[이번 회계 연도의 연방 제로 트러스트 진행 상황: 전문가 Q&Á]

[연방 자금 지원이 마감된 지금이야말로 지난 회계 연도의 정부 사이버 보안 변화를 되돌아보기에 완벽한 시기입니다.많은 기관들이 사이버 보안 태세를 강화하는 데 주력해 왔습니다.제로 트러스트는 틈새 개념에서 핵심 보안 전략으로 전환하면서 이러한 노력의 중심에 있었습니다.]

[우리는 최근에 함께 앉았습니다 일루미오의 공공 부문 CTÓ인 게리 바렛은 미국 연방 정부의 제로 트러스트 발전에 대해 논의하기 위해서입니다.]

[이번 대화에서 Gárý~는 정부의 제로 트러스트 현황, 올해 연방 제로 트러스트 혁신, 마이크로세그멘테이션과 같은 제로 트러스트 기술이 연방 사이버 보안을 현대화하는 방법에 대한 통찰력을 공유했습니다.]

[Q: 미국 연방 정부는 몇 년 전부터 제로 트러스트에 대해 이야기해 왔습니다.지난 한 해 동안 각 기관의 제로 트러스트 이니셔티브가 어떻게 발전해 왔나요¿]

[Á: 지난 몇 년 동안 사람들이 이해하는 방식이 크게 바뀌었습니다.예전에는 사람들을 교육하는 데 많은 시간을 할애했습니다. 제로 트러스트.이제 더 많은 사람들이 그게 뭔지 알아요.에이전시 고유의 요구 사항을 충족하는 제로 트러스트 전략이 어떤 모습이어야 하는지를 논의하는 데 더 많은 시간을 할애하고 있습니다.]

[사람들이 깨닫고 있는 한 가지 중요한 사실은 제로 트러스트 제품은 하나도 없다는 것입니다.제로 트러스트는 여러 기술을 함께 사용하는 전략입니다.]

[제 생각에 정체성에 대한 건강에 해로운 집착이라고 할 수 있는 부분이 아직 조금 남아 있는 것 같아요.많은 사람들이 여전히 제로 트러스트가 정체성을 의미한다고 생각하지만, 저는 그 생각이 바뀌기 시작했습니다.]

[제가 보고 있는 가장 큰 변화는 사람들이 제로 트러스트 기술에 대해 생각하는 방식이라고 생각합니다.이 중 많은 부분이 노출에 기인합니다.보안팀은 네트워크가 얼마나 복잡해졌는지 제대로 이해하지 못할 수도 있습니다.그들은 우리가 제로 트러스트 모델에서 이러한 복잡성을 보호할 더 좋고 쉬운 방법을 개발했다는 사실을 깨닫지 못할 수도 있습니다.몇 년 전만 해도 불가능했던 제로 트러스트 여정에서 초기에 빠르게 성과를 거둘 수 있는 방법이 있습니다.]

[Q: 경험상 에이전시는 제로 트러스트를 구축할 때 어떤 장애물에 부딪히나요¿]

[Á: 자원 부족은 현재 주요 과제입니다.기관들은 빠듯한 예산, 인력 부족, 사이버 기술 격차 등에 시달리는 경우가 많습니다.숙련된 인력을 유치할 수 있는 자원과 혜택이 더 많은 민간 기업과 경쟁하기는 어렵습니다.제 생각엔 그럴 것 같아요. 새로운 ÁÍ 기술 이러한 리소스 문제를 일부 완화하는 데 도움이 될 수 있습니다.]

[또 다른 과제는 사고방식입니다. 이는 공공 부문과 민간 부문 모두에 해당됩니다.에이전시에서는 완벽을 목표로 하다가 막히기도 합니다.다음과 같은 제로 트러스트 지침 CÍSÁ~의 제로 트러스트 성숙도 모델 (ZTMM~) 그리고 국방부의 제로 트러스트 레퍼런스 아키텍처 Zéró~ Trús~t를 각 단계를 확인할 수 있는 선형 단계별 프로세스로 제시합니다.하지만 제로 트러스트가 실현되는 현실은 그렇지 않습니다.이는 현재 진행 중인 프로세스입니다.한 번에 여러 분야를 연구하면서 완벽할 수는 없지만 더 나아질 수는 없다는 사실을 받아들여야 합니다.]

