보안 태세를 신속하게 현대화
제로 트러스트 채택 지침의 일환으로 이 문서에서는 보안 상태를 신속하게 현대화하는 비즈니스 시나리오를 설명합니다. 이 시나리오는 제로 트러스트 아키텍처를 구현하는 데 필요한 기술 작업에 초점을 맞추는 대신 전략 및 우선 순위를 개발하는 방법과 진행 상황을 측정하고 보고하면서 우선 순위를 한 조각씩 체계적으로 구현하는 방법에 중점을 둡니다.
보안 태세는 지속적인 사이버 보안 위협에 대처하기 위한 준비 및 운영 상태 수준과 함께 조직의 전반적인 사이버 보안 방어 기능으로 정의됩니다. 이 자세는 조직의 운영 상태 또는 복지와 관련된 다른 주요 메트릭과 마찬가지로 정량화 가능하고 측정 가능해야 합니다.
보안 태세를 빠르게 현대화하려면 조직 내에서 작업하는 것, 특히 조직 전체의 리더가 전략과 우선 순위 및 목표 집합을 개발하는 작업이 포함됩니다. 그런 다음 목표를 달성하는 데 필요한 기술 작업을 식별하고 다양한 팀이 목표를 달성하도록 이끌 수 있습니다. 이 채택 지침의 다른 비즈니스 시나리오는 이 기술 작업을 가속화하는 데 도움이 되도록 설계되었습니다. 마지막으로, 강력한 보안 상태의 핵심 부분은 비즈니스 리더에게 상태, 진행률 및 가치를 전달할 수 있는 능력입니다.
보안 태세를 신속하게 현대화하는 것은 채택 수명 주기를 통해 제로 트러스트 아키텍처의 각 구성 요소를 체계적으로 이끌 수 있는 능력에 따라 달라집니다. 각 제로 트러스트 비즈니스 시나리오 문서에서는 4단계의 목표를 권장합니다. 각 목표를 채택 프로세스를 통해 이끌 수 있는 기술 프로젝트로 생각할 수 있습니다. 단일 목표 또는 목표 집합에 대한 채택 프로세스의 보다 세분화된 표현은 여기에 설명되어 있습니다.
다음 표는 접근성 있는 일러스트레이션 버전입니다.
| 전략 정의 | 계획 | 준비 | 채택 | 제어 및 관리 |
|---|---|---|---|---|
| 조직 맞춤 전략적 목표 성과 |
관련자 팀 기술 계획 기술 준비 상태 |
평가하다 테스트 파일럿 |
디지털 자산에서 증분 방식으로 구현 | 추적 및 측정 모니터링 및 검색 성숙도 반복 |
빠르게 현대화 하는 것은 위협을 앞당기고 최고 위험을 완화하는 데 도움이 되는 속도로 디지털 자산에 보안 구성 및 위협 방지 기능을 배포하는 조직의 역량을 가속화하는 기능을 의미합니다. 많은 기술 프로젝트를 공급할 수 있는 반복 가능한 프로세스를 만든 빌드 중인 플라이 휠이라고 생각합니다.
보안 구성을 배포하는 조직의 역량을 빌드할 때 구현을 시작할 수 있습니다. 예를 들어 비즈니스 시나리오에 대한 전략 및 목표를 정의한 후에는 기술 목표의 구현을 엇갈릴 수 있습니다. 예를 들어 다음과 같습니다.
일부 비즈니스 시나리오는 광범위하며 시나리오의 특정 요소에 우선 순위를 지정하여 먼저 작업할 수 있습니다. 또는 먼저 구성 배포를 위해 디지털 자산의 특정 영역에 우선 순위를 지정할 수 있습니다.
전략 단계 정의
제로 트러스트 채택하는 가장 큰 과제 중 하나는 조직 전체의 리더로부터 지원과 기여를 얻는 것입니다. 이 채택 지침은 조직 조정을 얻고, 전략적 목표를 정의하고, 결과를 식별할 수 있도록 사용자와 소통할 수 있도록 설계되었습니다.
보안을 비즈니스 수준 명령으로 정의하는 것은 최신의 확장 가능한 보안 접근 방식을 향한 첫 번째 단계입니다.
| IT 책임의 확장으로서의 보안의 기존 역할 | 제로 트러스트 최신 보안 태세 |
|---|---|
| 기존 보호는 IT 팀의 일부인 보안 전문가에 의존합니다. 보안은 IT 기능입니다. | 보안은 비즈니스의 모든 수준에서 공유되는 책임입니다. 보안에 대한 책임은 경영진에게 달려 있지만 책임은 위반 가정, 명시적으로 확인 및 최소 권한 액세스 사용의 세 가지 제로 트러스트 원칙을 사용하여 공유됩니다. 제로 트러스트 모델은 보안이 사후(로깅에 따라 수행된 작업 및 시기)에서 최소 권한(필요에 따라 시스템에 대한 Just-In-Time 액세스 기반)으로 이동합니다. 또한 보안 위반으로 인한 피해를 제한하는 아키텍처 요소 및 보안 작업 기능을 구현합니다. |
제로 트러스트 채택 개요 문서는 제로 트러스트 여러 조직에서 리더십 역할에 적용되는 방식을 설명합니다. 이 문서에는 제로 트러스트 원칙에 대한 비즈니스 설명과 ID, 디바이스 및 앱을 비롯한 제로 트러스트 아키텍처에 포함된 기술 영역의 비즈니스 번역이 포함되어 있습니다. 이러한 항목은 리더 팀과 대화를 시작하기에 좋은 장소입니다. 우선 순위에 더 쉽게 동의하고 맞춤 및 참여를 얻을 수 있도록 조직의 리더에게 동기를 부여하는 원인을 조사하고 인사이트를 확보해야 합니다.
보안 태세를 빠르게 현대화하는 이 비즈니스 시나리오의 경우 조직의 위험, 보안 전략 및 기술 우선 순위에 맞게 조정하는 작업을 수행합니다. 이상적으로 이것은 당신이 일을 할 수있는 자금과 자원을 모집하는 데 도움이됩니다.
