• 홈페이지
  • 조항
  • 마케팅
  • 제로 트러스트를 채택한 회사의 99%에 따르면 제로 트러스트가 사이버 보안을 향상시킵니다.

제로 트러스트를 채택한 회사의 99%에 따르면 제로 트러스트가 사이버 보안을 향상시킵니다.

게시 됨: 2022-08-18

제로 트러스트를 채택한 사람들의 거의 만장일치로 99%가 회사의 사이버 보안이 향상되었다고 말했습니다. 다음은 회사의 제로 트러스트 여정을 시작하기 위해 알아야 할 사항입니다.

제로 트러스트는 보안 전략이지만 사고 방식이기도 합니다. 신뢰가 없다는 것은 아니지만 묵시적 신뢰가 없다는 의미입니다. 분명한? 아니? 자, 파헤쳐 보겠습니다.

2022년 제로 트러스트 설문조사 [*] 에 따르면 기업의 84%가 제로 트러스트 전략을 채택하기로 결정했습니다 . 귀사가 보안 위협 증가에 대해 우려하고 있다면 계속해서 제로 트러스트 전환의 이점과 그에 따른 문제를 처리하는 방법에 대해 알아보십시오.

제로 트러스트(Zero trust)란 무엇이며 왜 계속해서 듣게 되나요?

제로 트러스트는 사용자를 명시적으로 식별하고 네트워크에 대한 적절한 액세스 권한을 부여하여 비즈니스 보안을 보다 쉽게 ​​최적화할 수 있도록 하는 전략입니다.

제로 트러스트는 묵시적 트러스트의 겸손한 모토인 " 신뢰하되 검증 하라"를 " 절대 신뢰하지 말고 항상 검증하라"는 무자비한 격언으로 대체합니다. ” 냉소적으로 들린다면 그래야 합니다. 제로 트러스트 보안은 침해가 불가피하거나 이미 발생했다는 사고 방식으로 작동합니다.

따라서 제로 트러스트 보안은 역사적으로 IT 인프라의 기본 이던 묵시적 트러스트 보안을 직접 대체하는 역할을 합니다. 암시적 신뢰를 사용하면 누군가가 보안 경계 안에 있으면 더 이상의 조사 없이 암시적으로 신뢰하게 됩니다. 이 전략은 현대의 표적 위협 환경에 부적합한 것으로 판명되었습니다.

아래에서 논의할 제로 트러스트의 보안 개선 사항은 매우 다양합니다. 제로 트러스트 전략은 이미 CISA [1] 및 NIST [2] 와 같은 조직에서 권장하고 있으며 현재 Biden 대통령의 국가 사이버 보안 개선 명령 [3] 에 따라 연방 기관에 의무화되고 있습니다.

제로 트러스트를 향한 임박한 움직임을 더욱 잘 보여주고 있는 우리가 조사한 기업의 44%는 이미 제로 트러스트 구현을 시작했으며 또 다른 40%는 미래의 어느 시점에서 이를 채택할 계획입니다. 단 16%만이 고려하거나 반대하기로 결정하지 않았습니다. 향후 도입할 계획이 있는 기업 중 72%는 내년 내에 도입을 시작할 의향이 있습니다.

제로 트러스트 보안 채택 단계를 보여주는 그래픽.

그러나 불가피한 제로 트러스트의 대규모 채택에도 불구하고 설문 조사에 따르면 설문 조사에 참여한 IT 전문가의 거의 절반(47%)이 회사의 리더십이 제로 트러스트 보안을 이해하지 못한다고 말했습니다. 설상가상으로 응답자의 40%는 제로 트러스트 보안을 구현하는 데 필요한 신기술에 대한 예산 확보에 어려움을 겪고 있다고 말합니다.

이러한 문제로 인해 조직의 제로 트러스트 여정이 복잡해질 수 있지만 오늘날 빠르게 증가하는 위협 환경에서 암시적 트러스트 보안 전략을 사용하여 충분한 보안을 유지할 수 없습니다.

우리가 이미 사용하고 있는 보안 접근 방식(즉, 암시적 신뢰)에 어떤 문제가 있습니까?

암시적 신뢰 보안 모델은 과거 시대를 위해 설계되었으며 더 이상 현대 사이버 보안 위협에 적합하지 않습니다. 과거에는 외부 위협과의 연결이 거의 없는 폐쇄된 네트워크 내에서 대부분의 작업이 수행되었을 때 사용자 이름과 암호로 충분해 보였고 보안 경계 내에서 작업하는 모든 사람이 신뢰할 수 있다고 가정하기 쉬웠습니다.

