5 mitos do Zero Trust desmascarados por John Kindervag e Michael Farnum

Em 2010, John Kindervag publicou Chega de Chewy Centers: Apresentando o modelo Zero Trust de segurança da informação, um relatório detalhando o novo conceito de Zero Trust que ele criou.

Nos quase 15 anos desde que ele introduziu o conceito, ele foi amplamente adotado no setor de segurança cibernética. Mas sua definição também foi mal compreendida ao longo do tempo. Surgiram vários mitos do Zero Trust que desviam as organizações enquanto trabalham em prol da resiliência cibernética.

Kindervag, agora evangelista-chefe da Illumio, está pronto para esclarecer as coisas. É por isso que ele se juntou a Michael Farnum, CISO consultivo da Trace3, para uma conversa ao lado da lareira para discutir os mitos mais comuns do Zero Trust que eles estão vendo no setor e as verdades por trás deles.

Assista seus discussão completa sob demanda, e continue lendo para saber a verdade do criador do Zero Trust e um dos principais especialistas em segurança.

A definição de John Kindervag de Zero Trust

O título exclusivo do relatório da Kindervag, Chega de Chewy Centers, vem do que ele diz ser um velho ditado em segurança da informação: “Queremos que nossa rede seja como uma M&M, com uma parte externa dura e crocante e um centro macio”. O lema é baseado no tradicional modelo Trust de cibersegurança. Ele pressupõe que os invasores não consigam superar a “parte externa rígida” do perímetro seguro da rede.

Mas, como explica Kindervag, “No novo cenário atual de ameaças, essa não é mais uma forma eficaz de reforçar a segurança. Quando um atacante passa pelo projétil, ele tem acesso a todos os recursos da nossa rede.”

O Modelo Zero Trust é a resposta da Kindervag a esse antigo modelo de segurança.

“Zero Trust é uma estratégia. Não é um produto. Você não pode comprá-lo”, disse ele.

O Zero Trust foi projetado para fazer duas coisas:

• Impeça as violações de dados (O Kindervag define violações de dados como incidentes quando dados confidenciais ou regulamentados são exfiltrados de uma rede ou sistema para as mãos de um agente mal-intencionado)

• Impeça que os ataques cibernéticos sejam bem-sucedidos

O Zero Trust fornece um roteiro para realizar essas duas coisas em um nível estratégico. Isso ajuda a orientá-lo sobre as táticas e tecnologias corretas.

“A cibersegurança é uma jornada, não um destino. Acho que a mesma coisa acontece com o Zero Trust”, observou ele.

Os 5 passos da Kindervag para Zero Trust

1. Defina sua superfície de proteção: Você não pode controlar a superfície de ataque porque ela está sempre evoluindo, mas você pode reduzir a superfície de proteção da sua organização em partes pequenas e facilmente conhecidas. A superfície de proteção geralmente inclui um único elemento de dados, serviço ou ativo.

2. Mapeie os fluxos de comunicação e tráfego: Você não pode proteger o sistema sem entender como ele funciona. Obter visibilidade em seus ambientes mostra onde os controles são necessários.

3. Crie o ambiente Zero Trust: Depois de obter visibilidade completa da rede, você pode começar a implementar controles feitos sob medida para cada superfície protegida.

4. Crie políticas de segurança Zero Trust: Crie políticas que forneçam regras granulares, permitindo que somente o tráfego permitido acesse o recurso na superfície protegida.

5. Monitore e mantenha a rede: Injete a telemetria de volta na rede, criando um ciclo de feedback que melhora continuamente a segurança e cria um sistema resiliente e antifrágil.

Mito de Zero Trust #1: Existem padrões definidos para cibersegurança e Zero Trust

“Não há padrões de segurança cibernética no mundo”, disse Kindervag. Apesar de seus relatórios publicados sobre o Zero Trust, organizações como o NIST e a CISA não definem padrões de segurança cibernética — elas apenas fornecem orientação.

“Se você ler Modelo de maturidade Zero Trust da CISA (ZTMM), eles dizem que é uma maneira que você pode escolher fazer isso. Eles não estão sendo nem um pouco prescritivos, e eu também não”, explicou.

Isso também significa que não há um padrão para o Zero Trust. Cada organização é única e deve adotar uma abordagem única para construir o Zero Trust. A orientação de segurança pode ser muito útil, mas não é necessariamente a melhor maneira de fazer isso.

Mito de Zero Trust #2: Você pode obter Zero Trust seguindo uma lista de verificação

Na verdade, a jornada Zero Trust de cada organização será diferente. Depende do seu tamanho, crescimento, orçamento e recursos.

“É uma questão de descobrir o ponto do modelo de maturidade em que você quer se concentrar e o que precisa fazer para alcançá-lo”, explicou Kindervag.