비즈니스 리더의 동기 이해
맞춤을 얻는 것은 리더에게 동기를 부여하는 이유와 보안 태세에 관심을 가져야 하는 이유를 이해하는 것부터 시작합니다. 다음 표에서는 예제 관점을 제공하지만 이러한 각 리더 및 팀과 만나 서로의 동기를 공유하는 것이 중요합니다.
| 역할 | 보안 태세를 빠르게 현대화하는 것이 중요한 이유 |
|---|---|
| 최고 경영자(CEO) | 근본적으로 CEO는 법 내에서 주주들에게 수익을 극대화할 것으로 예상됩니다. 이를 위해 비즈니스는 위험 및 비용을 평가할 수 있는 정량화 가능한 방식으로 보안 전략을 포함한 전략적 목표와 목표를 달성할 수 있는 권한을 부여해야 합니다. 비즈니스 민첩성 및 비즈니스 실행은 보안 태세를 통해 강화되어야 합니다. |
| CMO(최고 마케팅 책임자) | 비즈니스가 내부 및 외부적으로 어떻게 인식되는지는 직원 및 고객 신뢰와 관련이 있습니다. 보안 위험 준비 및 보안 인시던트 통신 전략은 인식과 의견을 관리하는 데 매우 중요합니다. |
| CIO(최고 정보 책임자) | 모바일 및 하이브리드 인력에서 사용하는 애플리케이션은 회사의 데이터를 보호하는 동안 액세스할 수 있어야 합니다. 보안은 측정 가능한 결과여야 하며 IT 전략에 부합해야 합니다. |
| CISO(최고 정보 보안 책임자) | 대부분의 모범 사례 보안 표준 및 프로토콜을 사용하려면 조직에서 정보 보안 관리 시스템의 적합성, 적합성 및 효율성을 지속적으로 개선해야 합니다. 보안 태세를 현대화하면 비즈니스 보안 정책과 절차가 진화하여 비즈니스 내 전반적인 보안 전략을 발전시킬 수 있습니다. |
| CTO(최고 기술 책임자) | 비즈니스를 보호하는 데 사용되는 기술은 이전의 데이터 센터 사고만을 사용하여 달성할 수 있는 것으로 구성할 수 없습니다. 안전한 방식으로 비즈니스 결과를 보호하고 가능하게 하는 무료 기술을 채택해야 합니다. |
| COO(최고 운영 책임자) | 기업은 공격 전, 도중 및 후에 수익성 있게 운영할 수 있어야 합니다. 보안 태세는 비즈니스 중단을 방지하기 위해 내결함성 및 복구 기능을 사용하도록 설정해야 합니다. |
| CFO(최고 재무 책임자) | 보안 태세는 다른 비즈니스 우선 순위와 같이 측정 가능한 결과를 가진 예측 가능한 비용이어야 합니다. |
또한 조직의 여러 부분에는 이 작업을 수행하기 위한 다양한 동기와 인센티브가 있습니다. 다음 표에서는 이러한 동기 중 일부를 요약합니다. 이해 관계자와 연결하여 동기를 이해해야 합니다.
| 영역 | 동기 |
|---|---|
| 비즈니스 요구 사항 | 비즈니스 요구 사항 및 명령에 통합된 보안 태세를 사용하여 비즈니스를 운영합니다. 이 보안 태세는 비즈니스 결과와 일치하며 번거로운 운영 마찰을 만들지 않고 보안을 구현하려는 비즈니스의 역량을 강화합니다. |
| IT 요구 사항 | IT 및 OT(운영 기술) 보안 요구 사항을 충족하고, 보안 태세 도구 및 방법론을 정의하고 계측하며, 결과에 맞게 예측 가능한 지출을 제공하는 표준화된 보안 태세입니다. |
| 운영 요구 사항 | 표준화된 방식으로 기존 보안 솔루션을 구현합니다. 보안 상태를 구현하고 유지하는 데 필요한 관리 노력을 줄입니다. 보안 상태 거버넌스는 정의된 역할 및 책임을 가진 SecOps(보안 작업) 모델로 연결됩니다. |
| 전략적 요구 사항 | 시나리오를 공격하고 공격자의 투자 수익을 망치기 위해 보안 솔루션에서 발생하는 마찰을 증분적으로 증가합니다. 위반 을 가정하려면 폭발 반경 및 공격 표면을 최소화하고 위반으로부터 복구 시간을 줄이도록 계획해야 합니다. |
비즈니스 조정 달성
파트너 팀과 함께 제로 트러스트 원칙을 구현하는 데 성공하려면 비즈니스 조정을 달성하는 것이 중요합니다. 현재 보안 상태 내의 위험과 격차, 이를 완화하는 단계 및 진행 상황을 추적하고 전달하는 데 사용하는 방법에 동의하면 진화하는 보안 태세에 대한 신뢰를 쌓을 수 있습니다.
비즈니스 맞춤은 다음 방법 중 하나 또는 둘 다를 사용하여 수행할 수 있습니다.
조직에 대한 주요 위험과 가장 적합한 완화를 식별하는 위험 기반 접근 방식을 사용합니다.
디지털 자산의 위치, 디지털 자산의 구성 요소 및 디지털 자산에 대한 반출 또는 액세스 손실에 따른 상대적 위험 프로필을 이해하여 방어 전략을 만듭니다.
두 방법 중 하나를 사용하여 이 문서를 진행할 수 있습니다. 다른 비즈니스 시나리오에 설명된 기술 목표와 작업은 두 가지 접근 방식을 모두 지원합니다.
위험 기반 접근 방식을 사용하여 시작(상위 위험 완화)한 다음, 격차를 메우기 위한 방어 전략으로 전환할 수도 있습니다. 이 섹션에서는 두 방법을 모두 사용하여 보안 상태를 신속하게 현대화하는 방법을 설명합니다.
위험 기반 접근 방식
일부 조직에서는 작업의 우선 순위를 지정하고 위험 대비 진행률을 측정하도록 선택합니다. 위험을 식별하기 위한 두 가지 일반적인 도구로는 탁상 연습과 ISO 표준이 있습니다.
탁상 연습 평가
시작하기 쉬운 방법은 CIS(인터넷 보안 센터)에서 제공하는 사이버 보안 팀을 준비하는 데 도움이 되는 6가지 테이블톱 연습을 사용하는 것입니다.
이러한 탁상 연습은 조직이 조직의 준비 상태를 평가하기 위해 다양한 위험 시나리오를 안내할 수 있도록 설계되었습니다. 이들은 각각 "15분 안에" 관련자 팀과 함께 완료되도록 설계되었습니다.
이러한 연습은 참가자에게 시뮬레이션된 인시던트 프로세스를 안내하고 부서와 팀이 대응하도록 요구합니다. 연습은 교차 분야 방식으로 준비를 평가하는 데 도움이 됩니다.
