 성공적인 제로 트러스트 프로그램 구축, 규정 준수와 보안의 차이에 대해 논의합니다.

0:00:50.3 라구 난다쿠마라: 안녕하세요, 라이언, 오늘 함께 해주셔서 반갑습니다. 함께 해주셔서 감사합니다.어떻게 지내세요?

0:00:55.5 라이언 프라이드: 좋아요, 기회를 주셔서 정말 감사합니다.여러분과 채팅할 수 있어서 항상 반갑습니다.

0:01:00.1 라구 난다쿠마라: 우리의 기쁨입니다.먼저 말씀드리고 싶은 게 있는데, 제가 지난 한 달 정도 착용한 브룩스 러닝화는 제가 지금까지 소유한 러닝화 중 가장 편안하고 가벼우며 최고의 러닝화라고 할 수 있습니다.지금까지 이 제품을 사용해 보지 않았다는 것이 믿기지 않아요.그래서 여러분이 탑승하게 되어 두 배로 신나는 일이죠.게스트와 대화를 시작하면서 어떻게 사이버에 오게 되었는지 물어보는 게 좋아요.그럼 어떤 여정을 하셨나요?

0:01:27.5 라이언 프라이드: 물론이죠.저는 좀 더 전통적인 방법으로 사이버로 진입하는 방법 중 하나라고 할 수 있겠네요.저는 경영정보 시스템을 전공하기 위해 학교에 다녔어요. 비즈니스와 기술 사이의 교차점이었죠.결국 IT 순환 프로그램으로 대형 의료 보험 회사에 취직하게 되었고, 그래서 6~8개월에 한 번씩 다른 IT 부서로 옮겨야 했습니다.저는 프로젝트 매니저가 되고 싶다고 생각하며 그 일을 시작했는데 6개월 후 그것이 사실이 아니라는 것을 금방 알게 되었습니다.저는 직접 해보는 작업이 더 좋아요.그래서 제가 2학년이 지났을 때 의료보험 회사는 첫 번째 CISO를 하나 받았어요.그는 이 놀라운 문화를 회사에 도입했습니다. 매일 4시가 되면 보안과 인프라 등에서 모든 사람의 업무가 거의 중단될 정도로 말이죠. 그리고 사람들이 읽고 있거나 보고한 최신 위협과 취약점에 대해 이야기하고 토론을 벌이곤 했습니다.보안 담당자가 통화 중에 인프라 담당자에게 문제를 제기하고 며칠 내에 문제를 해결할 계획을 세우는 회사는 어디에도 없습니다.그리고 여러 엔지니어들이 다크 웹에서의 활동에 대해 이야기하고 현장 상황을 주시하고 있었습니다.그래서 저는 매료되었고 그 이후로 한 번도 뒤돌아보지 않았어요.

0:02:42.5 라구 난다쿠마라: 1년 동안 프로젝트 관리를 하다가 전환한 것에 대한 의견을 먼저 듣게 되어 정말 신나는 일입니다.대학을 졸업하기 전에 애널리스트 프로그램에 처음 취업하기 전에 나눈 대화가 확실히 떠오릅니다. 기본적으로...왼편에는 “이봐, IT 프로젝트 관리 분야에 취직할 수 있고, 오른편으로는 사이버 분야에 취직할 수 있잖아.”저는 “거기에는 선택지가 하나밖에 없어요. 왼손이 아니에요.” 라고 생각해요.하지만 그 배움의 문화는 듣기에 정말 좋아요. 당신 말이 전적으로 옳기 때문이죠.그 기회는 말 그대로 도구를 꺼내고 매일 30분씩 배우고 토론하고 아이디어를 공유하는 데 할애할 수 있다는 것은 정말 놀라운 기회입니다.처음 그런 경험을 했던 초창기부터 어떤 점을 떠올렸나요?

0:03:37.3 라이언 프라이드: 성장에 대한 사고방식을 가지고 있는 것뿐입니다. 10년 전만 해도 퍼블릭 클라우드에 대해 조금 더 이야기하기 시작했지만 가상 머신에 대해 더 많이 이야기했습니다. 심지어 지난 1~2년 동안에도 기본적으로 컨테이너와 DevSecOps에 대해 처음부터 배워야 했고, 자신감 있게 그리고 상호 합의에 따라 5년 동안 이 작업을 수행해 온 사람들에게 요구 사항을 제시할 수 있을 만큼 충분히 알고 있어야 했습니다.우리는 그들에게 요구 사항을 제시하고 반드시 해야 한다고 말하지는 않을 것입니다. 하지만 그들에게 물어보면 그들은 보안에 대해 조금 알고 있습니다.따라서 기술이 발전한다고 생각하면 다음 기술을 배워야 합니다. 하지만 열린 마음으로 배우는 것이 정말 중요합니다.

0:04:19.8 라구 난다쿠마라: 네, 물론이죠.그래서 사이버 보안과 위협을 처음 발견했을 때 특정 보안 역량을 말씀해 주실 수 있을까요? 아니면 눈에 들어오면서 “맙소사, 정말 흥미진진하네요. 이것이 제가 추구하는 목표입니다.” 라고 말했던 위협에 대해 말씀해 주실 수 있을까요?

0:04:37.9 라이언 프라이드: 네, 10년 전 돌이켜보면 EDR 분야의 크라우드스트라이크 (CrowdStrike) 기술이 가장 흥미로웠던 것 같아요.저는 Sophos나 Vera의 기초를 알고 자랐고 기본 스캔 작업을 맡기면서 자랐습니다.하지만 CrowdStrike와 같은 것을 통해 다른 EDR 공급업체가 프로세스 트리를 살펴보고 행동 기반 접근 방식을 사용할 수 있다는 가시성을 보았을 때 정말 멋지다고 생각했습니다.

0:05:05.8 라구 난다쿠마라: 따라서 휴리스틱 기반 탐지에서 행동 탐지로 전환한 것은 분명히 우리가 엔드포인트 기반 보호를 하던 방식에 큰 변화를 가져왔습니다.이는 지난 10년 동안 ML 및 AI 기반 기술의 발전과 함께 크게 발전했습니다.최근에 RSA에 오셨던 것으로 알고 있는데, RSA의 공급업체에서 본 내용 중 특히 흥미로웠던 점은 무엇입니까?