A Kindervag recomenda começar com a superfície protegida da sua organização. As equipes devem perguntar: o que precisamos proteger? Isso é diferente de uma abordagem que começa com a superfície de ataque, que pode iniciar um ciclo interminável e infrutífero de reação às ameaças, em vez de se preparar proativamente para proteger os ativos mais importantes.

Farnum concordou que a Trace3 geralmente vê organizações que iniciaram suas jornadas de Zero Trust concentrando-se na superfície de ataque, mas encontraram armadilhas. Em vez disso, a Trace3 incentiva os clientes a usarem as cinco etapas do Kindervag para Zero Trust identificando primeiro sua superfície de proteção.

Mito de Zero Trust #3: Zero Trust é apenas segurança de identidade

Kindervag advertiu contra ser “muito literal” com o Zero Trust. Para muitos líderes de segurança, isso pode parecer seguir o modelo de maturidade com muita rigidez.

“As pessoas sentem que precisam criar toda a identidade primeiro, porque esse é o primeiro pilar do Zero Trust”, disse Kindervag. Em vez disso, ele incentiva as organizações a analisarem sua superfície de proteção exclusiva e se concentrarem em qualquer pilar do Zero Trust que proteja primeiro seus recursos mais importantes.

“Você precisa olhar horizontalmente, não apenas verticalmente”, explicou Kindervag.

Isso geralmente significa que as organizações devem se concentrar na segmentação e não na identidade. Há 13 anos, em seu segundo relatório escrito sobre Zero Trust, Inclua a segurança no DNA da sua rede: a arquitetura de rede Zero Trust, Kindervag coloca a segmentação no centro do Zero Trust. Como ele diz no relatório, “Novas formas de segmentar redes devem ser criadas porque todas as redes futuras precisam ser segmentadas por padrão”.

Segmentação, também chamada Segmentação Zero Trust, é uma parte essencial do Zero Trust. Você não pode alcançar Zero Trust sem isso.

Mito Zero Trust #4: Comprar uma plataforma Zero Trust significa que você tem segurança Zero Trust

Se você está no setor de segurança cibernética, já ouviu o termo defesa em profundidade. Mas, para muitas organizações, esse conceito se transformou em “despesa em profundidade”, de acordo com Kindervag.

Por que as organizações ainda estão sofrendo incidentes cibernéticos graves quando estamos gastando mais do que nunca em soluções de segurança?

“Se a segurança consiste em comprar coisas suficientes ou gastar dinheiro suficiente, então fizemos isso”, disse Kindervag.

Farnum disse que vê muitas empresas gastando dinheiro em plataformas de segurança sem primeiro entender o que precisam proteger. A Trace3 incentiva os clientes a mudarem de ideia sobre o Zero Trust antes de fazer mais compras. Eles voltam a ter visibilidade de sua rede e a saber o que é mais importante proteger.

Kindervag endossou essa abordagem. “Só queremos que ele funcione automaticamente de uma forma mágica de pó de fada. Mas não é assim que funciona. Você sempre começa com a superfície protegida.”

Mito de Zero Trust #5: “Zero Trust” é apenas uma nova embalagem para um antigo conceito de segurança

Alguns no setor de segurança cibernética questionaram a validade do Zero Trust. Eles o condenaram como um jargão de marketing que é apenas uma nova embalagem de uma ideia antiga.

Mas para Kindervag, isso só mostra que eles não entendem o conceito. “O que era Zero Trust antes do Zero Trust? Não havia Zero Trust. Esse era o problema”, disse ele.

Nos 20^o século, o foco estava na segurança baseada no perímetro. As redes foram projetadas de fora para dentro: o exterior não era confiável e o interior era confiável. Isso criou redes planas completamente abertas no interior. Com esse design, os invasores podem não apenas entrar na rede, mas também permanecer lá por dias, semanas, meses e até anos.

“Você precisa redefinir sua mentalidade”, concordou Farnum. “Todas as interfaces não devem ser confiáveis. Só porque sua rede está funcionando não significa que ela seja segura.”

Parceiro Illumio + Trace3 para promover seu Zero Trust estratégia

Rastreamento 3 é uma empresa líder em consultoria de tecnologia que ajuda os clientes a criar, inovar e gerenciar toda a sua esfera de TI, incluindo a segurança cibernética. Eles fizeram uma parceria com a Illumio para ajudar os clientes a criar segurança Zero Trust com a Segmentação Zero Trust.

Juntas, a parceria oferece uma abordagem abrangente para criar e implementar uma arquitetura Zero Trust. Ao combinar a experiência estratégica da Trace3 com a avançada tecnologia de segmentação da Illumio, você pode encontrar uma abordagem personalizada para o Zero Trust que atenda às necessidades de segurança da sua organização.

Assista Kindervag's and Farnum's conversa completa sob demanda. Entre em contato conosco hoje para saber como o Illumio + Trace3 pode ajudar sua organização a criar Zero Trust.