이러한 연습은 IT 또는 보안뿐만 아니라 다양한 사업부를 대표하고 포함합니다. 필요한 경우 연습을 진행하고 수정하여 조직과 관련이 있는지 확인하고, 시나리오의 영향을 받을 수 있는 마케팅, 경영진 및 고객 관련 역할을 포함하여 조직의 여러 부분에서 대표를 포함하는 것이 좋습니다.
이러한 연습의 출력은 전체 전략 및 우선 순위에 공급됩니다. 출력은 격차를 식별하고 수정의 우선 순위를 지정하는 데 도움이 됩니다. 그런 다음, 이러한 우선 순위는 계획 단계에서 작업을 알려줍니다. 이러한 연습은 리더십 팀 전체에서 긴급성과 투자를 만들어 함께 식별하는 위험을 완화하는 데 도움이 될 수 있습니다.
ISO 표준 리소스 및 도구 사용
많은 조직에서 ISO(International Organization for Standardization) 표준 리소스 및 도구를 사용하여 조직의 위험을 측정합니다. 조직에 적용되는 위험과 완화를 검토하고 측정할 수 있는 구조적이고 포괄적인 방법을 제공합니다. 자세한 내용은 개요 문서의 추적 진행률 섹션을 참조 하세요.
탁상 연습과 마찬가지로 조직의 위험에 대한 보다 공식적인 검토의 출력은 전체 전략 및 우선 순위에 공급됩니다. 또한 출력은 보안 태세 현대화에 참여하기 위해 팀 전체에서 긴급성과 투자를 창출하는 데 도움이 됩니다.
방어 전략
방어 전략을 통해 디지털 자산의 위치, 디지털 자산이 구성되는 위치 및 디지털 자산에 대한 액세스의 반출 또는 손실에 따른 상대적 위험 프로필을 식별할 수 있습니다.
이러한 일반적인 유형의 인시던트에 대해 각 영역을 사용하고 비즈니스에 잠재적인 피해를 예측하여 집중하도록 방어 영역의 우선 순위를 지정합니다.
- 데이터 손실
- 데이터 유출
- 데이터 침해
- 데이터 액세스 손실
- 사이버 인시던트로 인한 규정 준수 손실
방어할 우선 순위 영역을 확인한 후에는 이러한 영역에 제로 트러스트 원칙을 적용하기 위해 체계적으로 작업할 수 있습니다. 이 작업을 수행하는 데 필요한 자금 및 리소스에 대해 방어 가능한 사례를 만들 수도 있습니다.
보안 태세를 신속하게 현대화하기 위한 전략 개발
방어에 투자하려는 디지털 자산의 위험 및 방어 영역을 재고한 후 다른 여러 리소스가 전략을 알리는 데 도움이 될 수 있습니다.
이 채택 지침
위험 접근 방식 또는 방어적 접근 방식(또는 둘 다)을 사용하는 경우 이 문서의 제로 트러스트 채택 지침을 시작점으로 사용하고 조직의 우선 순위에 따라 작업의 우선 순위를 지정합니다. 이 문서의 지침은 제로 트러스트 원칙을 적용하는 체계적인 접근 방식을 제공합니다. 공격자가 환경(ID 및 디바이스)에 액세스하는 데 사용하는 가장 일반적인 대상을 강화하고 내부 환경(예: 최소 권한 액세스 및 네트워크 분할)에 보호를 적용하여 위반의 피해를 방지하거나 제한합니다.
현재 조직 및 리소스 강도
또한 직원의 완성도와 리소스가 있는 곳과 빠른 승리를 위해 가속화할 수 있는 위치를 고려합니다. 예를 들어 많은 동기부여가 있고 리소스가 잘 필요한 네트워킹 팀이 있는 경우 이 기술 집합이 필요한 권장 사항을 가속화할 수 있습니다.
클라우드에 대한 공유 책임 모델
전략 및 우선 순위를 알리는 데 자주 사용되는 또 다른 리소스는 공유 책임 모델입니다. 보안에 대한 사용자의 책임은 클라우드 서비스의 형식에 기반합니다. 다음 다이어그램에는 사용자와 Microsoft 모두에 대한 책임의 균형이 요약되어 있습니다.
자세한 내용은 Azure Security Fundamentals 라이브러리의 클라우드에서 공유 책임을 참조하세요.
공동 책임은 보안 팀이 사고방식과 전략을 "모든 것을 제어하는 것"에서 "클라우드 공급자와 책임 공유"로 전환하는 데 자주 사용하는 계획 모델입니다. 이 모델은 앱과 리소스를 신뢰할 수 있는 클라우드 공급자로 이동하여 조직에 남아 있는 보안 작업을 줄이는 전략을 강조합니다.
이는 조직에서 개인적으로 유지 관리하는 레거시 앱 및 서버를 사용 중지하기 위한 동기로 새로운 클라우드 기반 앱을 획득하는 것부터 시작하여 장기 전략의 일부가 될 수 있습니다.
업계 수직
비즈니스의 특성 또는 산업 수직은 전략의 큰 동인입니다. 디지털 자산의 콘텐츠, 위험 및 법적 규정 준수 의무에 큰 영향을 줍니다.
공격자 투자 수익률
마지막으로 공격자에 대한 공격 비용을 높이면 조직이 사이버 보안 위험에 대한 복원력을 높일 수 있습니다. 특정 규제 요구 사항을 충족하는 것 외에도 예산 지출은 공격자가 사용자 환경에 액세스하고 데이터 반출 또는 데이터 소멸과 같은 활동을 수행하는 것이 더 비싸고 어려워야 합니다. 즉, 공격자의 ROI(투자 수익률)를 줄여 다른 조직으로 이동할 수 있습니다.
공격자는 종종 정교함 및 리소스(예: 기존 도구 및 숙련된 직원)의 수준(예: 아마추어, 조직 범죄 및 국가 주)으로 분류됩니다.
제로 트러스트 원칙은 조직이 모든 수준의 공격자를 방어할 수 있도록 공격 비용을 높이기 위해 보안 방어 예산을 가장 잘 지출하는 방법을 식별하고 우선 순위를 지정하는 데 도움이 됩니다.
다음 그림에서는 보안 방어 예산과 제로 트러스트 원칙 및 방어 강도 간의 정성적 관계를 보여 줍니다.
방어 강도는 제로 트러스트 원칙에 따라 기본 보안 위생을 구현하고 연습할 때 빠르게 증가할 수 있습니다. 초기 이득을 넘어, 당신은 더 고급 보안 조치를 구현하여 추가 방어 강도를 얻을. 방어 강도가 높을수록 더 높은 수준의 공격자에 대한 보호가 제공됩니다.