0:05:34.4 라이언 프라이드: 네.RSA의 가장 멋진 기술 중 하나는 클라우드 보안 보호 기능을 갖추고 있다는 점이라고 생각했는데 정말 유용한 클라우드 구성을 찾아야 한다는 점이었습니다.하지만 필자의 경우 위협 행위자들이 어떤 행동을 하고 이를 제어 기능에 매핑하는지 알고 싶습니다. 보통 클라우드 플랫폼의 구성이 잘못되어 있기 때문입니다.많은 클라우드 구성 플랫폼이 300개의 하이 얼러트를 제공하는데 저한테는 별로 도움이 되지 않아요.그래서 공급업체들이 좀 더 위험 기반 접근 방식을 취하는 것을 보기 시작했습니다. 공용 IP 주소가 연결되어 있고 인터넷에 접속할 수 있거나 이런 구성이 잘못되어 악용되는 것을 감지할 수 있을 수도 있습니다.퍼블릭 클라우드의 잘못된 구성에 대한 위협 기반 접근 방식이 조금씩 더 많이 보이기 시작했는데, 이는 엔지니어로서 정말 유용합니다.

0:06:31.7 라구 난다쿠마라: “위험 기반” 및 “위협 기반”이라는 단어나 용어를 사용하면 이러한 말을 많이 듣게 됩니다. 특히 공급업체 시장에서는 더욱 그렇습니다.실무자로서, 그리고 경험이 많은 실무자로서, 위험 기반이라고 말할 때와 위협 기반이라고 말할 때, 정확히 무엇을 의미할까요?

0:06:54.2 라이언 프라이드: 그래서 저는 이 두 용어를 사용할 때 일반적으로 취약점 관리에 대해 생각합니다.따라서 모든 것을 패치할 수는 없습니다.인프라 팀에 문의할 때 이것이 얼마나 중요한지에 대해 높은 수준의 충실도를 자유롭게 제시해야 합니다.그래서 제가 살펴본 몇 가지 사항, 즉 일부 취약점 관리 도구 중 다른 도구보다 성능이 더 좋은데, 대중이 직면하고 있는 자산일까요?취약점이 있나요? 악용 코드와 같은 개념 증명이 있나요?적극적으로 악용되고 있나요?현재 악용된 것으로 알려진 취약점 목록을 잘 처리하는 CISA는 어디입니까?해커가 감수해야 하는 복잡성 수준은 어느 정도일까요?메타스플로잇을 사용하여 한 줄의 명령줄을 입력할 수 있나요? 아니면 높은 수준의 복잡성이 필요한가요?그러면 사용자 상호작용의 수준은 어느 정도일까요?이메일을 열지 않아도 되는 곳에서 이메일을 보내고 있나요?아니면 사용자가 몇 번 클릭해야 하나요?따라서 이러한 점들은 보통 CVSS 점수 외에 가장 먼저 해결해야 할 사항의 우선 순위를 정하는 데 도움이 됩니다.

0:08:01.8 라구 난다쿠마라: 그리고 노출이라는 용어를 쓰신 것 같은데요.취약점의 실제 노출, 노출 위험은 얼마인가요?실무자로서 조직의 자산 노출을 어떻게 파악할 수 있을까요?

0:08:20.0 라이언 프라이드: 네, 정말 어려워요.제가 다녔던 대부분의 회사에서 자산 관리는 확실히 어려운 일이었어요.여기저기 자산이 널려 있잖아요.워크스테이션까지 오가는 사람들이 있습니다.스핀업 중인 새 서버가 있습니다.DevSecOps를 사용하면 퍼블릭 클라우드에서 임시 서버를 스핀업할 수 있습니다.그리고 저는 과거에 Pentest에 푹 빠진 적이 있는데, Windows 2008 박스에 EDR 에이전트가 없고 펜 테스터가 찾아서 악용한 다음 옆으로 이동하여 도메인 및 관리자 액세스 권한을 얻은 적이 있습니다.그래서 최근에 제가 찾은 가장 좋은 방법은 VMware 스택에 대한 API 액세스, 무엇을 사용하든 퍼블릭 클라우드 프레즌스, MDM 솔루션입니다.따라서 에이전트를 설치하거나 조치를 취하지 않아도 됩니다.

0:09:14.0 라이언 프라이드: 따라서 다른 플랫폼에 대한 API 연결을 사용하는 데 있어 정말 좋은 성과를 내고 있는 공급업체가 몇 개 있습니다.하지만 동시에 실무자로서 한 가지 어려운 점은 모든 상담원이 어디에나 있는지 확인하는 것입니다.저는 모든 에이전트, 모든 서버, 워크스테이션에서 100% 규정을 준수해 본 적이 없습니다.따라서 EDR 공급업체와 Vault 관리 공급업체를 일일이 살펴보는 대신 API 호출을 실행할 수 있는 도구가 있습니다.하나의 호스트 이름을 얻으면 EDR, 볼트 관리가 표시된다고 표시되지만 로그를 가져와서 SIM으로 보내는 도구는 보이지 않습니다.그래서 훨씬 더 쉬워집니다. 그렇지 않으면 항상 100% 를 얻을 수 있는 것은 아니지만 직접 하는 것이죠.

0:10:01.2 라구 난다쿠마라: 즉, 절대 100% 를 받을 수 없을 거고 항상 따라잡기 위해 노력해야 한다는 거죠.우리가 흔히 “오, 공격자는 항상 한 발 앞서 있어요.” 라는 문맥에서 이런 말을 하는 게 아니에요.그런 관점에서 말씀드리는 것은 아니지만 말씀하셨듯이 기본적인 부분만 따지면 패치를 사용하든 애셋 디스커버리 등을 사용하든 항상 따라잡기 위해 노력하고 있습니다. 무엇이 충분한지 어떻게 판단하시나요?허용 가능한 수준은 어느 정도이고 그 이상은 보너스이지만, 더 잘하는 데 드는 비용 또한 잠재적으로 엄청날 수 있습니다.어떻게 설정하나요?왜냐하면, 그리고 여러분을 끊으려는 게 아니에요. 다시 말씀드리지만, 방금 전에 몰랐던 Windows 2008 서버의 예를 다시 살펴보자면 말이죠.결국 악용될 수 있는 취약점이 바로 이 취약점입니다.어떻게 균형을 맞출 수 있을까요?