[침해는 실패를 의미하거나 보안팀의 문제일 뿐이라는 생각도 바꿀 필요가 있습니다.보안 침해가 일어날 것입니다.피싱 이메일처럼 보안 팀의 통제를 벗어나는 경우가 많습니다.사이버 보안은 모든 사람의 책임입니다.정부 전체의 인식 수준이 필요합니다.]

[Q: 연방 정부의 사이버 기술 격차에 대해 관심을 불러일으키셨습니다.Féd~RÁMP~가 지원하는 파트너십과 같은 공공-민간 부문 파트너십이 이러한 격차를 해소하는 데 어떻게 도움이 될까요¿]

[Á: 민관 파트너십은 승수 효과가 있습니다.이를 통해 기관은 새로운 기술, 위험 및 규정 준수 요구 사항을 따라잡는 데 필요한 유연성을 얻을 수 있습니다.]

[민간 조직은 신뢰할 수 있는 조언자로서 정부와 협력할 수 있습니다.이들은 기관 소속 팀으로는 쉽게 배울 수 없는 전문 지식을 제공합니다.공공 부문과 민간 부문 보안 전문가가 서로에게서 배우고 통찰력을 공유할 수 있는 좋은 방법입니다.]

[정보를 공유할 수 있다면 사일로를 없애고 사이버 보안을 함께 개선할 수 있습니다.]

[Q: 연방 정부 사이버 보안에서 자동화와 ÁÍ가 어떤 역할을 하고 있다고 생각하시나요¿~]

[Á: 다른 조직과 마찬가지로 보안 자동화 및 ÁÍ 팀이 더 빠르게 작업하고 기술 격차를 해소할 수 있도록 도와줍니다.하지만 정부 기관에서는 이러한 도구를 사용하는 데 따르는 위험이 증폭되고 있습니다.]

[구축 및 교육 시 ÁÍ 모델, 직원 및 시민의 데이터를 포함한 민감한 정보가 노출될 위험이 있습니다.기술이 너무 새로워서 교육 데이터의 출처나 공개적으로 공유되는 방식을 명확하게 추적할 수 있는 방법을 아직 찾지 못했습니다.]

[ÁÍ 모델에는 편향이 내장되어 있을 수도 있습니다.ÁÍ~ 알고리즘은 사람이 구축하며, ÁÍ 알고리즘의 학습 데이터는 주로 사람의 입력에서 나옵니다.인간에게는 편견이 있는데, 흔히 우리에게는 분명하지 않은 편향이 있습니다.ÁÍ~가 우리의 편견을 받아들이는 방식을 찾아내고 고치는 것은 현재로서는 거의 불가능합니다.이는 정부의 주요 문제가 될 수 있습니다.]

[시민들은 정부 기관에 의존하고 정보를 공유해야 합니다.정부의 모든 편견은 시민에게 해를 끼칠 수 있으며 심지어 생사에 영향을 미칠 수도 있습니다.]

[Q: 마이크로세그멘테이션과 같은 제로 트러스트 기술이 연방 사이버 보안 전략에 앞으로 어떤 영향을 미칠 것으로 보십니까¿]

[Á: 제로 트러스트는 이미 연방 기관의 사이버 보안 현대화를 가속화하고 있습니다.다음과 같은 기술 마이크로세그멘테이션 기관이 보안 침해 예방 및 탐지에만 의존하는 것에서 벗어나 보안 침해를 억제하는 데 도움을 주고 있습니다.]

[긍정적인 변화는 더 많은 사람들이 보안이 모든 사람의 일이라는 것을 인식하고 있다는 것입니다.]

[제로 트러스트 기술에는 네트워크에 대한 더 나은 가시성과 팀 간의 더 많은 협업이 필요합니다.사람들은 더 나은 보안 보호에 익숙해지고 있습니다.이제는 특정 보호 기능이 왜 적용되었는지보다 왜 마련되지 않았는지 묻는 것이 더 흔해졌습니다.]

[하지만 사이버 보안이 주요 주제가 되면서 우리가 안주할 위험이 있다고 생각합니다.대중이 더 나은 보호를 요구하기 전까지는 보안 조치가 필요한 만큼 빠르게 발전하지 못할 수도 있습니다.사이버 보안에 대한 더 나은, 더 빈번한 대화가 현재 우리가 보고 있는 모멘텀을 이어가는 데 도움이 되기를 바랍니다.]

[다음과 같이 에이전시에서 제로 트러스트를 구축하세요] [일루미오 거버먼트 클라우드][, 이제 FédR~ÁMP® 인증을 받았습니다.에서 자세히 알아보십시오.] [FédR~ÁMP 마켓플레이스].