다음 그림에서는 방어 강도와 공격자의 비용 및 ROI의 영향 간의 정성적 관계를 보여 줍니다.
방어 강도가 높아짐에 따라 공격자에 대한 비용이 증가하고 공격 노력의 ROI가 감소합니다.
공격자 ROI 모델은 리더가 절대 항목이 거의 없다는 것을 이해하는 데 도움이 됩니다. 보안 태세는 완벽하거나 뚫을 수 없는 것으로 간주되지 않습니다. 그러나 조직이 전략적이고 예산과 리소스의 우선 순위를 지정할 수 있는 많은 기회가 있습니다. 비즈니스 리더 팀이 조직을 보호하기 위해 함께 작업하는 것은 추가 인센티브입니다.
보안 상태의 결과 식별
비즈니스 조정을 얻고 전략적 우선 순위를 식별하기 위해 함께 작업한 후에는 특정 결과를 식별해야 합니다. 이는 추가 우선 순위 지정 및 계획을 안내할 수 있습니다.
다음 표에서는 보안 상태를 신속하게 현대화하기 위한 일반적인 대상 결과를 나열합니다.
| 목표 | 결과 |
|---|---|
| 보안 결과 | 조직은 비즈니스 및 기술 결과를 제한하지 않고 공격자를 저지할 만큼 보안 마찰을 증가시키고자 합니다. |
| 거버넌스 | 아키텍처 패턴을 준수하고 규정 준수를 높이려면 회사 자산, 데이터 및 앱을 보호해야 합니다. |
| 방지 | 액세스 제어 및 자산 보호는 모든 물리적 및 디지털 자산을 포함하는 통합 보안 도구 체인과 일치합니다. |
| 표시 여부 | 조직의 위험 및 보안 상태는 측정 가능하고 여러 대상 그룹 유형에 표시되어야 합니다. 예측 가능한 보안 결과는 예측 가능한 지출 결과로 이어질 수 있습니다. |
| 응답 | SecOps 역할 및 책임은 조직, 리더십 및 운영 비즈니스 기능 전반에 걸쳐 정의되고 구현됩니다. 도구 및 프로세스는 보안 작업 및 보안 결과의 상관 관계를 지정합니다. 자동화를 사용하면 빠른 인시던트 검색이 가능하며 수동 개입 없이도 구현에 응답할 수 있는 기능이 향상됩니다. |
보안 상태 문서화 및 보고
마지막으로 Microsoft 점수 매기기 메커니즘 및 기타 대시보드를 포함하여 하나 이상의 메커니즘을 사용하여 진행 중인 방식으로 보안 상태를 보고하는 것이 중요합니다. 사용할 수 있는 여러 가지 방법과 도구가 있습니다. 이 시나리오를 통해 조직에 가장 유용한 보고서 및 도구를 식별합니다. 조직에 적합한 보안 상태를 문서화하는 방법도 개발합니다.
계획 단계
채택 계획은 제로 트러스트 전략의 포부 목표를 실행 가능한 계획으로 변환합니다. 조직 팀은 채택 계획을 사용하여 기술 활동을 안내하고 조직의 비즈니스 전략에 부합할 수 있습니다.
보안 태세를 신속하게 현대화하려면 진행 상황과 상태를 측정하고 보고하는 방법을 채택하는 등 완성도를 구축하는 데 대한 졸업식 접근 방식을 취하는 것이 포함됩니다.
많은 조직에서는 다음 차트에 요약된 이러한 기술 활동에 대해 4단계로 구성된 접근 방식을 사용할 수 있습니다.
| 스테이지 1 | 스테이지 2 | 3단계 | 스테이지 4 |
|---|---|---|---|
| 조직에 대한 위험 식별 보안 상태의 간격 식별 Microsoft 보안 노출 관리에서 초기 점수 캡처 규정 요구 사항 식별 리더십 기대치 설정 |
응답 준비 계획 개발 디지털 자산 인벤토리 기본 위생 사례 구현 노출 관리에서 점수 업데이트 준수 관리자에서 상태 캡처 |
대상 그룹에 적합한 대시보드를 사용하여 보안 상태 시각화 클라우드용 Microsoft Defender 앱을 사용하여 섀도 IT 문서화 및 관리 시스템 패치 및 업데이트 방법론 개발 |
지속적으로 사용자 교육 조직의 SecOps 기능 발전 위험 관리 계속 |
이 단계적 접근 방식이 조직에 적합한 경우 다음을 사용할 수 있습니다.
이 다운로드 가능한 PowerPoint 슬라이드 데크는 비즈니스 리더 및 기타 이해 관계자를 위해 이러한 단계와 목표를 통해 진행 상황을 제시하고 추적할 수 있습니다. 다음은 이 비즈니스 시나리오에 대한 슬라이드입니다.
이 Excel 통합 문서는 소유자를 할당하고 이러한 단계, 목표 및 해당 작업에 대한 진행 상황을 추적합니다. 이 비즈니스 시나리오의 워크시트는 다음과 같습니다.
관련자 팀
이 비즈니스 시나리오의 관련자 팀에는 보안 태세에 투자하고 다음과 같은 역할 및 책임이 포함될 가능성이 있는 조직 전체의 리더가 포함됩니다.
| 이해 관계자 | 역할 및 책임 |
|---|---|
| 스폰서 | 전략, 조향, 에스컬레이션, 접근 방식, 비즈니스 맞춤 및 조정 관리 |
| 프로젝트 책임자 | 전반적인 참여, 리소스, 타임라인 및 일정, 통신 및 기타 요소. |
| CISO | ID, 디바이스 및 앱의 보안 및 거버넌스 위험 및 정책 결정, 추적 및 보고를 소유합니다. |
| 아키텍처 리드 | 기술 요구 사항, 아키텍처, 검토, 결정 및 우선 순위 지정 |
| 최종 사용자 보안 및 유용성(EUC) 리드 | 사용자의 요구 사항 및 피드백. |
| 디바이스 관리 설계자 | 디바이스 관리를 포함하여 디바이스에서 조직 데이터를 보호하기 위한 전략입니다. |
| 앱 관리 책임자 | 최신 인증 및 Microsoft Entra 조건부 액세스 정책을 사용하여 앱을 표준으로 가져오는 것을 포함하여 앱 투자에 대한 우선 순위 지정 및 기술 요구 사항 |
| 서비스 관리자 | 테넌트 환경(준비, 테스트, 구성). |
| 사업부 담당자 | 사업부의 필요와 피드백. |
이 채택 콘텐츠에 대한 리소스의 PowerPoint 슬라이드 데크에는 사용자 고유의 조직에 맞게 사용자 지정할 수 있는 관련자 보기가 포함된 다음 슬라이드가 포함되어 있습니다.