0:10:46.1 라이언 프라이드: 네.“충분히 좋다”라는 말을 꺼내줘서 정말 기뻐요. 그게 제가 보안 분야에서 살아가는 일이기 때문이죠.저는 건강 보험, 핀테크, 카드 소지자 데이터 등 규제가 심한 회사에서 일해봤는데, 이 회사에서는 무엇을 해야 하는지에 대한 규범이 꽤 많이 나와 있지만, 제가 일해본 어떤 회사도 보안을 요구하는 회사가 없었습니다.브룩스는 신발 판매 사업을 하고 있는데 공격 대상을 최소화하기 위해 노력하고 있습니다.랜섬웨어에 감염되더라도 회사의 입장에서 벗어날 수는 없습니다.좋든 나쁘든 소매 부문에서 일하기 위해 전체론적 관점에서 볼 때 준수해야 하는 규정 준수 프레임워크는 없습니다.그래서 NIST 사이버 보안 프레임워크나 CIS Top 같은 것을 사용할 겁니다. 20개였던 것이 지금은 18개라고 생각해요.

0:11:34.5 라이언 프라이드: 그리고 보통 일 년에 한 번, 다양한 통제 수단을 살펴보고 평가합니다. 예를 들어 자산 관리를 예로 들어보죠.우리한테는 중요하죠.1에서 5까지의 척도로 본다면 2, 3이 될 수도 있지만, 5는 되지 않을 수도 있습니다.2에서 3으로, 3에서 4로, 4에서 5로 만들려는 노력의 수준은 어느 정도일까요?규모와 직원을 기준으로 어느 시점에서 충분히 괜찮다고 판단하고 다음 단계로 넘어갈 수 있을까요?그래서 실제로, 우리에게 가장 중요한 것이 무엇인지 한 번 살펴보겠습니다. 자산 관리는 분명히 매우 중요합니다.그런 다음 수용 가능한 점수를 결정하고 개선합니다.

0:12:16.5 라구 난다쿠마라: 정말 흥미롭네요.거기서 정말 흥미로운 이야기를 하셨는데요. 특히 제조업이나 소매업과 같은 사이버 보안 요건에 있어서는 금융과 같이 규제가 심한 산업과 훨씬 규제가 덜한 산업이 대조되는 것이었죠.규제가 심한 산업을 생각해보면 보통 세 가지 지렛대가 있습니다.하나는 규제이고, 하나는 제가 평판 상실, 사업 수익 손실 등을 방지해야 한다는 아주 분명한 생각입니다. 그리고 그 산업, 해당 부문에 영향을 미치는 지진 사고가 종종 발생하기 때문에 다른 누구도 헤드라인 역할을 하고 싶어하지 않는다는 뜻입니다.하지만 이제 규제가 없는 것이 아니라 규제가 덜한 산업에서 프로그램을 발전시킬 수 있는 지렛대를 어떻게 구축할 수 있을까요?

0:13:12.7 라이언 프라이드: 네, 브룩스에서, 그리고 다른 회사에서 본 것 중 가장 중요한 일은 운영위원회 운영위원회였다고 생각해요.그래서 제 상사는 COO, CFO, 개인 정보 보호 책임자, 법률 책임자를 만나 보안의 중요성을 이해하게 해주었죠. 덕분에 우리는 엄청난 영향력을 행사할 수 있었습니다.그래서 저는 이것이 가장 중요하다고 생각합니다. 최고 경영진의 동의가 필요합니다. 그리고 우리가 어디에 있고, 어디에 있어야 하며, 돈이든 사람이든, 무엇이 필요한지 명확히 설명할 수 있는 것이 제가 가장 성공적인 방법을 찾은 방법입니다.

0:13:48.0 라구 난다쿠마라: 그리고 현재 Brooks에서 하고 있는 역할과 규제 대상 산업에서 이전 고용주가 맡았던 일부 역할을 어떻게 대조하시나요?한 쪽에서는 어떤 어려움이 있고 다른 한 쪽에서는 어떤 어려움이 있나요?그래서 이런 다양한 산업 분야를 돌아다니면서 이런 역할을 맡아왔다는 것이 정말 흥미롭기 때문이죠.

0:14:09.1 라이언 프라이드: 네, 북극성은 조금 다른 것 같아요.그래서 HIPAA의 보험 관련 규제가 심한 업계에서 일하면서 우리는 훨씬 더 데이터 중심적이었죠.우리는 도구를 사용하여 기밀 제한 데이터를 찾았습니다.데이터 손실 방지에 대해 더 많은 노력을 기울였습니다.Brooks에서 그렇게 하지 않는다는 것은 말할 것도 없지만 규제가 엄격한 데이터는 없습니다.Brooks에서는 가용성에 훨씬 더 초점을 맞춥니다.따라서 랜섬웨어를 살펴보는 것이 우리가 하는 일의 상당 부분을 좌우합니다.네, 말씀드리고 싶은 것은 지적 재산에 관한 일부 독점 유형의 데이터에 대해서는 생각하고 있지만, 우리는 다양한 위협으로부터의 가용성에 훨씬 더 초점을 맞추고 있다는 것입니다.

0:14:52.2 라구 난다쿠마라: 저는 이것이 정말 흥미롭다고 생각해요. 왜냐하면 우리가 전통적인 CIA 보안 삼각형을 생각해보면 말이죠.C는 보통 초점이 많이 잡힙니다.그리고 저는 상당한 집중력을 발휘하고 A는 종종 무시되지 않습니다. 하지만 C와 I를 보호하기 위해 모두가 기꺼이 희생하려는 부분이죠. 하지만 다시 말씀드리지만, 특히 지난 몇 년 동안 사이버 복원력이라는 용어가 유행하면서 A에 대한 관심이 높아지고 조직들은 C와 I뿐만 아니라 CIA 삼각형의 가용성 요소를 훨씬 더 중요하게 여기고 있다고 생각합니다.. 그렇게 보시는 거예요?