오늘날 기업들은 클라우드 기반 데이터 스토리지 솔루션에 의존하는 다양한 SaaS(Software-as-a-Service) 플랫폼에 연결되어 있으며 전 세계적으로 원격 작업자를 점점 더 호스팅하고 있습니다. 즉, 보안 경계가 확장되고 공격 표면이 증가했습니다.

또한 사이버 보안 위협 자체가 일반적으로 수동적인 맬웨어 감염에서 특정 회사나 개인을 겨냥한 표적 및 파괴적인 공격으로 이동했으며, 종종 고도로 조직된 범죄 조직이 시작했습니다. 이러한 이유로 기업에는 지속적으로 ID를 확인하고 잠재적인 공격 영향을 최소화하는 보안 전략이 필요합니다.

그렇다면 제로 트러스트가 묵시적 트러스트보다 나은가요? 제로 트러스트 도입을 시작하거나 완료한 응답자 중 거의 만장일치로 99%가 회사의 사이버 보안이 향상되었다고 밝혔고 78%는 사이버 보안이 크게 향상되었다고 말했습니다.

제로 트러스트를 채택한 회사의 99%가 사이버 보안이 향상되었다고 말하는 그래픽을 보여줍니다.

제로 트러스트의 비즈니스 가치는 무엇입니까?

제로 트러스트는 IT 인프라의 탄력성을 높이고 비즈니스 중단을 줄이도록 설계되었습니다. 이는 최근 랜섬웨어 영향 설문조사 [**] 에 따르면 공격의 가장 큰 단일 영향이 생산성에 미치는 영향이 4분의 1 이상이 24시간 이상 지속되는 것으로 나타났기 때문에 중요합니다(1주일 이상 지속되는 8% 포함). 따라서 피해자가 몸값을 지불하지 않는 랜섬웨어 공격에서 피해자 3명 중 1명(34%)이 여전히 5만 달러 이상의 손실을 입는 것은 놀라운 일이 아닙니다.

제로 트러스트는 랜섬웨어와 같은 사이버 공격을 처음부터 방지할 뿐만 아니라 공격을 받을 경우 네트워크 전체에서 이동할 수 있는 능력을 제한함으로써 위협을 줄입니다. 이는 데이터 분류, 제한된 액세스 권한 및 네트워크 세분화와 같은 전략을 사용하여 수행되므로 네트워크의 일부에 대한 액세스가 전체에 대한 액세스를 의미하지 않습니다.

우리의 연구에 따르면 제로 트러스트를 채택한 가장 큰 이유는 데이터 보안을 강화하기 위함(72%)이고, 그 다음으로 ID 및 액세스 관리 개선이 필요하기 때문(63%)입니다. 대부분의 사이버 공격에는 자격 증명이 손상되거나 암호가 해킹되는 반면 데이터 개인 정보 보호 규정이 늘어남에 따라 기업은 데이터 보안 관행을 강화해야 하며 이 모든 문제는 제로 트러스트에 의해 해결됩니다.

또한 최신 하이브리드 작업 환경은 무단 액세스를 방지하면서 원격 작업자를 지원할 수 있을 만큼 유연해야 합니다. ZTNA(제로 트러스트 네트워크 액세스)는 VPN과 같은 취약한 네트워크 기술을 대체하여 원격 근무 보안을 지원합니다.

제로 트러스트 구현의 과제는 무엇입니까?

제로 트러스트 설문 조사에 따르면 워크플로에 영향을 주지 않으면서 데이터 액세스를 제한하는 것이 이미 제로 트러스트를 구현한 기업(49%)이 직면한 가장 큰 문제 이며, 그 다음이 밀접하게 새로운 보안 정책 개발(47%), 제로 트러스트 공급업체 선택(46%)입니다. %). 각각에 대해 살펴보겠습니다.

제로 트러스트 구현의 문제를 보여주는 그래픽.

워크플로에 영향을 주지 않고 데이터 액세스 제한

제로 트러스트를 도입할 때 회사는 직원, 계약자 및 비즈니스 파트너가 필요한 데이터에 액세스할 수 있도록 하는 동시에 필요하지 않은 데이터에 대한 액세스를 제한해야 합니다.