기술 계획 및 기술 준비
Microsoft는 보안 태세를 신속하게 현대화하는 데 도움이 되는 리소스를 제공합니다. 다음 섹션에서는 이전에 정의된 4단계의 특정 작업에 대한 리소스를 강조 표시합니다.
스테이지 1
1단계에서는 현재 보안 상태를 이해하기 시작합니다. 리더십 팀과 조직 전체에서 대화를 시작하여 제로 트러스트 무엇이며 비즈니스 전략 및 목표에 어떻게 부합하는지 알아봅니다.
| 1단계 목표 | 리소스 |
|---|---|
| 조직에 대한 위험 식별 | 엔터프라이즈 환경 전체에서 보안 구현 이 시작 가이드에서는 사이버 보안 공격으로 인한 비즈니스 위험을 완화하거나 방지할 수 있는 주요 단계를 간략하게 설명합니다. 클라우드에서 필수적인 보안 방침을 신속하게 수립하고 클라우드 채택 프로세스에 보안을 통합하는 데 도움이 될 수 있습니다. 또한 이 문서의 앞부분에 있는 리소스를 참조하세요.
|
| 보안 상태의 간격 식별 | 제로 트러스트 개념 및 배포 목표 이 문서 시리즈에서는 영역별 권장 사항(예: ID 및 엔드포인트)을 제공합니다. 이러한 문서를 사용하여 이미 완료된 권장 사항 수와 남아 있는 권장 사항을 평가할 수 있습니다. 또한 다른 비즈니스 시나리오의 계획 리소스에는 이 작업을 수행하는 데 권장되는 리소스가 포함됩니다. |
| Microsoft 보안 노출 관리에서 초기 점수 캡처 | Microsoft 보안 노출 관리 사용 시작 자산 및 이니셔티브에 대한 초기 점수를 이해하면 정량화 가능한 보안 목표를 설정하고 시간에 따른 진행률을 측정하는 데 도움이 됩니다. 또한 자세에서 하향 추세를 인식하여 최신 기능 배포에 대한 근거를 용이하게 할 수 있습니다. |
| 규정 요구 사항 식별 | 규정 준수 팀에 문의하여 조직이 적용되는 규정에 대해 알아보세요. 보안 규정 준수 상태를 달성하기 위해 충족해야 하는 규정 및 거버넌스 프레임워크 및 감사 결과 또는 특정 컨트롤을 나열합니다. Microsoft Purview 준수 관리자를 살펴보고 조직에서 특정 요구 사항에 대한 진행 상황을 추적하기 시작했는지 확인합니다. 가장 일반적으로 필요한 표준 중 일부와 규정 준수를 위해 Microsoft Entra ID를 구성하는 방법은 표준 설명서 라이브러리에서 찾을 수 있습니다. |
| 리더십 기대치 설정 | 개요 문서를 리소스로 사용하여 제로 트러스트 리더십 팀과 쉽게 대화할 수 있습니다. 보안을 비즈니스 필수 요소로 구성하고 리더십 역할과 관련된 제로 트러스트 정의합니다. 비즈니스 시나리오 섹션의 진행률 슬라이드를 사용하여 작업을 표시하고 비즈니스 리더 및 기타 이해 관계자를 위해 높은 수준에서 진행 상황을 추적할 수 있습니다. |
스테이지 2
2단계에서는 다음을 포함하여 현재 보안 상태를 계속 자세히 설명합니다.
- 응답 준비 계획 개발
- 디지털 자산의 인벤토리 시작
- 기본 위생 구현
응답 준비 계획 개발
제로 트러스트 위반을 가정하고, 장기 실행 공격이 환경에 미치는 영향을 고려하고, 인시던트로부터 신속하게 복구할 수 있도록 합니다. 공격에 대한 기대는 탐지, 대응 및 복구를 위한 운영 준비로 이어져야 합니다.
이 단계에서는 일반적인 유형의 공격에 대한 응답 준비 계획을 개발합니다. 이 계획에는 사용자, 고객에 응답하는 방법 및 필요한 경우 대중과 통신하는 방법이 포함됩니다.
다음 각 시나리오에서 액세스 손실에 대한 현재 응답을 문서화하는 탁상 연습을 고려합니다.
- 인증: Microsoft Entra ID 또는 AD DS(온-프레미스 Active Directory Domain Services)
- 생산성: 테넌트 잠금
- 데이터 손실: 악의적인 데이터 삭제 또는 암호화, 임의 시나리오
- 데이터 유출: 산업 또는 국가 간첩, 위키리크스에 대한 데이터 반출
- 서비스 거부: LOB(기간 업무) 또는 데이터(예: 구조적 데이터 또는 데이터 레이크)
HR, 마케팅 및 관련 비즈니스 그룹을 포함하여 영향을 받을 모든 역할의 담당자를 포함해야 합니다.
각 시나리오에 대해 다음을 수행합니다.
- 공용 및 내부 통신 모두에 대한 통신 전략을 고려합니다. 귀하의 계획을 통해 정부 및 산업의 규정을 준수하여 책임감 있게 의사 소통할 수 있어야 합니다. 또한 응답은 실수로 공격자와 공유할 수 있는 정보의 양을 줄여야 합니다.
- IT 및 비즈니스 팀에 대응하기 위한 내부 준비 상태를 평가하고, DART(Microsoft Detection and Response Team) 또는 다른 위반 파트너와 같은 외부 대응 팀이 운영 준비/사이버 복원력을 높이거나 내부 팀이 과부하가 발생하는 경우 인시던트에 대응해야 하는 경우를 평가합니다.
이 연습은 일반적인 공격에 대한 준비 계획을 개발하는 것 외에도 완화를 구현하기 위해 조직 전체에서 지원 및 투자를 얻는 데 도움이 될 수 있습니다.
디지털 자산 인벤토리
위반 준비 상태를 계획할 때 물리적 자산과 디지털 자산의 상태를 이해해야 합니다. 이 단계의 첫 번째 목표는 인벤토리를 가져오기 위한 것입니다. 다른 비즈니스 시나리오에는 시나리오의 영향을 받는 자산의 인벤토리 가져오기가 포함됩니다. 이러한 인벤토리 및 항목의 상태는 보안 상태의 일부가 됩니다.