0:15:37.3 라이언 프라이드: 정말 그래요.네.우리는 ERP 시스템의 가용성에 대해 생각합니다.한 가지 알아차린 사실은 제 경험에 비추어 볼 때 점점 더 많은 기업들이 랜섬웨어 복구를 테스트하고 있다는 것입니다.이를 제자리에 두는 것도 중요하지만 실제로 시간이 얼마나 걸리는지 알아낸 다음 실제로 복구하고 비즈니스 사용자가 필요한 데이터를 얻을 수 있도록 하는 것은 정말 중요합니다. 랜섬웨어를 처음 접하는 것은 원하지 않기 때문입니다.그리고 발견하는 것도 무척 흥미로워요...필자는 무중단 업무 운영을 위해 노력해 왔는데, 누군가 XYZ 애플리케이션을 필요로 한다고 가정해 봅시다. 얼마나 빨리 필요한지 물으면 한 시간이라고 합니다.왜 안 되냐고요?한 시간이라고 하지 않을래요?실제로 인프라 팀이 그 차이를 파악하는 데 8시간이 걸릴지 모릅니다. “한 시간 안에 할 수 있지만, 사용 중이고 쓰기 중인 다른 데이터 센터에 비용을 지불해야 하고 백만 달러가 들면서 '8시간은 꽤 괜찮은 것 같네요. '” 라고 말할 수 있습니다.따라서 중요한 애플리케이션에 실제로 소요되는 시간에 대한 이러한 기대치를 관리하는 것은 생각보다 오래 걸리기 때문에 레벨 설정에 중요합니다.

0:16:52.5 라구 난다쿠마라: 네, 물론이죠.그리고 그렇게 말씀하셨잖아요몇 가지만 말씀드리죠.죄송해요. 게스트가 이런 생각의 흐름과 모든 것을 두 번 클릭하고 싶을 때 정말 흥분돼요.생각의 초반부부터 시작해보죠. 효율성과 제 관리 방법이 얼마나 효과적인지에 대해 말씀하셨죠.자, 조금 무거운 질문이 하나 있는데, 규제가 심한 산업에 종사하던 시대로 거슬러 올라갑니다. 규정 준수와 보안의 차이는 무엇이라고 생각하시나요?

0:17:27.9 라이언 프라이드: 네, 큰 차이입니다.따라서 컴플라이언트는 긍정적으로 사용될 수 있습니다.신용 카드 데이터를 다룰 때 PCI는 매우 규범적이고 좋은 점도 많지만, 8자 암호도 권장해 주는데 제가 사용하기에는 애를 먹었습니다.따라서 이는 좋은 기준이며 작업을 완료하는 데 사용할 수 있습니다.어떤 업종에 속해 있는지, 공격자들은 어떻게 대응하고 있는지를 보여주는 위협 기반 접근 방식을 취해야 한다고 생각합니다.예를 들어 클라우드의 경우, Gartner의 경우 클라우드 보안 침해의 90~ 95% 가 잘못된 구성으로 인한 것이라고 생각합니다.감사에서 이 점에 대해 이야기하고 있는지는 모르겠지만, 클라우드에 입지를 두고 있기 때문에 이는 중요합니다.따라서 규정 준수는 좋은 일이고 친구가 될 수도 있지만 그게 전부가 될 수는 없습니다.

0:18:18.4 라구 난다쿠마라: 이전 직무를 통해 살펴보자면, 규정 준수 및 감사는 사용자가 정의한 체크리스트나 일련의 표준과 비교하여 실제 위협이 무엇이고 현재 구성을 어떻게 악용할 수 있는지를 비교하는 경우가 많다는 것입니다.그럼 지금까지 말씀하신 의견에 대한 후속 질문이 떠오릅니다. 통제력이 효과적인지 어떻게 테스트할 수 있느냐는 것입니다.

0:18:52.0 라이언 프라이드: 이제 제 지난 몇 가지 직업에서 제가 열정을 쏟은 프로젝트에 대해 말씀해 주실 거예요.

0:18:57.6 라구 난다쿠마라: 좋아, 가자.

0:18:57.8 라이언 프라이드: 네, 제가 처음 시작했을 때 10년의 진화에 대해 얘기해 보죠.아무리 많은 돈을 펜 테스터에게 지불하면 그들은 기본적으로 네서스 스캔을 실행해서 이것들이 모두 당신의 취약점이라고 말하고 그게 전부였다고 말할 것입니다.다음으로 살펴본 부분은 이제 펜 테스터에게 비용을 지불하라는 것입니다. 사용자 환경에서 액세스 권한을 부여할 수도 있고 그렇지 않을 수도 있습니다.아마 아닐 거예요.그들이 들어오려고 하면 들어올 수도 있고, 접근 권한을 얻게 되면 그걸 고칠 수 있죠.지난 몇 년 동안 자주색 팀 구성과 Atomic Red Team과 같은 도구가 발전하기 시작했습니다. 이제는 정식 펜 테스터로서의 교육을 받지 않은 사람도 해커가 사용하는 것에 대한 시뮬레이션을 실제로 실행할 수 있습니다.

0:19:38.7 라이언 프라이드: 맨디언트 (Mandiant) 나 레드 카나리 (Red Canary) 의 다양한 보고서를 살펴보겠습니다. 지난 한 해 동안 우리가 목격한 10대 해커 기법이라고 적혀 있을 것입니다.그런 다음 실제로 도구를 사용하여 네트워크에 있는 제 노트북에서 이러한 기술을 실행해 보겠습니다.우리의 EDR이나 방화벽이 무엇을 잡는지 살펴보도록 하겠습니다.대부분 잡히면 좋아요.만약 그들이 뭔가를 못 잡으면 우리 SEM이나 EDR에서 탐지 결과를 써서 다음 번에 잡도록 할게요.간단한 예를 들자면, 대부분의 해커들은 침입했을 때 “나는 누구지?” 라는 질문을 던지죠.그들이 정확히 어디에 있는지, 어떤 계정을 가지고 있는지 알아보죠.그리고 우리의 EDR 도구가 이를 감지하지 못하는 것을 보았고, 그래서 우리는 그것을 볼 때마다 퀵 디텍션을 작성했고, 아주 단순하고 아주 초창기에 그런 펜 테스터들을 잡았습니다.네, 제 생각엔 적대적 에뮬레이션 같은 것을 사용하거나 명령 프롬프트에서 제가 누구인지, sysinfo나 net group admin과 같은 것들을 실행하는 것도 정말 효과적이고 무료라고 생각해요.

