제로 트러스트 사이버 보안
NASA는 사이버 보안을 위해 제로 트러스트 아키텍처를 채택할 것이라고 몇 달 동안 신호를 보냈습니다. 이제 기관은 왜 그렇게하는지, 어떻게 설명하기 시작했습니다. 제로 트러스트 접근 방식은 보안 태세를 강화하는 데 도움이 됩니다. 지난달 말 미국 기술 산업 자문 위원회(American Council for Technology and Industry Advisory Council) 웨비나에서 NASA의 사이버 보안 및 개인 정보 보호 담당 CIO인 Mike Witt는 NASA가 사이버 보안 대응의 일부로 자동화를 수용한 방법을 설명했습니다. 코로나바이러스 전염병의 결과로 재택근무로의 전환은 또한 다년 과정이 될 제로 트러스트의 수용을 가속화하고 있습니다. “우리는 '모든 경고에 대해 설명할 수 있다'는 사고방식에서 벗어나야 합니다. 인공 지능, 기계 학습과 같은 오케스트레이션 및 [보안 오케스트레이션, 자동화 및 대응] 기술을 수용해야 합니다. GCN에 따르면 Witt는 이를 수용해야 합니다. "플레이북을 활용하고 팀이 기본적으로 이러한 자동화된 응답을 많이 수행하도록 해야 합니다. 그러면 제한된 분석 능력을 좀 더 흥미로운 것들에 집중할 수 있습니다." FedTech Insider NASA, 보안 강화를 위한 다양한 방법 모색 NASA가 사이버 보안 대응의 일부 측면을 단순히 자동화하는 것 이상으로 제로 트러스트 모델로 전환하는 방법에는 여러 가지가 있습니다. 8월에 최종 확정된 NIST(National Institute of Standards and Technology)의 제로 트러스트 아키텍처 지침에서 언급했듯이 제로 트러스트는 하나의 기술 집합이 아닙니다. 오히려 "정적, 네트워크 기반 경계에서 사용자, 자산 및 리소스에 초점을 맞추기 위해 방어를 이동하는 진화하는 사이버 보안 패러다임 세트"입니다. NIST에 따르면 제로 트러스트 아키텍처는 제로 트러스트 원칙을 사용하여 엔터프라이즈 인프라 및 워크플로를 계획합니다. NIST는 "제로 트러스트는 자산이나 사용자 계정에 물리적 또는 네트워크 위치(즉, 근거리 통신망과 인터넷)만을 기반으로 하여 부여된 묵시적 신뢰가 없다고 가정합니다."라고 말합니다. NASA가 제로 트러스트를 수용하는 방법 중 하나는 국토 안보부의 업데이트된 신뢰할 수 있는 인터넷 연결 3.0 정책을 사용하는 것입니다. 업데이트된 지침은 NASA가 위성에서 내려오는 데이터를 보호하는 데 도움이 되었습니다. FedScoop에 따르면 Witt는 웨비나에서 "위성에서 가져오는 데이터의 양은 현재 어마어마하기 때문에 실제로 ... 문제에 봉착했습니다."라고 말했습니다. NASA는 DHS와 협력하여 연구원이 데이터에 더 쉽게 액세스할 수 있도록 위성의 데이터를 안전한 클라우드로 가져오는 모델을 개발했습니다. NASA는 또한 기계 학습 기술을 사용하여 시스템 로그 파일을 분석하여 비정상적인 동작을 감지하고 있습니다. FedScoop에 따르면 우주국은 또한 국방부 및 정보 커뮤니티와 협력하여 악의적인 행위자가 하기 전에 네트워크의 취약점을 탐지하기 위한 "적색 팀 구성" 훈련에 참여하고 있다고 Witt는 말했습니다. NASA는 또한 "중요한" 시스템 공간을 3년 전의 3분의 1로 줄였습니다. Witt는 "아직 우리가 있어야 할 위치에 있지 않을 것입니다."라고 말했습니다. 더 읽어보기: 사용자가 재택 근무할 때 모바일 엔드포인트 보안을 강화하는 방법을 알아보십시오. 정부에서 제로 트러스트가 어떻게 작동합니까? 기관은 제로 트러스트 모델로 전환할 수 있도록 하는 기술과 IT 보안 통합 유형에 얼마나 투자할 것입니까? Bloomberg Government 연방 시장 분석가인 Laura Criste는 Federal News Network에 연방 정부가 "지속적인 진단 및 완화와 같이 제로 트러스트에 들어갈 수 있는 많은 기술을 보유하고 있다"고 말했습니다. 그녀는 아직 정부 전반에 걸쳐 완전히 구현되지 않은 CDM 기술이 제로 트러스트에 도달하는 데 중요할 것이라고 말합니다. "따라서 기술이 있더라도 통합해야 하며 제로 트러스트 프레임워크를 구현하는 방식으로 사용해야 합니다."라고 그녀는 말합니다. “그리고 그들은 아마도 여전히 약간의 기술이 필요할 것입니다. 그들이 필요로 하는 모든 조각을 가지고 있을 거라고 기대하지는 않을 것입니다.” Criste는 기관이 "좀 더 현대적인 기술을 구입하고 이러한 레거시 시스템 중 일부를 교체할 것입니다. 그런 다음 이러한 시스템을 통합하는 데 도움을 줄 수 있고 이러한 다양한 유형의 기술에 대한 전문가인 계약자가 필요할 것입니다.”
AmerAsia Company - Beijing AmerAsia China IT Consulting – Data Drill – CaliCoin.io – AmerAsia Report – Reciprocity Project