이 비즈니스 시나리오의 경우 모든 물리적 및 디지털 자산 및 서비스 및 LOB 애플리케이션 목록을 만드는 것이 좋습니다. 물리적 자산에는 엔드포인트(휴대폰, PC 및 랩톱) 및 서버(물리적 또는 가상)가 포함됩니다. 디지털 자산의 예로는 Exchange Online의 전자 메일 및 보존 데이터와 같은 서비스, SharePoint Online의 파일 및 레코드, SQL PaaS 서비스, 데이터 레이크, 온-프레미스 파일 서버의 파일 또는 Azure 파일 공유가 있습니다. 클라우드용 Microsoft Defender 같은 CASB(Cloud Access Security Broker) 서비스를 사용하여 섀도 IT 데이터 위치를 포함하여 사용자가 사용하는 서비스를 노출하는 것이 좋습니다.
다음은 인벤토리에 포함할 디지털 자산입니다.
- Identities
- 장치
- 데이터
- 앱
- 인프라
- 네트워크
이 단계에서는 자산 및 해당 상태에 대한 자세한 목록을 개발할 수 없습니다. 경우에 따라 이 인벤토리는 Microsoft Intune 및 클라우드용 Defender 앱과 같은 도구를 설치해야 합니다. 프로세스를 시작하기만 하면 됩니다. 다른 비즈니스 시나리오를 통해 작업할 때 이러한 인벤토리는 더 완전해집니다.
이상적으로 다음을 수행할 수 있습니다.
- 콘텐츠 민감도 및 중요도를 기준으로 디지털 자산을 평가합니다. 이러한 자산의 위치를 모르는 경우 Microsoft Purview를 사용하여 중요한 데이터를 검색하는 것이 좋습니다.
- 모든 자산에 대해 디지털 자산에 존재하는 취약성의 업데이트된 목록을 유지합니다.
다음 제로 트러스트 아키텍처 다이어그램은 이러한 자산과 서로의 관계를 보여 줍니다.
기본 위생 구현
이 단계에는 기본 위생 관행 구현도 포함됩니다. Microsoft 디지털 방어 보고서 (2022)에 따르면 "국가 국가 행위자는 기술적으로 정교하고 다양한 전술을 사용할 수 있지만, 그들의 공격은 종종 좋은 사이버 위생에 의해 완화 될 수 있습니다." 보고서는 "공격의 98%가 기본적인 위생 조치를 통해 중단될 수 있다"고 추정하고 있다.
| 2단계 목표 | 리소스 |
|---|---|
| 응답 준비 계획 개발 | 사이버 공격은 불가피합니다. 회사가 준비되어 있나요? (하버드 비즈니스 리뷰) |
| 디지털 자산 인벤토리 | IT 자산 인벤토리 및 설명서는 어떻게 관리합니까? (LinkedIn 문서). ISACA(정보 시스템 감사 및 제어 협회)의 IT 자산 평가, 위험 평가 및 제어 구현 모델에 는 자산을 측정하고 분류하는 방법의 예가 포함되어 있습니다. |
| 기본 위생 사례 구현 | 성공을 측정하는 방법을 포함하여 조직의 기본 위생 사례를 문서화합니다. 위생 관행은 온라인 위반을 완화하기 위해 일상적으로 연습하는 사이버 보안 관행입니다. 이러한 사례의 대부분은 다른 비즈니스 시나리오의 1단계에 포함되어 있습니다. 일부는 이후 단계에 포함됩니다. 더 나은 사이버 위생을 하는 방법 |
| Microsoft 보안 노출 관리에서 점수 업데이트 | 비즈니스 시나리오에서 권장 사항을 처리할 때 노출 관리의 관련 자산 및 이니셔티브에 대한 상태를 업데이트합니다. 점수는 조직 전체에서 통신할 수 있는 진행률과 성공의 척도입니다. Microsoft 보안 노출 관리 사용 시작 |
| 준수 관리자에서 상태 캡처 | Microsoft Purview 준수 관리자를 사용하여 규정 준수 작업을 추적하기 시작한 경우 정기적으로 다시 확인하여 상태를 업데이트합니다. 노출 관리와 마찬가지로 이는 보안 상태의 일부로 포함할 수 있는 진행률 및 성공의 척도입니다. |
3단계
보안 태세를 사용하려면 가시성을 만들기 위해 계측이 필요합니다. 간소화를 위해 도구와 메서드를 가능한 한 적은 수의 보기 또는 대시보드로 통합하려고 합니다. 이 단계의 첫 번째 목표는 대상 그룹에 적합한 대시보드를 사용하여 보안 태세를 시각화하는 것입니다.
위반을 가정하면 지속적인 모니터링을 구현하고 계측하여 위반 준비를 찾고 계측해야 합니다. 이 단계에서는 이 함수를 구현하는 포털 또는 뷰 수를 문서화하고 검토합니다. 이 내부 설명서는 수동으로 컴파일하는 보고서 또는 노출 관리, 준수 관리자, Microsoft Defender XDR, 클라우드용 Microsoft Defender, Microsoft Sentinel 및 기타 도구와 같은 보안 도구의 보고서일 수 있습니다.
예시:
- 위험, 위반 준비 및 현재 인시던트에 대한 요약 요약 보기입니다.
- IT 및 OT 보안 자산에 대한 CISO 요약 보기입니다.
- 인시던트에 대응하기 위한 보안 분석가의 견해입니다.
- 규정 요구 및 장기 실행 위협 헌팅을 준수하기 위한 SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 대응)에 대한 기록 보기입니다.
역할별 보기를 만들고 유지 관리하면 경영진에서 인시던트 응답자에 이르기까지 보안 관리의 부담을 공유하는 이해 관계자와 보안 상태의 상태를 통해 투명성을 만들 수 있습니다.