0:20:46.3 라구 난다쿠마라: 그래서 물어보고 싶어요.그리고 당연하죠. 저는 이것이 바로 보안 테스트의 진화라고 생각합니다.지금은 보안 방어를 훨씬 더 현실적으로 테스트할 수 있는 단계에 와 있다고 생각합니다.물론 팀 연습을 통해 빠른 피드백 루프를 통해 이를 개선할 수 있습니다.하지만 여러분이 현장에 있을 때, 보호를 위해 도입할 다음 보안 기능을 구매한다고 가정해 봅시다. 이 경우에는 브룩스의 경우, 해당 공급업체가 판매하려는 제품이 실제로 기대하는 보안 향상 효과를 제공할 것인지 어떻게 검증할 수 있을까요?어떻게 할 수 있을까요?

0:21:30.1 라이언 프라이드: 네, 정말 규범적인 성공 기준을 정의하는 것이 정말 중요하다고 생각합니다.그래서 어떤 사용 사례를 찾으려고 하시나요?왜냐하면 벤더를 찾아다니면서 이렇게 할 수 있는 기능이 있으면 좋겠다고만 하면 좋은 시간을 보낼 수 없을 테니까요.왜요?뭘 방어하려는 거지?그걸 흉내낼 수 있을까요?클라우드 보안 상태 관리 솔루션을 찾고 있다면 간단한 POC를 실행한 다음 데이터가 없는 S3 버킷을 세상에 공개하고 얼마나 빨리 데이터를 수집하는지 확인할 수 있습니다.마이크로세그멘테이션의 경우 랩톱을 가지고 전체 환경을 대상으로 Nmap 스캔을 수행하여 어떤 내용이 다시 통신할 수 있는지 확인할 수도 있습니다.그런 다음 도구를 적용 모드로 전환하고 아직 사용할 수 있는 것이 무엇인지 살펴봅니다.따라서 벤더를 살펴보기 전에 먼저 사용 사례와 해결하려는 문제를 이해해야 한다고 생각합니다.

0:22:30.2 라구 난다쿠마라: 네, 물론이죠.동의합니다. 왜냐하면 고객 측 모두 해결하려는 사용 사례에 대해 명확한 아이디어를 갖고 있는 반면 “안녕하세요, 이 기능이 필요해요.” 라고 생각하기 때문입니다.이익을 얻으려면 연계되어야 합니다.그리고 벤더 관점에서는 “이봐, 우리가 이 기능을 팔고 있어”라고 반복해서 말하는 것과는 대조적으로 해당 사용 사례와 명확하게 연결될 수 있어야 한다고 생각하는데, 이런 식으로 작동합니다.그렇게 말할 수 있다는 것은 정말 중요하다고 생각합니다.다음은 제로 트러스트 리더십 팟캐스트이기 때문에 다음으로 넘어가겠습니다.그래서 제로 트러스트에 대해 조금 이야기해 보죠.그리고 저는 여러분이 거의 제로 트러스트 전문가인 것으로 알고 있습니다.여러 고용주에서 제로 트러스트 프로그램을 최소 두 개 이상 구축하셨잖아요.먼저, 제로 트러스트에 대해 어떻게 생각하시나요? 그리고 왜 제로트러스트가 마음에 드시나요?

0:23:23.4 라이언 프라이드: 네.그래서 저는 항상 약 10년 전 HVAC 계약자가 네트워크에 액세스한 후 카드 소지자 데이터에 액세스할 수 있었던 Target 보안 침해 사건을 떠올립니다.이것이 우리가 이를 시도하는 이유 중 하나입니다.아니면 기본적으로 사용자가 감염됐을 때 어떻게 하면 폭발 반경을 최소화해서 최소한의 권한 접근 권한을 부여해서 큰 피해를 주지 않을 수 있을까 하는 생각이 들어요.

0:23:52.4 라구 난다쿠마라: 그래서 그걸 적용하면 물론...이는 보안에 대한 제로 트러스트 접근 방식과 완전히 일치합니다. 그렇다면 조직이 이러한 접근 방식을 채택할 수 있도록 지원하는 프로그램을 어떻게 구축할 수 있을까요?제로 트러스트는 좋은 아이디어지만 실제로 실현하기는 어렵다는 말을 꾸준히 듣고 있지만 두 번이나 성공적으로 해냈기 때문입니다.그렇다면 여러분이 가지고 있는 비밀 중에 다른 사람들이 알아야 할 소스는 무엇일까요?

0:24:23.0 라이언 프라이드: 물론이죠.제로 트러스트는 원칙에 가깝습니다. 몇 가지 다른 방법으로 적용할 수 있었습니다.우리가 하는 거의 모든 일에서 우리는 어떻게 하면 제로 트러스트와 제로 트러스트를 향해 나아갈 수 있을지 고민합니다.실제 제로 트러스트는 정말 어려운 일이고, 정말 두렵다고 생각해요.제로 트러스트에 대해 처음 생각했을 때 서버 간 통신을 덜 허용할 수 있을까 생각했는데 정말 두렵고 프로덕션에도 큰 영향을 미칩니다.하지만 예를 들어, 우리가 말하는 것은 제로 트러스트 관점에서의 마이크로세그멘테이션입니다.운영 중단 최소화를 통해 얻을 수 있는 비용 대비 효과가 가장 좋은 것은 무엇일까요?왜냐하면 여러분과 청취자들도 아시겠지만, 저는 어떤 도구나 기술, 어떤 보안 도구가 무언가를 차단했기 때문에 신뢰를 잃었기 때문입니다. 합법적인 차단일 수도 있고 아닐 수도 있지만 그 신뢰를 되찾기가 정말 어렵습니다.

