정부 기관이 제로 트러스트를 구축하고 있는 경우 다음 3가지 단계를 수행하세요

제로 트러스트가 새로운 아이디어에서 일반적인 관행으로 바뀌었다는 것이 분명합니다. 특히 연방 정부에서는 더욱 그렇습니다.기관들은 제로 트러스트가 무엇인지 이해하고 있으며 이를 사이버 보안 계획에 포함시키기 위해 노력하고 있습니다.

이는 많은 기관들이 여전히 제로 트러스트와 그것이 중요한 이유에 대해 배우던 몇 년 전과 비교했을 때 큰 변화입니다.

정부에서 제로 트러스트를 도입하는 것은 좋은 일이지만 보안 이니셔티브는 여기서 그쳐서는 안 됩니다.이 블로그 게시물에서는 기관 및 사령부가 제로 트러스트 여정에서 취해야 할 다음 단계에 대한 제 생각을 공유합니다.

제로 트러스트는 어떻게 연방 정부의 주류가 되었습니까?

연방 부문에서 제로 트러스트로의 전환은 많은 산업에서 일어나고 있는 더 큰 추세를 반영합니다.이러한 변화는 주로 다음과 같은 인식과 의무가 증가했기 때문입니다.

• 행정 명령 14028

• CISA의 제로 트러스트 성숙도 모델 (ZTMM)

• 국방부의 제로 트러스트 레퍼런스 아키텍처 (DoD ZTRA)

Zero Trust는 방대한 양의 교육과 정보로 인해 연방 사이버 보안 계획의 핵심 부분이 되었습니다.이제 기관에서는 보안 시스템에 쉽게 추가할 수 있도록 제로 트러스트 사용을 위한 명확한 지침을 제공합니다.

이러한 광범위한 사용은 정부에서만 발생하는 것이 아닙니다.기업들도 제로 트러스트를 사용하기 시작했습니다.에 따르면 포레스터 보안 설문조사, 2023년:

• 기업 조직의 보안 리더 중 72% (직원 1,000명 이상) 가 제로 트러스트 프로그램을 계획하고 있거나 이미 시작하고 있습니다.

• 78% 는 이미 제로 트러스트 보안 계획에 자원을 투자했습니다.

제로 트러스트로의 이러한 중요한 변화는 사이버 보안의 큰 변화를 보여줍니다.Zero Trust는 단순히 공격을 탐지하고 방지하는 데 그치지 않고 침해가 발생할 것으로 가정하고 침해 확산을 막기 위해 사전에 대비합니다.

제로 트러스트 구축 기관을 위한 다음 3단계

이제 제로 트러스트 널리 받아들여지고 있기 때문에 에이전시는 제로 트러스트 여정의 다음 단계에 집중해야 합니다.집중해야 할 주요 사항은 다음과 같습니다.

1.마이크로세그멘테이션 구축

마이크로세그멘테이션 없이는 제로 트러스트를 수행할 수 없습니다 (일명). 제로 트러스트 세그멘테이션 (ZTS).마이크로세그멘테이션은 더욱 발전된 보안 수단으로 여겨져 왔지만, 이제는 누구나 해야 하는 제로 트러스트의 기본으로 여겨지고 있습니다.

기존 보안 방법을 사용하여 네트워크를 보호하는 것만으로는 더 이상 충분하지 않습니다.

마이크로세그멘테이션은 네트워크를 작고 분리된 부분으로 나누어 네트워크 전체에 침해가 확산되는 것을 방지합니다.이렇게 하면 공격자가 장애를 일으키기 어려워지는 동시에 가장 중요한 데이터와 애플리케이션을 안전하게 보호할 수 있습니다.

2.최대한 자동화하세요

네트워크와 조직이 점점 더 복잡해짐에 따라 우리에게 필요한 것이 분명해졌습니다. 사이버 보안 자동화 그 어느 때보다.수작업으로는 모든 새로운 위협과 모든 것을 안전하게 지키는 데 필요한 수많은 작업을 따라잡을 수 없습니다.

자동화는 몇 가지 중요한 문제를 해결하는 데 도움이 됩니다.

• 네트워크 복잡성: 오늘날의 네트워크는 크고 복잡하기 때문에 수동으로 보안을 처리하기가 어렵습니다.조직은 자동화를 통해 모든 환경에 일관된 보안 규칙을 적용할 수 있습니다.

• 기술 격차: 에 의한 연구 세계 경제 포럼 340만 명의 사이버 보안 전문가가 부족한 것으로 나타났습니다.사이버 보안 기술 부족 현상이 심화되고 있는 것은 분명합니다.자동화는 일상적인 작업을 수행하여 기술 격차를 해소하여 보안 팀이 더 복잡한 문제에 집중할 수 있도록 합니다.

