[존 킨더백이 말하는 제로 트러스트에 대해 보안 리더들이 여전히 놓치고 있는 점]

[존 킨더백은 운동을 만들려고 한 게 아니에요.그는 방화벽이 멍청하다고 생각했을 뿐이야.]

[당시 그가 작업한 특정 방화벽은 각 인터페이스에 신뢰 수준을 할당했습니다.네트워크의 “신뢰할 수 있는” 쪽에서 “신뢰할 수 없는” 쪽으로 이동하는 경우에는 규칙조차 필요하지 않았습니다.]

[당시 침투 테스터였던 Jóhñ~은 그것이 얼마나 위험한지 정확히 알고 있었습니다.그가 말을 꺼냈을 때, 그는 고객과 회사, 방화벽 공급업체로부터 열광을 받았습니다.]

[하지만 그는 그 생각을 떨칠 수 없었습니다. 왜 우리는 “신뢰”처럼 막연한 (솔직히 무의미한) 무언가를 기반으로 네트워크를 구축했을까요¿]

[이 질문은 우리가 현재 제로 트러스트라고 부르는 것을 시작했습니다.그리고 수십 년이 지난 지금도, 현재 Íllú~míó의 수석 에반젤리스트인 J~óhñ은 여전히 시대에 뒤떨어진 가정을 무너뜨리고 사이버 보안 업계가 다르게 생각하도록 밀어붙이고 있습니다.]

[이 블로그 게시물에서는 존이 최근 체이스 커닝햄 박사와 나눈 대화에서 나온 지혜를 분석해 보겠습니다. 노 트러스트 팟캐스트, 이론에서 실천으로: 존 킨더백과 체이스 커닝햄 박사와 함께하는 제로 트러스트 여정그는 보안 리더들이 아직 놓치고 있다고 생각하는 주요 제로 트러스트 원칙을 공유했습니다.]

[짜증나는 센터는 이제 그만: 제로 트러스트의 탄생]

[Jóhñ~은 Fórr~ésté~r에 입사했을 때 마침내 이 큰 아이디어를 탐구할 수 있는 공간을 얻었고 회사의 애널리스트 교육을 통해 이를 장려했습니다.]

[“그들은 화이트보드에 우리의 직무 설명을 적었어요.” 라고 그는 말했습니다.“'큰 생각을 해 보세요. '그래서 디지털 시스템에 대한 신뢰에 대해 공부하고 싶다고 했죠.”]

[그 결과 연구와의 대화를 포함하여 2년간의 1차 연구가 이루어졌습니다. 제리코 포럼 (원래 제로 트러스트에 반대했던), 프로토타입 아키텍처, 개념을 깨려는 업계 전문가들의 끝없는 비웃음.]

[하지만 아무도 할 수 없었어요.]

[결국 Jóhñ~은 획기적인 논문을 발표했습니다. 더 이상 질긴 센터는 이제 그만, 제로 트러스트를 소개합니다.후속 논문은 네트워크 DÑÁ에 보안 구축: 제로 트러스트 네트워크 아키텍처, 강조하는 비전 제시 분할J~óhñ이 오랫동안 제로 트러스트의 핵심으로 여겨 온 개념입니다.]

[“표면을 보호하려면 분할이 필요합니다.” 라고 그는 말했습니다.“그게 제가 지금 일루미오에 있는 이유죠.”]

[가시성 빙산]

[만약 제로 트러스트 존은 마치 몇 년 전에 갑자기 그 광경이 갑자기 튀어나온 것 같다고 합니다. 빙산의 일각만 보고 있는 것 같아요.]

[“사람들은 2021년에 다시 불을 붙였다고 생각하지만 항상 그랬습니다.” 라고 그는 설명했습니다.“가시성이 없었을 뿐이죠.”]

[그는 다음과 같이 가리키고 있습니다. 2013년 타겟 침해 그리고 2015년 ÓPM 위반 제로 트러스트를 미국 정부 기관의 관심을 끄는 중요한 순간이었죠.]

[무대 뒤에서 채택이 눈덩이처럼 불어나기 시작했습니다. 특히 연방계에서는 더욱 그렇습니다.하지만 기업들은 이 사실을 인정하기를 꺼려했습니다.]

[“사례 연구를 요청했을 때 법무 팀과 PR 팀은 거절했습니다.” 라고 그는 말했습니다.“'우리가 제로 트러스트를 하고 있다는 사실을 사람들에게 알리고 싶지 않아요.그러면 우리가 표적이 될 수도 있어요. '~”]

[모든 것이 바뀌었습니다. 바이든 대통령의 2021년 행정명령 연방 기관에 제로 트러스트를 의무화합니다.조용하던 운동이 갑자기 대중의 탄력을 받게 되었습니다.]

[“더 이상 위협을 따르지 않아요.”]

[존의 가장 직관적이지 않은 믿음 중 하나는 위협을 추적하지 않는다는 것입니다.]

[“저는 최신 공부를 하지 않아요. 악성 코드 또는 공격 캠페인이요.” 라고 그는 말했습니다.“잘 설계된 제로 트러스트 환경에서는 중요하지 않기 때문입니다.”]

[왜요¿제로 트러스트는 보안 침해가 불가피하다고 가정하고 모든 경고를 추적하는 대신 중요한 정보를 보호하기 위한 제어 기능을 구축하기 때문입니다.]