0:25:22.3 라이언 프라이드: 어떤 것이 고장날 때마다 “저게 그 도구야?” 라고 하는 도구를 사용해 본 적이 있습니다.저는 “아니요.” 라고 말할 수 있어요.먼저 워크스테이션과 워크스테이션 간의 통신에 대해 살펴봤는데, 전혀 그렇지 않을 수도 있습니다.그리고 사용자와 서버 간의 상호 작용도 있습니다. 직원 중 90% 이상이 IT 부서에 속하지 않기 때문입니다.따라서 HTTPS를 통하지 않으면 서버에 실제로 액세스할 수 없습니다. 원격으로 액세스하지 않습니다.위협의 관점에서 생각해보면 대부분의 침입은 워크스테이션의 피싱 이메일에서 시작됩니다. 사람들은 보통 서버에서 이메일에 액세스하지 않으므로 액세스하지 않아야 합니다.어떻게 만들 수 있을까요? 누군가 랜섬웨어에 감염되었다는 소식을 들었는데, 그 랜섬웨어는 다른 워크스테이션에도 영향을 주지 않고 대부분의 다른 서버에도 영향을 미치지 않습니다.저에게는 마이크로세그멘테이션 관점에서 볼 때 이것이 바로 제로 트러스트라고 할 수 있습니다.

0:26:19.2 라구 난다쿠마라: 0이라고 말씀하신 방식이 마음에 들어요. 앞서 이야기했던 내용으로 돌아가는 것만으로도 충분하다고 생각하기 때문이죠.그리고 이 사이에 선을 긋고 있네요...제가 알기론 여기가...방금 말씀하신 것을 바꾸어 설명하자면, 제 네트워크 내에서 지나치게 관대한 액세스가 발생할 경우 이것이 가장 큰 위험이라는 것을 알고 있습니다.그래서 저는 이러한 접근에 초점을 맞출 생각입니다. 암묵적인 신뢰를 줄이는 것이죠.제로 암묵시적 트러스트에 더 가까워지기는 했지만, 여기서 선을 긋는 이유는 이 외에도 제가 들인 노력에 대해 얻는 수익은 무시할 수 있을 정도이거나 어쩌면 과거로 돌아간다고 생각하기 때문입니다...그리고 그게 정말 중요한 점이었어요...커리어를 정의하는 역할을 할 수 있는 경우가 많죠.보안 통제는 커리어를 결정짓습니다. 보안 통제가 제대로 진행되고 위험과 노출을 줄였다는 것을 증명할 수 있다면 모두가 칭찬을 아끼지 않기 때문입니다.하지만 일부 중요한 애플리케이션이 고장나서 “라이언, 안녕하세요 라구, 방금 신청한 것에 대해 대화를 나누자.” 라고 말할 가능성이 훨씬 더 큽니다.그리고 말씀하셨듯이, 문제를 일으킨 것이 자사 제품이 아닌 이유를 설명하느라 몇 시간, 며칠을 허비해야 합니다.다시 한 번 말씀드리지만, 지금까지 노력한 보람이 있다는 말은 무슨 조치일까요?이 정도면 충분합니다.게다가 더 많은 혜택을 받으려면 비용이 많이 듭니다.모래에 그 선을 어떻게 그릴 수 있을까요?

0:27:56.8 라이언 프라이드: 물론 주관적일 수도 있겠지만 제 생각에는 관리 오버헤드와 프로덕션이 애플리케이션에 미치는 영향을 생각해 봅니다.우리를 제외한 다른 사람들의 직무 설명에는 안전하다고 적혀 있지 않습니다.애플리케이션을 실행하려면 애플리케이션이 필요합니다.그래서 비용을 들일 만한 가치가 없다고 생각해서 우리가 하지 않은 일을 좋은 예로 들 수 있습니다.또 다른 잠재적 위험은 서버가 감염되어 명령 및 제어 도메인을 방문하여 멀웨어를 다운로드한 후 감염되었다고 가정해 보겠습니다.서버에서 바로 사용할 수 있기 때문에 사용자가 서버에 연결할 필요가 없었습니다.이제 우리가 할 수 있는 한 가지는 애플리케이션이나 서버가 특정 도메인, 특정 웹 사이트로만 이동하도록 허용하는 제로 트러스트를 사용하는 것입니다.현실적으로 서버가 웹 사이트를 많이 방문하지는 않지만 그 이면의 작업은 놀라울 정도입니다.제가 아는 건 저희가 해봤기 때문이죠.웹사이트에는 사물이 닿을 수 있는 도메인이 너무 많아요.따라서 새로운 애플리케이션을 다운로드한다고 가정해 보자면 운영상의 악몽이 되고 프로덕션에도 영향을 미칠 수 있습니다.그리고 그 사람이 아시아나 유럽에 있는 어떤 사람이고 제가 그 일을 하고 있다고 가정해 봅시다.그래서 제가 정말로 생각하는 것은, 어떤 위험이 있는가입니다.DNS가 해당 도메인을 포착하지 못하고, EDR이 해당 도메인을 포착하지 못하고, 방화벽이 해당 도메인을 포착하지 못하고, C2 서버라는 위험이 있습니다.국가 행위자가 그걸 할 수 있을까요?물론이죠.하지만 저한테는 그럴 가치가 없어요. 생산에 미치는 영향이 크기 때문이죠.그래서 다른 방법들도 만들었죠.

0:29:45.1 라구 난다쿠마라: 네.저도 비슷한 경험이 있어서 충분히 이해합니다.그렇다면 제로 트러스트 프로그램의 미래는 어떻게 될까요? 그리고 이러한 지속적인 발전에 대해 어떻게 생각하시나요?어떤 모습일까요?

0:30:01.1 라이언 프라이드: 네, 마이크로세그멘테이션을 통해 모든 곳에 적용할 수 있는 것 같아요.다양한 사용 사례를 살펴보자면, 가시성 관점에서 볼 때 퍼블릭 클라우드의 관점이 무엇인지 파악하고 역할과 액세스 등에 대해 가능한 한 최소한의 권한을 사용하고 있는지 확인하는 것이 더 나을 수도 있습니다.그리고 Azure와 온-프레미스의 Active Directory 계정 전반에 걸쳐 일반적으로 최소 권한 액세스도 가능합니다.현재 작업 중인 주요 기능 중 일부는 다음과 같습니다.

