[제로 트러스트 세그멘테이션을 통한 공급망 공격 차단]

[바이든 행정부의 섹션 4 행정 명령공급망에 초점을 맞춘 국가의 사이버 보안 개선에 중점을 둡니다.놀랍지 않았어요.]

[공급망은 복잡성 때문에 특히 보호하기가 어렵습니다.]

[자동차 제조를 대조적으로 생각해 보십시오.이 산업에서는 엔지니어가 자동차 프레임, 엔진 부품, 부품, 하위 부품 등 각 부품을 설계합니다. 특히 각 차량에 맞게 말이죠.각 요소에는 내구성과 안전성을 보장하는 사양이 있습니다.]

[반대로 증권 구매자의 PÓC (개념 증명) 및 조달 프로세스를 생각해 보십시오.대부분의 경우 규정 준수를 위해서는 여러 제품에서 해결할 수 있는 솔루션 또는 원하는 최종 상태가 필요합니다.공급업체가 기반으로 제작하는 일련의 정의된 사양은 거의 없습니다.방화벽 공급업체에서 마지막으로 제품을 맞춤 제작한 것이 언제였습니까¿~]

[물론 구성을 조정할 수는 있지만 특정 목적에 맞게 사용자 지정되지 않았으며 그 외에는 아무것도 없습니다.대신 공급업체는 시장 최대 규모를 확보하기 위해 적용 범위가 가장 넓은 제품을 만듭니다.게다가 모든 공급업체는 빠르게 변화하는 시장에 뒤쳐지지 않기 위해 제품을 신속하게 제작, 출시 및 납품하기 위해 경쟁하고 있습니다.]

[여기에 더해 (자동차 산업과 마찬가지로) 벤더들은 수익을 창출해야 한다는 압박을 받고 있습니다.그러기 위해서는 무언가 주어야 할 것.Sólá~rWíñ~ds의 경우 수익 추구 때문에 보안에 대한 타협이 발생했습니다.이런 일이 다시 일어나도록 내버려 둘 수는 없습니다.]

[보안 실무자들은 다른 제품을 “감시”하기 위해 다른 솔루션을 사용하지만 안타깝게도 이러한 문제도 있습니다.다시 말씀드리지만, Sólá~rWíñ~ds의 경우에도 엔드포인트 탐지 솔루션에는 항상 Só~lárW~íñds~ 소프트웨어를 멀웨어로 신고했기 때문에 Sólá~rWíñ~ds는 기술 자료 문서에서 해당 소프트웨어의 모니터링 기능을 비활성화할 것을 권장했습니다.]

[그럼, 어떻게 해야 할까요¿]

[행정 명령 이전에 Áttá~ckÍQ~의 조나단 라이버와 저는 다음과 같은 글을 발표했습니다. 로페어 블로그 그것은 우리가 바이든의 행정 명령에서 바라던 바를 요약했습니다.우리가 탐구하지 않은 항목 중 하나는 공급망입니다.여기서 몇 가지 생각을 해보려 합니다.]

1. [모든 엔드포인트 모니터링 도구에는 오탐을 일으키지 않으면서 타사를 모니터링할 수 있는 강력한 프로그램이 있어야 합니다.엔드포인트 공급업체에게는 비용이 많이 들지만 그 혜택은 엄청날 수 있습니다¡안타깝게도 이러한 프로그램에 드는 비용과 고객의 가격 민감성 때문에 이 목표를 달성하기는 어려울 것입니다.]
2. [행정명령은 소프트웨어 개발의 투명성이 결여되어 있다는 점을 인정하고 있지만, 문제는 공급업체의 공급망이 손상되지 않도록 하기 위해 어떻게 베일을 제거할 것인가입니다.이를 위해서는 처음부터 새로 만들지 말고, 국제 경쟁국 중 하나인 프랑스를 살펴보는 것이 좋습니다.]
3. [프랑스 정부는 기관을 개발했습니다. 안시, 중요 인프라 (정부 인프라뿐만 아니라) 를 식별하고 해당 인프라를 보호하기 위한 표준을 설정한 다음 해당 인프라를 보호하는 소프트웨어를 제공하는 공급업체를 감사합니다.]
5. [이 접근 방식의 이점은 소프트웨어 공급업체가 규제 기관을 경쟁 업체로 보지 않고 ÁÑÑS~Í가 소프트웨어를 “도용”하지 않는다는 것입니다.대신 공급업체를 감사하여 프랑스 인프라의 안전을 보장합니다.]
7. [ÁÑÑS~Í에 대한 마지막 메모입니다.위에서 언급한 바와 같이 ÁÑÑ~SÍ는 원칙을 정부 인프라에만 적용하는 것이 아니라 “중요” 인프라에도 적용합니다.Íl~lúmí~ó에서는 이 기관이 프랑스 제약, 제조, 은행 및 프랑스 국민에게 “중요”하다고 간주되는 기타 인프라에 관여하는 것을 목격했습니다.]
9. [다음과 같은 경우에도 도움이 되었을 것입니다. 콜로니얼 파이프라인 랜섬웨어 공격 (이는 분명히 중요한 인프라이기도 합니다).]

[여러 면에서 자본주의와 미국의 치열한 독립은 위의 두 항목을 가능하게 만들지 못할 수도 있습니다.많은 미국인들은 정부가 사업 운영 방법을 지시하는 것을 좋아하지 않을 것입니다.그럼, 우리가 할 수 있는 게 뭐가 있을까요¿]

[답은 간단하며 많은 민간 부문 조직이 이미 이를 실천하고 있습니다. 바로 제로 트러스트입니다.]

[제로 트러스트 프레임워크를 채택하면 공급망 공격이 발생할 경우 이벤트를 구분할 수 있습니다.]

[바이든 행정부의 행정 명령은 이 조항에 동의했습니다.섹션 4 (í) 에서는 중요 인프라에 최소한의 권한이 있어야 한다고 명시하고 있습니다. 네트워크 세분화 - 즉, 제로 트러스트의 원칙을 적용해야 합니다.]

[제로 트러스트 프레임워크를 적용한다고 해서 조직의 공급망을 감사할 필요가 없어지는 것은 아닙니다.하지만 알려진 공급망 해킹에 대해 공급망을 완전히 감사했더라도 제로 트러스트는 알려지지 않은 공급망 공격으로부터 보호합니다.]

[공급업체가 타사 소프트웨어를 도입하는 방식을 감사하여 멀웨어로 잘못 신고되지 않았는지 확인하고, 소프트웨어 코딩 관행을 살펴보고, 복잡한 암호를 사용함으로써 조직은 공급망을 보호하는 데 도움을 줄 수 있습니다.그렇긴 해도 오늘날의 악의적 행위자들 (국가가 조직 범죄의 후원을 받거나 후원을 받음) 은 방법을 찾을 수 있을 것입니다.문제는 폭발 발생 시 폭발 반경을 어떻게 제한할 것인가입니다.]

[정답은 제로 트러스트 적용 — 그리고 지난 주 행정 명령은 정부가 순조롭게 나아가고 있음을 보여줍니다¡]

[백악관의 행정 명령 요구 사항을 더 빠르게 충족할 방법을 찾고 계십니까¿방법 알아보기 이리 또는 우리와 함께 하세요 작업장 여기서는 연방 기관을 위한 제로 트러스트 아키텍처를 설계하는 방법을 배울 수 있습니다.]