Security Rule Zero는 Zero Trust의 핵심 구성 요소입니다.

제로 트러스트는 오늘날 기술 분야에서 가장 인기 있는 유행어(또는 유행어) 중 하나입니다. 이 기술은 2022년 응용 프로그램 전략 현황 조사에서 세 번째로 흥미로운 기술로 선정되었으며, 조직 전반에서 상당한 마인드셰어를 확보하고 있습니다.

제로 트러스트의 간과된 진실 중 하나는 그것이 기술이나 솔루션이 아니라 사고방식이라는 것입니다 . 그래서 저는 제로 트러스트에 대한 우리의 핵심 신념으로 계속 돌아가고 있습니다.

그렇기 때문에 보안 규칙 제로를 다시 살펴보는 것이 중요합니다.

"룰 제로"라는 개념에 익숙하지 않은 사람들을 위해 설명하자면, 이는 규칙이 중요한 역할을 하는 롤플레잉 게임에서 유래되었습니다. 규칙은 상호작용 순서, 주사위 굴림의 해석, 무엇을 할 수 있고 무엇을 할 수 없는지를 결정합니다. 현실 세계와 똑같죠. 하지만 롤플레잉 게임에는 다른 모든 규칙을 대체하는 규칙 제로가 있습니다. "GM은 게임의 모든 것에 대한 최종 결정권자입니다." 이는 기본적으로 GM이 언제든지 규칙을 변경, 추가, 제거할 수 있음을 의미합니다. 그리고 나를 믿으세요, 그들은 종종 그렇게 합니다.

보안에는 규칙 제로가 있다는 사실을 알면 어떤 사람들은 놀랄 수도 있습니다. 그 규칙은 다음과 같습니다.

"사용자 입력을 믿지 마세요. 항상."

이것은 새로운 규칙이 아닙니다. 이 규칙은 이미 여러 번 언급되었으며, 이것이 보안 모범 사례의 핵심이라는 것을 상기시키기 위해 저는 이에 대해 여러 번 글을 썼습니다 . 이 규칙을 따르지 않으면 광범위하고 위험한 악용으로 이어질 수 있는 취약점이 발생합니다.

보안 규칙 제로는 오늘날에도 여전히 관련성이 높습니다. 어쩌면 그 어느 때보다 더 중요할지도 모릅니다. API가 확산되고 디지털 서비스가 폭발적으로 증가함에 따라 그 어느 때보다 더 많은 봇과 스크립트, 악성 행위자가 생겨나고 있습니다. 자격 증명 채우기가 여전히 가장 빈번한 공격 기법이기는 하지만 보안 규칙 제로를 준수하지 않는 디지털 서비스와 API를 악용하는 공격에 대한 소식이 끊이지 않습니다.

사용자 입력을 신뢰하는 것은 제로 트러스트 개념 자체에 어긋납니다. 사용자 입력은 인간이든, 소프트웨어든, 시스템이든 관계없이 검사 없이 처리하는 것이 안전하다고 가정되어서는 안 됩니다. 기간. 마침표.

제로 트러스트의 핵심 원칙 중 하나인 신념은 타협을 전제로 한다는 것입니다. 침해는 악성 소프트웨어가 존재하거나 악의적인 행위자가 시스템을 제어하는 것을 의미할 수 있습니다. 이것이 시스템의 상태입니다 . 결과적 으로 해당 시스템에서 오는 데이터(메시지)는 악의적일 수 있습니다.

따라서 사용자의 입력을 절대 믿어서는 안 됩니다. 기간.

앞서 언급했듯이 이러한 기본 규칙은 다양한 공격을 탐지하고 무력화하는 데 사용할 수 있는 전술(검사) 및 기술(WAAP, WAF, NGF)로 이어집니다.

보안 규칙 제로는 제로 트러스트의 핵심 구성 요소입니다. 이를 채택하면 더 효과적인 전략과 모든 사람의 보안이 강화될 것입니다.

안전하게 지내세요.