0:30:29.6 라구 난다쿠마라: 클라우드에 대해 몇 번 말씀하셨잖아요.그리고 종종 조직과 실무자들은 클라우드 보안과 기존의 캠퍼스 및 데이터 센터 보안을 구분합니다.사실 저는 이번 주 초에 한 행사에 참석했는데 무대에 선 사람은 기본적으로 대규모 금융 조직에서 DevOps 또는 DevSecOps를 운영하는 사람이었습니다.그가 말한 것은, 우리가 만들어낸 문제는 “좋아, 저는 보안을 다르게 구분하거나 클라우드와 레거시, 기존 방식, 뭐라 부르든 간에 보안에 대해 생각하는 방식이 다릅니다.” 라고 말하는 것이었죠.어떻게 생각하세요?왜냐하면 그의 관점은 당신이 일관된 보안을 유지하기 위해 같은 방식으로 그것들에 대해 생각해야 한다는 것이었기 때문입니다.

0:31:18.0 라이언 프라이드: 전적으로 동의합니다.제가 항상 사용하는 말은 클라우드는 데이터 센터의 확장일 뿐이라는 것입니다.VM이든, 클라우드의 Windows VM이든, 데이터 센터에 있든, 책상 아래에 있든 상관 없습니다.아직 패치도 필요하고 특정 에이전트도 필요한데 이들을 따로 보는 것은 정말 위험한 시각입니다.그리고 보안과 인프라 측면에서 모두 익숙해지기까지는 시간이 좀 걸린다고 생각합니다.하지만 말씀하신 것처럼 컨트롤도 비슷해야 합니다.이제 서비스와 스토리지 컨테이너와 같은 특정 항목에 대해서는 서로 다를 수 있습니다.일시적이든 아니든 VM은 VM입니다.따라서 데이터 센터에서와 마찬가지로 여전히 가시성과 패치가 필요합니다.

0:32:04.6 라구 난다쿠마라: 그렇다면 지금 여러분이 바라보고 있는 미래는 어떤 모습일까요?여러분을 정말 흥미롭게 하는 트렌드와 기술은 무엇인가요?여러분의 열정 프로젝트에 대해 조금 말씀하신 건 알지만, 사이버 보안 세계에서 어떤 일이 벌어지기를 정말 기대하고 계신가요?

0:32:24.8 라이언 프라이드: 네, 앞서 말씀드린 것처럼 자산 관리가 개선된 것 같아요. 총 자산 수를 파악하기 위한 API 기반 접근 방식에 더 가깝습니다.알아내기는 어렵지만, 또한 앞으로 몇 년 안에 API 보안과 관련된 기술이 더 많이 등장할 것으로 생각합니다.제 생각에 이러한 현상은 기업에서 생각보다 많이 노출될 수 있다고 생각합니다. 특히 네트워크에 애플리케이션을 호출하거나 다른 직원 기반 애플리케이션이나 네트워크에 애플리케이션을 호출하는 애플리케이션이 있는 경우 더욱 그렇습니다.이에 대해 어떤 종류의 보안을 적용하고 있는지 모를 수도 있습니다.API가 어디에 있고 API와 관련하여 어떤 종류의 보안이 있는지 알아낼 수 있는 기술이 정말 기대됩니다.그리고 개발자 기반 접근 방식을 사용하는 것은 제 전문 분야는 아니지만 개발자 언어로 적절한 중요도를 부여하여 문제를 해결할 수 있는 도구가 있으면 좋겠습니다.

0:33:19.3 라구 난다쿠마라: 그리고 실제로 개발자를 추천하셨는데, DevSecOps, 쉬프트-레프트, 시프트-레프트, 시프트 앤 시프트 앤 시프트 앤 시프트, 시프트 앤 시프트, 시프트, 시프트, 시프트, 시프트, 시프트 앤 시프트, 시프트-레프트제가 이 모든 용어에 대해 전문가는 아니지만...읽었다가 불쑥 꺼낼 수 있을 만큼 위험해요.이런 것들은 여러분에게 어떤 의미가 있으며, 여러분이 실무자로서 하는 일에 어떤 의미가 있나요?

0:33:46.1 라이언 프라이드: 네, 쉬프트 레프트가 정말 중요하다고 생각해요.저는 양쪽 모두에서 개발자들이 이렇게 말하곤 했습니다. “이봐, 우리 응용 프로그램이 있는데 2주 후에 프로덕션에 들어갈 거야.그냥 승인해 주실 수 있나요?”저는 “뭐라고요?”그런 다음 다양한 도구를 사용하여 애플리케이션 취약점 등을 조사할 수 있습니다.그리고 우리는 그것을 알아냅니다.어차피 출시될 가능성이 높죠.그래서 저는 애플리케이션 개발 경험이 많지 않고 처음부터 함께 참여하는 것이 가장 이상적입니다. 하지만 가끔은 회의실에 보안을 두는 것만으로도 초기 논의에서 서로 다르게 이야기하거나 행동하게 되는 경우가 있습니다.하지만 또 정말 중요하다고 생각해요. 정적 코드 분석 도구와 동적 코드 분석 도구가 있기 때문이죠.개발자가 원하는 것을 고르도록 하세요.제가 매일 이 작업에 참여하지는 않을 가능성이 높기 때문에 개발자 친화적인 제품을 원합니다.그래서 우리는 그걸로 큰 성공을 거두었죠.물론 최소한의 보안 유형 검사 기준을 충족하는지 살펴보고 싶지만, 고객이 이해할 수 있고 우리가 자문 역할을 더 많이 할 수 있는 언어로 제공되기를 바랍니다.

0:34:56.1 라구 난다쿠마라: 저는 보안에 제로 트러스트 접근 방식을 채택하는 것이 좌파 전환과 실제로 일치한다는 생각을 가지고 놀고 있습니다.그리고 나쁜 것들을 차단하려는 것보다는 제가 허용하고 싶은 좋은 것들이라고 분명하게 말하자면, 애플리케이션 개발에 대해 말하자면, 거의 여러분이 “좋아요, 이런 것들이 애플리케이션에 필요한 일이라는 것을 알고 있고 그렇게 할 수 있도록 하는 보안 규칙을 작성하고 싶습니다.” 라고 말해봅시다.그렇다면 보안이 왼쪽으로 이동하는 것을 볼 때 다음과 같은 경우가 발생할 것이라고 생각하십니까?이를 실용화하기 위해서는 제로 트러스트의 채택을 늘려야 할까요? 다른 말로 표현하자면 허용 목록 기반 보안을 정의하는 데 더 초점을 맞추는 것일까요?

0:35:48.4 라이언 프라이드: 네, 쉬프트 레프트가 확실히 잘 맞는 것 같아요.제 생각에 지금은 새로운 서버나 애플리케이션을 도입할 때 마이크로세그멘테이션 환경에 도입될 것이기 때문에 더 일찍 참여하게 되는데 그 도구에 실제로 필요한 커뮤니케이션이 무엇인지 이해하고 싶기 때문이죠.간단한 예를 들겠습니다.공급업체에서 포트 1~65,000개를 열어야 한다고 말한 응용 프로그램을 본 적이 있는데, 이는 해당 공급업체의 거칠고 매우 게으른 행동입니다.

0:36:16.7 라구 난다쿠마라: 마지막에 있는 나머지 몇 백 개는 어때?그걸 원하지 않았다고요?

0:36:20.6 라이언 프라이드: 네.그들은 최소한의 특권이나 제로 같은 트러스트를 시도하고 있었죠.초기에 참여하면 한 달 동안 실행해도 범위가 100~1,000개 포트에 불과할 수도 있다는 것을 알 수 있습니다.하지만 만약 우리가 일찍 개입하지 않았는데 그들이 우리 모르게 애플리케이션을 설치했는데 이미 프로덕션 단계에 있다면, 광범위한 작업과 빠른 피드백 루프가 없다면 아마도 65,000개로 유지해야 할 것 같습니다.요구 사항 단계 초기에 참여하고 Zero-ish Trust 전략을 성공적으로 수립하는 데 도움이 되는 데이터를 살펴보는 것이 좋습니다.

0:36:58.1 라구 난다쿠마라: 물론이죠.그리고 제 생각에는 말씀하신 성숙도가 어느 정도 돌아간다고 생각합니다. 프로그램이 성숙해짐에 따라 당연히 보안 관련 업무는 점점 더 왼쪽으로 옮겨가게 됩니다.다시 말씀드리지만, 얼마나 남았는지는 해당 프로그램을 어디까지 진행하고자 하느냐에 따라 달라집니다.논의할 내용이 훨씬 더 많다고 말씀드린 것처럼 말이죠. 하지만 저는 여러분의 시간을 염두에 두고 있습니다.미래에 대해 어떤 점이 기대되세요?청취자가 듣고 깨닫고 실천에 옮겼으면 하는 것들이 있다면 무엇인가요?

0:37:37.3 라이언 프라이드: 네, 컨트롤 검증과 같은 것에 대해 말씀드렸습니다.실제로 협업하고 실행 가능한 위협 인텔리전스의 보안이 바뀌는 것을 보게 되어 정말 기뻤습니다.MITRE ATT&CK는 공격자들이 어떤 행동을 하는지 기본적으로 상위 수준에서 체계화할 수 있다는 점에서 업계에 정말 긍정적인 영향을 미쳤다고 생각합니다.정보 공유 그룹에 속하거나 컨퍼런스에 참석하거나 기사를 읽고 해커들이 무엇을 사용하고 있는지 확인한 다음 실행할 가치나 명령을 알려줄 수 있다는 것이죠.이렇게 하면 사용자 환경에서 실행하여 영향을 받는지 확인할 수 있습니다.왜냐하면 예전에는 일 년에 한 번 펜 테스트를 하고 그 이후에는 내년까지 기다려야 하기 때문이죠. 그리고 적응하는 환경 때문에 매우 빠르게 무용지물이 됩니다.그래서 이런 일이 계속 일어날 수 있어서 정말 기쁩니다. 어쩌면 클라우드로 전환해서 제가 살펴봐야 할 로그가 무엇인지 알아볼 수도 있을 것 같아요.공격자들은 무엇을 하고 있나요?어떻게 에뮬레이션할 수 있나요?작동 여부를 어떻게 알 수 있나요?

0:38:40.2 라구 난다쿠마라: 멋지네요.또 하나, 라이언, 브룩스 러닝에서 중요한 보안 회의를 모두 하고 브룩스 트레이너들과 함께 달리기를 한다는 게 사실인가요?사실인가요?그냥 알려주세요.

0:38:49.0 라이언 프라이드: 네, 앞서 말씀드린 것 같아요. 제가 인터뷰한 것처럼 5K 시간을 보내고 20분 미만이어야 합니다.

0:38:55.1 라구 난다쿠마라: 당신과 함께 뛰었으니, 노력한다면 20세 이하도 할 수 있을 거라 확신합니다.그날 당신이 나한테 편하게 대해줬다는 거 알아요라이언, 만나서 정말 기뻤어요.여러분과 같은 훌륭한 보안 전문가와 대화하는 것은 언제나 즐겁습니다.시간을 내주셔서 정말 감사합니다.

0:39:14.0 라이언 프라이드: 네, 기회를 주셔서 감사합니다.정말 좋았어요.

0:39:16.6 라구 난다쿠마라: 그리고 Brooks Running과 같은 조직에서 Illumio가 어떻게 위험을 줄이고 사이버 공격을 차단할 수 있도록 지원하는지 자세히 알아보려면 당사 웹 사이트 illumio.com을 방문하여 고객 사례 연구를 비롯한 다양한 정보를 확인할 수 있습니다.정말 감사합니다.

0:39:37.5 라구 난다쿠마라: 이번 주 The Segment 에피소드를 시청해 주셔서 감사합니다.더 많은 정보와 제로 트러스트 리소스를 보려면 당사 웹 사이트 illumio.com을 참조하십시오.링크드인과 트위터의 @illumio 주소로도 당사와 연락할 수 있습니다.오늘 대화가 마음에 드셨다면 팟캐스트가 있는 곳 어디에서나 다른 에피소드를 찾아보실 수 있습니다.제가 호스트인 라구 난다쿠마라입니다. 곧 다시 찾아뵙겠습니다.

‍