3단계에는 섀도 IT 관리 및 위생 패치 영역의 성숙도 포함됩니다.
| 3단계 목표 | 리소스 |
|---|---|
| 대상 그룹에 적합한 대시보드를 사용하여 보안 상태 시각화 | 개요 문서의 추적 진행률 섹션에서는 몇 가지 예를 제공합니다. 추가 보안 기능을 배포하고 구성할 때 조직에 유용한 추가 대상 그룹 범위 보기를 찾습니다. 예를 들어 Microsoft Sentinel을 사용하여 TIC 3.0(Monitor 제로 트러스트) 보안 아키텍처를 참조하세요. |
| 클라우드용 Defender 앱을 사용하여 섀도 IT 문서화 및 관리 | 클라우드용 Defender 앱을 배포한 경우 이 단계에서 완성할 수 있는 위생 영역입니다. Microsoft 365와 제로 트러스트 SaaS 앱 통합을 참조하세요. |
| 정기적으로 그리고 시간 민감도를 사용하여 시스템을 패치 및 업데이트하기 위한 방법론 개발 | 이 비즈니스 시나리오 내의 이 작업은 시스템을 패치하고 업데이트하는 방법에 관한 것이 아닙니다. 오히려 디지털 자산의 다양한 구성 요소를 패치하고 업데이트하는 방법론을 개발하는 것이 영향을 받는 모든 개인에 대한 책임, 가시성 및 좋은 의사 소통으로 정기적으로 이루어지도록 하는 것입니다. 가능한 경우 이를 자동화할 기회를 찾습니다. IT 시스템을 패치하고 업데이트하는 모범 사례는 무엇인가요? (LinkedIn 문서) 패치가 완벽합니까? (Infosecurity Magazine) |
스테이지 4
4단계의 목표는 공격을 방지하고 대응하는 조직의 기능을 성숙시키는 것입니다.
| 4단계 목표 | 리소스 |
|---|---|
| 지속적으로 사용자 교육 | Microsoft 고객이 사용자 교육을 빠르고 쉽고 효과적으로 배포할 수 있도록 Terranova Security와 협력하여 개발된 Microsoft 사이버 보안 인식 키트를 사용합니다. Microsoft Defender 포털에서 공격 시뮬레이션 교육을 사용하여 조직에서 실제 공격 시나리오를 실행할 수 있습니다. 이러한 시뮬레이션된 공격은 취약한 사용자를 식별하고 찾는 데 도움이 될 수 있습니다. 공격 시뮬레이션 훈련 사용 시작을 참조하세요. 또한 Microsoft 365 보안 팁 인포그래픽 및 Microsoft Entra 최종 사용자 출시 템플릿 및 자료를 참조하세요. |
| 조직의 보안 운영 기능 발전 | Microsoft Defender XDR을 보안 작업에 통합하면 인시던트에 대응하기 위한 프로세스를 개발하고 공식화하는 방법을 포함하여 SOC(보안 운영 센터) 팀을 빌드하고 교육하기 위한 지침이 제공됩니다. 특정 공격 유형에 대응하기 위해 인시던트 및 플레이북에 대응하는 방법에 대한 지침은 Microsoft 보안 운영 라이브러리를 참조하세요. |
| 위험 관리 계속 | 조직에서 지속적으로 위험을 평가하고 관리할 수 있는 체계적인 방법을 개발합니다. 탁상 연습 또는 ISO 표준을 다시 검토하여 현재 위치와 수행한 작업을 다시 조정합니다. |
준비 단계
이 비즈니스 시나리오에 대한 준비 단계는 다른 비즈니스 시나리오와 약간 다릅니다. 특정 보안 기능 또는 구성을 평가, 테스트 및 파일럿하는 대신 이 시나리오의 준비 단계에는 관련자 팀을 빌드한 다음 민첩한 접근 방식을 사용하여 각 단계와 목표를 수행하는 것이 포함됩니다.
예를 들어 각 목표에 대해 다음을 수행합니다.
- 필요한 사람을 포함하여 목표를 달성하는 데 필요한 사항을 평가합니다.
- 합리적인 접근 방법으로 시작하고 테스트합니다. 필요에 따라 조정합니다.
- 방법을 파일럿하고 학습한 내용에 따라 조정합니다.
다음 표는 계획 단계의 1단계에서 조직 목표에 대한 위험 식별에 대해 작동할 수 있는 방법의 예입니다.
| 준비 작업 | actions |
|---|---|
| Evaluate | 위험을 평가하는 데 사용할 리소스와 활동에 포함할 사용자를 결정합니다. 이 평가에는 탁상 연습 또는 ISO 표준 사용이 포함될 수 있습니다. 조직에서 참여해야 하는 사용자를 결정합니다. |
| 테스트 | 대상으로 지정하는 리소스를 사용하여 소수의 이해 관계자와 함께 권장되는 연습을 검토하여 더 많은 이해 관계자 팀을 참여시킬 준비가 되도록 준비 상태를 측정합니다. |
| 파일럿 | 탁상 연습을 사용하는 경우 선택한 참가자와 함께 시나리오 중 하나를 사용해 보세요. 결과를 검토하고 다른 연습을 진행할 준비가 되었는지 확인합니다. ISO 표준을 사용하는 경우 표준의 일부를 대상으로 하여 평가를 파일럿합니다. |
이와 같은 민첩한 접근 방식을 사용하면 방법론 및 프로세스를 조정하고 최적화할 수 있습니다. 또한 진행하면서 자신감을 키울 수 있습니다.
채택 단계
채택 단계에서는 기능 영역에서 전략 및 배포 계획을 증분 방식으로 구현합니다. 이 시나리오에서는 4단계에서 설정한 목표 또는 조직에 맞게 사용자 지정한 목표와 단계를 수행하는 작업이 포함됩니다.
그러나 보안 태세를 현대화하는 데는 다른 비즈니스 시나리오(또는 조직에서 우선 순위 지정)에서 권장하는 기술 목표를 달성하는 것이 포함됩니다. 이러한 모든 것은 보안 태세에 따라 발생합니다.
이 시나리오 및 다른 시나리오에 대한 채택 단계로 전환할 때 상태, 진행률 및 값을 전달해야 합니다.
제어 및 관리
보안 거버넌스는 일정한 프로세스입니다. 이 단계로 전환할 때 구현한 제로 트러스트 아키텍처의 각 부분을 추적하고 측정하도록 전환합니다. 모니터링 및 검색과 함께 성숙도를 반복할 기회를 식별합니다.
추적 및 측정
이 시나리오 문서에서는 상태를 평가하고 진행 상황을 측정하는 데 사용할 수 있는 다양한 보고서와 대시보드를 제안합니다. 궁극적으로 진행률을 표시하고 새 취약성이 발생할 수 있는 위치를 식별하는 데 사용할 수 있는 메트릭 집합을 개발하려고 합니다. 다양한 보고서와 대시보드를 사용하여 조직에 가장 중요한 메트릭을 수집할 수 있습니다.
