Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Resiliência cibernética

3 conclusões sobre Zero Trust da Ordem Executiva 14028

Charlie Bedell
,
Gerente de marketing de conteúdo
August 9, 2022
23 leitura mínima

Em maio de 2021, o governo Biden emitiu Ordem Executiva (EO) 14028, encarregando as agências federais da tarefa de aprimorar a segurança cibernética e recomendando especificamente Práticas de segurança Zero Trust.

O EO veio logo após a pandemia da COVID-19, que acelerou a transformação digital de muitas organizações nos setores público e privado. Quase da noite para o dia, as organizações migraram para o trabalho remoto e a migração para a nuvem se tornou um requisito mais imediato.

Além disso, vários ataques cibernéticos de alto perfil impactaram significativamente as cadeias de suprimentos, incluindo Ventos solares, Pipeline colonial, e Processamento de carnes JBS.

Agora, um ano após a EO 14028, é possível olhar para trás e ver quais progressos foram feitos na implementação Zero Trust em agências federais.

Gary Barlet, CTO da Illumio, Federal Field, se juntou a Nicolas M. Chaillan, ex-CISO da Força Aérea e da Força Espacial dos EUA, para discutir o impacto do EO 14028 em um webinar organizado pela Instituto de Tecnologia de Infraestrutura Crítica (ICIT).

Assista ao webinar aqui:

Continue lendo para aprender as três principais conclusões da discussão.

A EO 14028 ajudou a aumentar a implementação do Zero Trust

Tanto Barlet quanto Chaillan concordam que houve progresso em direção ao Zero Trust desde a ordem executiva de maio passado. O pedido ajudou equipes de segurança de agências federais — e organizações privadas — a continuar as discussões e obter financiamento para iniciativas do Zero Trust.

Como disseram Barlet e Chaillan, “Uma ordem executiva nunca é demais”.

Mais importante ainda, as equipes de segurança agora têm evidências apoiadas pelo governo para as estratégias de segurança Zero Trust.

“É muito mais útil para aqueles que estão tentando implementar o Zero Trust ter algo para apontar e usar como referência”, disse Barlet.

E para muitas agências, as discussões sobre o Zero Trust começaram com a ordem executiva. De acordo com Challain, isso ajudou a mudar a opinião das pessoas sobre o Zero Trust, afastando o consenso dos modelos tradicionais de segurança cibernética para as melhores práticas modernas.

Isso segue O crescente sucesso do setor privado da Zero Trust nos últimos anos — e mostra até que ponto o governo federal e os militares estão atrasados na segurança cibernética.

“Os próximos dois anos serão uma época interessante com mais sucessos do Zero Trust. É uma mudança de mentalidade que é necessária para seguir em frente para ter sucesso”, explicou Barlet.

Agências federais usam o Zero Trust para minimizar o impacto de violações inevitáveis

Além de uma ordem executiva, Zero Trust tem benefícios reais para proteger as organizações contra as sofisticadas ameaças cibernéticas atuais.

Ferramentas de segurança antigas se concentraram no perímetro, mas a natureza dispersa e hiperconectada das redes modernas significa que o perímetro não existe mais da maneira que existia antes. Isso deixa as redes vulneráveis a ataques.

“História após história, ano após ano, ouvimos pessoas gastando todo esse dinheiro tentando evitar uma violação, mas não há discussão sobre o que acontece depois ocorre uma violação”, disse Barlet.

UM A estratégia Zero Trust pressupõe que violações ocorrerão e oferece maneiras de mitigar o impacto de um ataque quando ele ocorre.

No entanto, tanto Barlet quanto Challain concordam que houve alguns confusão sobre o que significa Zero Trust na prática — e como ela se encaixa nas arquiteturas de segurança existentes.

“O Zero Trust parece sugerir que você não tentará evitar violações — e esse não é o caso”, explicou Barlet. “Não vamos desistir de tentar evitar uma violação, mas também vamos planejar esse único erro ou vulnerabilidade que permite que uma violação entre e como podemos evitar um ataque catastrófico.”

No geral, Barlet e Challain recomendaram que as agências obtivessem visibilidade dos fluxos de rede, desativassem a comunicação desnecessária e implementassem a Segmentação Zero Trust, também conhecida como microsegmentação, para limitar a propagação de uma violação.

Segmentação Zero Trust para agências federais: basta começar em algum lugar

Embora a ideia de segmentar a rede já exista há anos, Barlet e Challain discutiram como as amplas redes atuais tornam os métodos tradicionais de segmentação usando endereços IP ou VLANs quase impossíveis. Ambos defendem que a segmentação seja em uma escala muito menor.

Em particular, Barlet disse que as redes exigem Confiança zero Segmentação para proteger contra o número cada vez maior de usuários, aplicativos e ambientes que abrem vulnerabilidades para os invasores entrarem.

Apesar da necessidade premente de segmentação Zero Trust, Barlet e Challain observaram que muitas agências estão sobrecarregadas com o processo.

“Você precisa saber quem está acessando o quê, onde e quando. Em seguida, você precisa saber quais desses fluxos de comunicação são desnecessários e podem ser bloqueados. Quando você responde a todas essas perguntas como um todo, é muito assustador”, disse Barlet.

Não há necessidade de concluir um projeto inteiro de Segmentação Zero Trust de uma só vez. Barlet e Challain recomendam uma abordagem incremental para evitar altos custos, confusão e possível sobrecarga administrativa.

“Não tente fazer tudo de uma vez. Basta começar em algum lugar”, disse Barlet.

Ao estreitar o escopo de um projeto de segmentação Zero Trust no início, Barlet e Challain concordaram que as agências podem:

  • Evite ficar impressionado com os detalhes.
  • Melhore imediatamente seus Segurança cibernética postura.
  • Tenha a oportunidade de provar a eficácia do Zero Trust para iniciativas futuras.

“A única maneira de você chegar a algum lugar em sua jornada Zero Trust é começar. O sucesso gera sucesso”, disse Barlet.

Obtenha mais informações sobre Illumio e Zero Trust Segmentation:

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

O progresso federal do Zero Trust deste ano fiscal: perguntas e respostas de especialistas
Resiliência cibernética

O progresso federal do Zero Trust deste ano fiscal: perguntas e respostas de especialistas

Obtenha informações sobre o estado da confiança zero no governo, a transformação federal da confiança zero deste ano e como a tecnologia de confiança zero, como a microssegmentação, está modernizando a segurança cibernética federal.

Leia mais
Como quatro líderes de cibersegurança estão pensando sobre a IA em 2024
Resiliência cibernética

Como quatro líderes de cibersegurança estão pensando sobre a IA em 2024

Saiba como os líderes de negócios e especialistas em segurança cibernética estão priorizando em 2024 em face da inovação acelerada da IA.

Leia mais
Refoque na resiliência cibernética: 3 melhores práticas para melhorar sua resiliência cibernética
Resiliência cibernética

Refoque na resiliência cibernética: 3 melhores práticas para melhorar sua resiliência cibernética

Saiba como a resiliência cibernética pode ajudar na infeliz situação em que uma violação ativa é detectada em sua rede.

Leia mais
Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais