이번 회계 연도의 연방 제로 트러스트 진행 상황: 전문가 Q&A

연방 자금 지원이 마감된 지금이야말로 지난 회계 연도의 정부 사이버 보안 변화를 되돌아보기에 완벽한 시기입니다.많은 기관들이 사이버 보안 태세를 강화하는 데 주력해 왔습니다.제로 트러스트는 틈새 개념에서 핵심 보안 전략으로 전환하면서 이러한 노력의 중심에 있었습니다.

우리는 최근에 함께 앉았습니다 일루미오의 공공 부문 CTO인 게리 바렛은 미국 연방 정부의 제로 트러스트 발전에 대해 논의하기 위해서입니다.

이번 대화에서 Gary는 정부의 제로 트러스트 현황, 올해 연방 제로 트러스트 혁신, 마이크로세그멘테이션과 같은 제로 트러스트 기술이 연방 사이버 보안을 현대화하는 방법에 대한 통찰력을 공유했습니다.

Q: 미국 연방 정부는 몇 년 전부터 제로 트러스트에 대해 이야기해 왔습니다.지난 한 해 동안 각 기관의 제로 트러스트 이니셔티브가 어떻게 발전해 왔나요?

A: 지난 몇 년 동안 사람들이 이해하는 방식이 크게 바뀌었습니다.예전에는 사람들을 교육하는 데 많은 시간을 할애했습니다. 제로 트러스트.이제 더 많은 사람들이 그게 뭔지 알아요.에이전시 고유의 요구 사항을 충족하는 제로 트러스트 전략이 어떤 모습이어야 하는지를 논의하는 데 더 많은 시간을 할애하고 있습니다.

사람들이 깨닫고 있는 한 가지 중요한 사실은 제로 트러스트 제품은 하나도 없다는 것입니다.제로 트러스트는 여러 기술을 함께 사용하는 전략입니다.

제 생각에 정체성에 대한 건강에 해로운 집착이라고 할 수 있는 부분이 아직 조금 남아 있는 것 같아요.많은 사람들이 여전히 제로 트러스트가 정체성을 의미한다고 생각하지만, 저는 그 생각이 바뀌기 시작했습니다.

제가 보고 있는 가장 큰 변화는 사람들이 제로 트러스트 기술에 대해 생각하는 방식이라고 생각합니다.이 중 많은 부분이 노출에 기인합니다.보안팀은 네트워크가 얼마나 복잡해졌는지 제대로 이해하지 못할 수도 있습니다.그들은 우리가 제로 트러스트 모델에서 이러한 복잡성을 보호할 더 좋고 쉬운 방법을 개발했다는 사실을 깨닫지 못할 수도 있습니다.몇 년 전만 해도 불가능했던 제로 트러스트 여정에서 초기에 빠르게 성과를 거둘 수 있는 방법이 있습니다.

Q: 경험상 에이전시는 제로 트러스트를 구축할 때 어떤 장애물에 부딪히나요?

A: 자원 부족은 현재 주요 과제입니다.기관들은 빠듯한 예산, 인력 부족, 사이버 기술 격차 등에 시달리는 경우가 많습니다.숙련된 인력을 유치할 수 있는 자원과 혜택이 더 많은 민간 기업과 경쟁하기는 어렵습니다.제 생각엔 그럴 것 같아요. 새로운 AI 기술 이러한 리소스 문제를 일부 완화하는 데 도움이 될 수 있습니다.

또 다른 과제는 사고방식입니다. 이는 공공 부문과 민간 부문 모두에 해당됩니다.에이전시에서는 완벽을 목표로 하다가 막히기도 합니다.다음과 같은 제로 트러스트 지침 CISA의 제로 트러스트 성숙도 모델 (ZTMM) 그리고 국방부의 제로 트러스트 레퍼런스 아키텍처 Zero Trust를 각 단계를 확인할 수 있는 선형 단계별 프로세스로 제시합니다.하지만 제로 트러스트가 실현되는 현실은 그렇지 않습니다.이는 현재 진행 중인 프로세스입니다.한 번에 여러 분야를 연구하면서 완벽할 수는 없지만 더 나아질 수는 없다는 사실을 받아들여야 합니다.