팀 및 조직 메트릭
다음 표에는 팀 및 조직 보안 상태를 추적하는 데 사용할 수 있는 몇 가지 예제 메트릭이 나와 있습니다.
| 비즈니스 활성화 | 보안 상태 | 보안 응답 | 보안 향상 |
|---|---|---|---|
| 보안 검토의 평균 시간 | 검토된 새 앱 수 | MTTR(평균 복구 시간) | 열린 현대화 프로젝트 수 |
| 관리되는 디바이스의 평균 부팅 및 로그인 시간 | 규격 앱의 % | 중요한 시스템을 복원하는 시간 | 워크플로에서 제거된 반복적인 수동 단계 수 |
| 사용자 워크플로의 보안 중단 수 | 요구 사항의 100%를 충족하는 권한 있는 계정 수 | 심각도가 높은 인시던트 수 | 내부 및 외부 인시던트에서 배운 단원 수 |
| 낮은 가치의 보안 활동에 소요된 IT 기술 지원팀의 비율 | 요구 사항의 100%를 충족하는 계정 수 | 인시던트 증가율(전체) |
제품 내 대시보드 및 보고서
Microsoft는 이 채택 지침에 맞게 설계된 PowerPoint 및 Excel 기반 추적 도구 외에도 제품 내 환경을 제공하여 기술 구현에 대한 진행 상황을 추적합니다.
Microsoft 보안 노출 관리는 회사 자산 및 워크로드에서 보안 상태를 통합된 보기로 제공하는 보안 솔루션입니다. 이 도구 내에서 보안 이니셔티브는 보안 위험의 특정 영역에서 준비 상태 및 완성도를 평가하는 데 도움이 됩니다. 보안 이니셔티브는 특정 위험 또는 도메인 관련 목표에 대한 보안 프로그램을 관리하는 사전 예방적 접근 방식을 취합니다.
제로 트러스트 이니셔티브를 사용하여 제로 트러스트 보안 구현에 대한 조직의 진행 상황을 추적합니다. 이 이니셔티브는 이 Microsoft 제로 트러스트 채택 프레임워크와 일치하므로 비즈니스 시나리오에 맞는 메트릭으로 진행 상황을 추적할 수 있습니다. 이러한 메트릭은 보안 팀이 조직을 보호하는 데 도움이 되도록 우선 순위가 지정된 실행 가능한 권장 사항에서 리소스 범위를 캡처합니다. 또한 이 이니셔티브는 이해 관계자와 공유할 수 있는 제로 트러스트 진행 상황에 대한 실시간 데이터를 제공합니다.
각 메트릭에는 팀이 현재 상태를 이해하는 데 도움이 되는 인사이트가 포함되어 있습니다. 즉, 팀에 권장 사항 세부 정보를 제공하고, 영향을 받는 자산을 식별하고, 전체 제로 트러스트 완성도에 미치는 영향을 측정합니다.
제로 트러스트 채택은 전반적인 제로 트러스트 완성도를 향상시키는 변경의 우선 순위를 지정하기 위해 보안 및 IT 운영 팀이 함께 협력해야 하는 팀 게임입니다. 메트릭 및 작업 수준에서 적절한 팀 및 소유자와 권장 사항을 공유할 수 있습니다. 그런 다음 소유자는 해당 보안 제어의 관리자 환경에 직접 연결하여 권장 사항을 구성하고 배포할 수 있습니다.
이 제로 트러스트 채택 프레임워크는 위험 기반 접근 방식 및/또는 방어 전략을 취하도록 권장합니다. 이러한 방법 중 하나를 사용하면 랜섬웨어 보호 또는 특정 위협 이니셔티브와 같은 노출 관리 도구 내의 다른 보안 이니셔티브를 대상으로 지정하고 제로 트러스트 이니셔티브의 완성도를 제로 트러스트 작업을 확인할 수 있습니다.
이 제로 트러스트 채택 프레임워크와 함께 제로 트러스트 이니셔티브를 사용할 수 있습니다. 이니셔티브 내의 메트릭 및 작업은 제로 트러스트 비즈니스 시나리오에 의해 구성됩니다.
모니터링 및 검색
각 비즈니스 시나리오를 진행하면서 환경 및 위반에 대한 변경 내용을 모니터링하고 검색하는 방법을 설정합니다. 많은 모니터링 및 검색 기능은 Microsoft Defender XDR 제품 및 Microsoft Sentinel 제품군을 포함하여 XDR(확장 검색 및 응답) 도구를 통해 제공됩니다. 위반 비즈니스 시나리오의 비즈니스 손상 방지 또는 감소에서 구현됩니다.
성숙도 반복
제로 트러스트 구현하는 것은 여정입니다. 엔터프라이즈 규모 조직에서는 완전히 구현하는 데 수년이 걸릴 수 있습니다. 이때 공격자는 계속해서 기술을 발전하고 있습니다. 모니터링 및 검색 기능과 함께 메트릭을 사용하여 제로 트러스트 환경의 측면을 반복하고 완성해야 하는 위치를 식별하는 것이 중요합니다. 또한 계속해서 성공을 측정하고 진행률, 상태 및 가치를 전달하는 방식을 평가하고 발전합니다.
다음 단계
- 제로 트러스트 채택 프레임워크 개요
- 원격 및 하이브리드 작업 보호
- 중요한 비즈니스 데이터 식별 및 보호
- 위반으로 인한 비즈니스 손상 방지 또는 감소
- 규정 및 규정 준수 요구 사항 충족
진행률 추적 리소스
제로 트러스트 비즈니스 시나리오의 경우 다음 진행률 추적 리소스를 사용할 수 있습니다.
| 진행률 추적 리소스 | 도움이 됩니다... | 대상 사용자 |
|---|---|---|
채택 시나리오 계획 단계 그리드 다운로드 가능한 Visio 파일 또는 PDF 
|
각 비즈니스 시나리오의 보안 향상 기능과 계획 단계의 단계 및 목표에 대한 노력 수준을 쉽게 이해할 수 있습니다. | 비즈니스 시나리오 프로젝트 리더, 비즈니스 리더 및 기타 이해 관계자. |
제로 트러스트 채택 추적기 다운로드 가능한 PowerPoint 슬라이드 데크 
|
계획 단계의 단계 및 목표를 통해 진행 상황을 추적합니다. | 비즈니스 시나리오 프로젝트 리더, 비즈니스 리더 및 기타 이해 관계자. |
비즈니스 시나리오 목표 및 작업 다운로드 가능한 Excel 통합 문서 
|
소유권을 할당하고 계획 단계의 단계, 목표 및 작업을 통해 진행 상황을 추적합니다. | 비즈니스 시나리오 프로젝트 리드, IT 잠재 고객 및 IT 구현자. |
추가 리소스는 제로 트러스트 평가 및 진행률 추적 리소스를 참조하세요.