[“제로 트러스트 환경에서는 인터넷의 알 수 없는 리소스가 보호 대상 표면에 알 수 없는 페이로드를 떨어뜨리는 것을 허용하는 정책은 없습니다.” 라고 그는 설명했습니다.]

[저는 최신 멀웨어나 공격 캠페인에 대해서는 연구하지 않습니다. 잘 설계된 제로 트러스트 환경에서는 중요하지 않기 때문입니다.]

[공격자가 사용하는 프로토콜은 변경되지 않았습니다.그리고 피싱 링크나 잘못된 암호와 같은 동일한 기본 공격 벡터가 여전히 우세합니다.]

[“공격자들은 여전히 20년 전과 같은 도구를 사용하고 있습니다.” 라고 그는 말했습니다.“여긴 키네틱 월드가 아니야.사이버에서는 여전히 동일한 TCP/Í~P 레일 안에 갇혀 있습니다.”]

[Jóhñ~은 위협 정보를 찾는 대신 시행 가능한 정책과 보호 표면에 초점을 맞춥니다.]

[제로 트러스트는 반드시 더 빠르게 대응하는 것을 의미하지는 않습니다.애초에 공격자의 선택지를 없애는 거죠.]

[기둥은 잊어버리세요: 제로 트러스트를 위한 5단계 모델 따르기]

[많은 제로 트러스트 노력이 중단되는 이유 중 하나는 조직이 유행어와 기둥으로 가득 찬 엄격한 프레임워크를 따르려고 하기 때문입니다.Jóhñ~은 이제 단순화해야 할 때라고 말합니다.]

[“저는 5단계 모델을 사용합니다.항상 그래요.제품 목록이 아닌 보호 표면부터 시작하세요.” 라고 그는 권장했습니다.]

[다음과 같은 정부 간행물에 설명된 다섯 단계 제로 트러스트 및 신뢰할 수 있는 ÍD 관리에 관한 ÑS~TÁC 대통령 보고서, 다음을 포함합니다:]

1. [보호 표면 정의]
2. [거래 흐름 매핑]
3. [제로 트러스트 아키텍처 구축]
4. [정책 생성]
5. [모니터링 및 유지 관리]

[Jóhñ~은 제로 트러스트를 한 번에 해결하려고 하거나 그것이 선형적인 성숙의 여정이라고 생각하지 말라고 경고합니다.]

[“사람들은 '모든 아이덴티티를 먼저 한 다음 디바이스, 네트워크를 차례로 처리하겠다'고 생각합니다.” 라고 그는 말했습니다.“그런 식으로는 어떤 것도 이룰 수 없을 거예요.”]

[대신 그는 팀이 프로젝트를 처음부터 끝까지 보호할 수 있는 작고 가치가 높은 네트워크 부분인 보호 표면으로 나눌 것을 권장합니다.]

[그리고 항상 가장 중요한 질문부터 시작하세요. 우리는 무엇을 보호하고 있을까요¿]

[제로 트러스트는 리더십의 필수 요소입니다]

[제로 트러스트 모멘텀을 유지하는 방법을 물었을 때 Jóhñ~은 간단한 진실을 제시했습니다. “리더십의 지지를 얻으세요.직원이 합류하면 모든 것이 바뀝니다.”]

[이것이 바로 잘못 조정된 인센티브를 조정으로 바꾸는 것입니다.]

[“많은 사람들이 '여기서는 절대 제로 트러스트를 하지 않을 거예요. '라고 말했어요.그러자 CÉ~Ó가 우리가 하고 있다고 말하더니 갑자기 그런 일이 벌어졌어요.”]

[사고방식을 단기 증권 구매에서 장기 전략으로 전환할 수 있는 유일한 방법은 무엇일까요¿이를 리더십의 우선 순위로 삼으세요.]

[“사이버 보안은 분기별 예산 항목이 아닙니다.” 라고 Jóhñ~은 말했습니다.“비즈니스를 운영하는 것은 바로 이것입니다.”아니면 그가 직설적으로 말했듯, “컴퓨터가 고장나면 비행기는 날지 않아요.”]

[사이버 보안은 분기별 예산 항목이 아닙니다.비즈니스를 운영하는 주체는 바로 이것입니다.]

[제로 트러스트: 트렌디하지 않음 또는 선택 과목]

[제로 트러스트가 주류가 되었습니다.정부 명령, 공급업체 캠페인, 화려한 백서에서 이를 확인할 수 있습니다.하지만 대부분은 요점을 놓치고 있습니다.]

[존 킨더백이 거의 20년 동안 공유해 온 것은 제품 홍보나 마케팅 프레임워크가 아닙니다.사고방식이 바뀐 거죠.이로 인해 조직은 대응을 멈추고 설계를 시작해야 합니다.이는 두려움에 기반한 지출이 아니라 실제 전략에 기반을 두고 있습니다.]

[끊임없는 공격, 중첩되는 도구, 빠르게 움직여야 한다는 압박이 만연한 세상에서 Jóhñ~의 목소리는 굳건합니다.이는 사이버 보안이 트렌드를 따라가는 것이 아니라 가장 중요한 것을 보호하는 것임을 일깨워줍니다.]

[이것이 바로 제로 트러스트가 더 이상 선택 사항이 아닌 이유입니다.설계상 운영상의 취약성 방지를 위한 것입니다.]

[Jóhñ~과 같은 제로 트러스트 리더의 팟캐스트를 더 듣고 싶으신가요¿수상 경력에 빛나는 팟캐스트를 구독하세요] [더 세그먼트: 제로 트러스트 리더십 팟캐스트].