이전에 사용 가능한 시스템이나 데이터에 대한 액세스를 제거하면 무심코 처리할 경우 좌절감을 유발할 수 있다는 점을 인식하는 것이 중요합니다. 그렇기 때문에 제로 트러스트가 성공하려면 기업 문화의 일부가 되어야 합니다 . 직원들은 제로 트러스트가 자신을 신뢰할 수 없다는 의미가 아니며 단순히 현대의 위협 환경에서 비즈니스를 성공시키기 위한 것임을 이해해야 합니다.

극복 방법: 네트워크에 액세스하는 시스템, 장치 및 사용자를 식별하는 것이 중요합니다. 여기에서 네트워크 전체에서 데이터가 흐르는 방식을 매핑하고 필요한 사람에게만 액세스를 제한하는 동시에 모든 사람과 다른 모든 사람에 대한 액세스를 거부하는 전략을 개발할 수 있습니다.

새로운 보안 정책 개발

제로 트러스트는 일반적으로 특정 워크로드에 적응하는 세분화된 네트워크 세분화와 함께 보다 광범위한 ID 및 액세스 관리 정책을 개발해야 합니다. 기존 보안 통제는 비용과 필요한 전환 기간 때문에 조금씩 대체될 가능성이 높습니다. 한편 IT 직원은 종종 중복되는 표준을 유지 관리해야 합니다.

극복 방법: 어디서부터 시작해야 할지 모르겠다면 역할과 행동을 기반으로 사용자를 지속적으로 확인하는 새로운 컨트롤로 전환하여 ID 관리 개선과 같은 특정 문제 해결을 시작하십시오. 그런 다음 ID를 적절한 워크로드(예: 애플리케이션, 컨테이너, 가상 머신)에 안전하게 연결하는 마이크로 세분화 프로젝트로 이동합니다.

제로 트러스트 공급업체 선택

제로 트러스트는 유행어이며 수많은 소프트웨어 공급업체 제품에 기능으로 추가되었습니다. 바로 여기 Capterra의 카탈로그에는 제로 트러스트 기능을 주장하는 1000개 이상의 제품이 있습니다. 그럴 수도 있지만 제로 트러스트는 보안 도구만큼이나 마케팅 도구가 되어 의미를 더욱 혼란시키고 선택 프로세스를 복잡하게 만듭니다.

극복 방법: 소프트웨어를 선택하는 것은 쉬운 일이 아닙니다. 특히 근본적으로 전략을 변경해야 하는 경우에는 더욱 그렇습니다. 5가지 전략으로 귀사에 적합한 소프트웨어를 선택하기 위한 전략을 사용하여 훌륭한 소프트웨어 매치의 확률을 높이십시오.

제로 트러스트는 목적지가 아니라 여정입니다

랜섬웨어 공격, 원격 작업자, 클라우드 기반의 모든 것은 기업이 궁극적으로 제로 트러스트 보안으로의 전환을 계획해야 하는 몇 가지 이유에 불과합니다. 즉, 대부분의 회사가 조만간 제로 트러스트 아키텍처로 완전히 전환할 수 있을 것 같지는 않습니다. 제로 트러스트를 향한 여정에서 회사가 달성하는 모든 이정표는 회사를 더욱 안전하게 만듭니다.

회사의 보안을 미래에 대비하는 방법에 대해 자세히 알고 싶으십니까? 보고서 읽기 암호는 W0r$T입니다!—암호 없는 인증을 채택할 때입니다.

설문조사 방법론

* Capterra의 2022 제로 트러스트 설문 조사는 제로 트러스트 채택 추세에 대해 자세히 알아보기 위해 235명의 미국 응답자를 대상으로 2022년 6월에 실시되었습니다. 모든 응답자는 IT 전문가, 임원 또는 회사 소유자로 식별되었습니다.

** Capterra의 2022 랜섬웨어 영향 설문조사는 랜섬웨어 공격을 경험한 300명의 미국 비즈니스 리더를 대상으로 2022년 5월에 실시되었습니다. 모든 응답자는 대응팀의 일원이거나 회사의 대응을 완전히 알고 있었습니다.

출처

  1. 제로 트러스트 성숙도 모델, CISA
  2. 제로 트러스트 아키텍처, NIST
  3. 국가 사이버 보안 개선에 관한 행정명령, 백악관