• 인적 오류: 수동 프로세스로 인해 보안 오류가 발생할 수 있습니다.자동화는 네트워크에서의 수동 작업 횟수를 제한하여 이러한 위험을 낮춥니다.AI와 같은 도구는 실수를 줄이면서 보안을 구축하는 데 도움이 될 수 있습니다.

“쉬프트-레프트” 접근 방식으로의 전환은 더 많은 것을 의미합니다. 데브섹옵스 팀은 프로젝트 중에 보안을 가장 먼저 구축합니다.개발 초기에 자동화를 추가하면 조직은 나중에 보안을 추가할 때 발생하는 문제와 시간 낭비를 피할 수 있습니다.이러한 작업 방식은 보안을 강화하고 문제를 더 잘 처리하는 데 도움이 됩니다.

3.보안 도구 및 의사 결정 통합

사이버 위협이 지능화됨에 따라 기관들은 보안 도구와 전략을 통합하고 있습니다.이러한 통합은 일관성, 경제성, 리소스 활용도 개선의 필요성에 의해 주도됩니다.조직은 보안을 더 높은 수준의 결정으로 내림으로써 노력을 간소화하고 전반적인 보안을 개선할 수 있습니다.

미국 우정청 감찰실에서 CIO로 근무하는 동안 팀과 함께 통합된 보안 의사 결정 모델로 전환했습니다.이러한 변경은 쉽지 않지만 리소스를 더 효과적으로 사용하고 복잡성을 줄이며 보안 태세를 더욱 강화할 수 있게 해줍니다.

제로 트러스트 여정에서 주의해야 할 2가지

제로 트러스트 여정을 시작하면 조직의 사이버 보안을 개선할 수 있습니다.하지만 알아두어야 할 몇 가지 중요한 문제가 있습니다.제로 트러스트 플랜 작업이 순조롭게 진행되도록 하기 위해 주의해야 할 두 가지 주요 사안은 다음과 같습니다.

1.ID 보안에 너무 많은 집중

한때 사이버 전문가들은 신원 보호만 제대로 하면 대부분의 보안 문제를 해결할 수 있다고 생각했습니다.이는 30년 전의 일이며 보안 침해 건수는 계속 증가하고 있습니다.뭔가 효과가 없어요.아이덴티티는 여전히 제로 트러스트의 중요한 기둥이지만, 지금쯤이면 아이덴티티가 사이버 공격을 막는 최선의 해답은 아니라는 것이 분명해졌습니다.

아이덴티티 보안이 이렇게 인기를 끈 이유는 이해하기 쉽고 부서 간 협력을 얻을 수 있기 때문이라고 생각합니다.하지만 단순하다고 해서 네트워크와 데이터를 안전하게 보호하는 가장 좋은 방법은 아닙니다.

네트워크 보안에도 마찬가지로, 그 이상은 아니더라도 초점을 맞추는 것이 중요합니다. 존 킨더백 흔히 네트워크를 껍질은 튼튼하지만 내부는 엉망인 것으로 묘사합니다.마이크로세그멘테이션과 같은 침해 억제 기술이 없다면 아이덴티티 도구를 우회하는 멀웨어를 막을 방법이 없습니다.

2.완벽을 선의 적으로 삼기

사고방식의 대전환이 필요합니다. 보안 소유권.이것은 단지 공공 부문만을 위한 것이 아니라 널리 퍼져 있습니다.

오늘날의 보안이 완벽하리라고는 기대할 수 없습니다.보안 침해가 발생할 수 있으므로 운영에 미치는 영향을 줄일 준비가 되어 있어야 합니다.

모든 사이버 문제의 책임을 보안 팀 탓으로 돌릴 수는 없습니다.한 팀이나 임원만이 아니라 회사의 모든 사람이 사이버 보안에 대한 책임을 져야 합니다.보안을 모든 사람이 중시하는 우선 순위로 삼으려면 이러한 사고의 변화가 정말 중요합니다.

연방 정부 사이버 보안의 미래

제로 트러스트는 목적지가 아니라 여정입니다.사이버 보안이 계속 변화함에 따라 기관과 사령부는 미래를 계획하고 대비하는 것이 매우 중요합니다.

이러한 전략을 종합하면 기관이 사이버 보안 문제를 더 잘 처리하는 데 도움이 됩니다.이러한 전략을 정기적으로 업데이트하고 조정하여 새로운 사이버 위협에 미리 대비하고 데이터를 안전하게 유지하는 것이 중요합니다.

오늘 연락하세요 연방 사이버 보안 전문가와 함께 Illumio가 제로 트러스트 이니셔티브를 구축하는 데 어떻게 도움이 될 수 있는지 알아보십시오.