침해는 실패를 의미하거나 보안팀의 문제일 뿐이라는 생각도 바꿀 필요가 있습니다.보안 침해가 일어날 것입니다.피싱 이메일처럼 보안 팀의 통제를 벗어나는 경우가 많습니다.사이버 보안은 모든 사람의 책임입니다.정부 전체의 인식 수준이 필요합니다.

Q: 연방 정부의 사이버 기술 격차에 대해 관심을 불러일으키셨습니다.FedRAMP가 지원하는 파트너십과 같은 공공-민간 부문 파트너십이 이러한 격차를 해소하는 데 어떻게 도움이 될까요?

A: 민관 파트너십은 승수 효과가 있습니다.이를 통해 기관은 새로운 기술, 위험 및 규정 준수 요구 사항을 따라잡는 데 필요한 유연성을 얻을 수 있습니다.

민간 조직은 신뢰할 수 있는 조언자로서 정부와 협력할 수 있습니다.이들은 기관 소속 팀으로는 쉽게 배울 수 없는 전문 지식을 제공합니다.공공 부문과 민간 부문 보안 전문가가 서로에게서 배우고 통찰력을 공유할 수 있는 좋은 방법입니다.

정보를 공유할 수 있다면 사일로를 없애고 사이버 보안을 함께 개선할 수 있습니다.

Q: 연방 정부 사이버 보안에서 자동화와 AI가 어떤 역할을 하고 있다고 생각하시나요?

A: 다른 조직과 마찬가지로 보안 자동화 및 AI 팀이 더 빠르게 작업하고 기술 격차를 해소할 수 있도록 도와줍니다.하지만 정부 기관에서는 이러한 도구를 사용하는 데 따르는 위험이 증폭되고 있습니다.

구축 및 교육 시 AI 모델, 직원 및 시민의 데이터를 포함한 민감한 정보가 노출될 위험이 있습니다.기술이 너무 새로워서 교육 데이터의 출처나 공개적으로 공유되는 방식을 명확하게 추적할 수 있는 방법을 아직 찾지 못했습니다.

AI 모델에는 편향이 내장되어 있을 수도 있습니다.AI 알고리즘은 사람이 구축하며, AI 알고리즘의 학습 데이터는 주로 사람의 입력에서 나옵니다.인간에게는 편견이 있는데, 흔히 우리에게는 분명하지 않은 편향이 있습니다.AI가 우리의 편견을 받아들이는 방식을 찾아내고 고치는 것은 현재로서는 거의 불가능합니다.이는 정부의 주요 문제가 될 수 있습니다.

시민들은 정부 기관에 의존하고 정보를 공유해야 합니다.정부의 모든 편견은 시민에게 해를 끼칠 수 있으며 심지어 생사에 영향을 미칠 수도 있습니다.

Q: 마이크로세그멘테이션과 같은 제로 트러스트 기술이 연방 사이버 보안 전략에 앞으로 어떤 영향을 미칠 것으로 보십니까?

A: 제로 트러스트는 이미 연방 기관의 사이버 보안 현대화를 가속화하고 있습니다.다음과 같은 기술 마이크로세그멘테이션 기관이 보안 침해 예방 및 탐지에만 의존하는 것에서 벗어나 보안 침해를 억제하는 데 도움을 주고 있습니다.

긍정적인 변화는 더 많은 사람들이 보안이 모든 사람의 일이라는 것을 인식하고 있다는 것입니다.

제로 트러스트 기술에는 네트워크에 대한 더 나은 가시성과 팀 간의 더 많은 협업이 필요합니다.사람들은 더 나은 보안 보호에 익숙해지고 있습니다.이제는 특정 보호 기능이 왜 적용되었는지보다 왜 마련되지 않았는지 묻는 것이 더 흔해졌습니다.

하지만 사이버 보안이 주요 주제가 되면서 우리가 안주할 위험이 있다고 생각합니다.대중이 더 나은 보호를 요구하기 전까지는 보안 조치가 필요한 만큼 빠르게 발전하지 못할 수도 있습니다.사이버 보안에 대한 더 나은, 더 빈번한 대화가 현재 우리가 보고 있는 모멘텀을 이어가는 데 도움이 되기를 바랍니다.

다음과 같이 에이전시에서 제로 트러스트를 구축하세요 일루미오 거버먼트 클라우드, 이제 FedRAMP® 인증을 받았습니다.에서 자세히 알아보십시오. FedRAMP 마켓플레이스.