Memorando federal do OMB Zero Trust avisa as agências com prazos

Em maio de 2021, o governo Biden emitiu Ordem Executiva 14028, Melhorando a Segurança Cibernética do País na sequência dos ataques da SolarWinds e da Colonial Pipeline. O pedido teve como objetivo aumentar a resiliência cibernética e reduzir o risco para agências governamentais. Isso os orientou a desenvolver, em apenas 60 dias, um plano para implementar uma arquitetura Zero Trust. Escrevendo em resposta ao pedido, o diretor federal da Illumio, Mark Sincevich, observou que as agências precisavam de um roteiro operacional para criar e implementar a arquitetura nos sistemas federais.

Esse roteiro é o que Memorando M-22-09, lançado em 26 de janeiro^o do Office of Management and Budget (OMB), apresenta uma diretiva estratégica federal de arquitetura Zero Trust com prazos firmes.

Ele orienta as agências a apresentarem à OMB e à CISA um plano de implementação para o AF22-FY24 dentro de 60 dias a partir da emissão do memorando. O memorando descreve claramente o que se espera que as agências alcancem em nível técnico, o que precisa ser feito até quando e o planejamento orçamentário necessário. Alguns marcos têm um prazo de 12 meses; outros, 24 meses. O memorando fornece orientações essenciais sobre onde se espera que as agências estejam em termos de Zero Trust até o final do ano fiscal de 2024.

O memorando oferece uma linha de visão direta entre o que o OMB espera que as agências implementem e o que uma plataforma ou solução pode oferecer. Não há necessidade de confiar entre um requisito mal definido e o que um fornecedor pode oferecer.

As exigências do memorando são ambiciosas. Mas as agências têm quase três anos para avançar em suas posturas de Zero Trust e imagino que, em dezembro de 2024, a maioria terá alcançado uma grande porcentagem do que é necessário ou terá um plano definitivo de como fazer isso. No entanto, o memorando não especifica como o progresso será medido e o sucesso avaliado — e a definição e o rastreamento dessas métricas serão essenciais para impulsionar a adoção.

Os cinco pilares do Zero Trust da CISA

As metas estratégicas descritas no memorando estão alinhadas com o Modelo de Maturidade Zero Trust da Agência de Segurança Cibernética e de Infraestrutura (CISA), que tem cinco pilares:

1. Identidade
2. Dispositivos
3. Redes
4. Aplicativos e cargas de trabalho
5. Dados

Como Mark observou em seu blog, não há uma tecnologia que as agências possam implementar para alcançar o Zero Trust. Mas a Illumio pode contribuir e apoiar diretamente muitas das metas abordadas no memorando. Por exemplo, sob o pilar de identidade, o governo federal deve ter “um inventário completo de todos os dispositivos que operam em uso autorizado pelo governo e podem prevenir, detectar e responder a incidentes nesses dispositivos”.

A Illumio pode reforçar os recursos de detecção e resposta de terminais (EDR) de uma agência, fornecendo visibilidade completa com contexto para entender os riscos e as relações entre os dispositivos. As ferramentas de EDR podem dizer o que está acontecendo em um dispositivo individual. Com os recursos de mapeamento do Illumio, você pode ver as interações e relacionamentos entre dispositivos e ter uma visão mais clara do que deve ser permitido e do que não deve.

E, é claro, certos sistemas, como mainframes, não são compatíveis com as ferramentas EDR porque essas ferramentas foram projetadas para serem instaladas em um sistema operacional. Mas o Illumio pode ingerir dados de fluxo desses sistemas e representar esses e suas interações no mesmo mapa de dependência. E esse mapa de dependência detalhado e em tempo real é um primeiro passo essencial para a segmentação Zero Trust.

Protegendo redes e cargas de trabalho de aplicativos

A frase-chave no memorando sobre redes afirma que “as agências devem se afastar da prática de manter uma ampla rede corporativa que permita maior visibilidade ou acesso a muitos aplicativos e funções corporativas distintas”. O objetivo geral da seção de rede é dividir os perímetros da rede em ambientes isolados. Então, em outras palavras: implemente a segmentação.

Em termos de cargas de trabalho, o memorando orienta as agências a tornar “os aplicativos acessíveis pela Internet de maneira segura, sem depender de uma rede privada virtual (VPN) ou de outro túnel de rede”. Eles devem identificar pelo menos um aplicativo moderado da Lei Federal de Gestão da Segurança da Informação (FISMA) voltado para o interior e torná-lo totalmente operacional e acessível pela Internet pública.

Em conjunto, aqui está a mensagem: você não pode presumir que pode confiar em nada na sua rede e precisa proteger cada aplicativo como se tudo ao seu redor não fosse confiável. Em vez disso, assuma uma mentalidade de violação em que qualquer recurso em sua rede possa ser comprometido por um agente mal-intencionado. O que você pode fazer para garantir que seja realmente difícil para eles atingirem seus objetivos?

E é exatamente aí que entram o Illumio e o Zero Trust Segmentation. A segmentação Zero Trust, que inclui microssegmentação baseada em host, é fundamental para uma Arquitetura Zero Trust com a finalidade de controlar com precisão movimento lateral em toda a rede.

Adotar uma abordagem baseada em host para a segurança predial permite o controle granular no aplicativo e carga de trabalho nível exigido pelo memorando, algo que uma abordagem de segmentação baseada em rede é incapaz de fornecer de maneira direta. A tecnologia Zero Trust Segmentation da Illumio ajuda diretamente as agências a atender aos requisitos de proteção de aplicativos e cargas de trabalho estabelecidos no memorando.

Tornando aplicativos internos acessíveis com segurança a partir da Internet

Quando você cria um aplicativo que geralmente é interno e acessível com segurança pela Internet, isso significa que qualquer pessoa que se autentique com êxito terá acesso direto a ele em sua rede interna. Mas se esse aplicativo for comprometido, isso não deve significar que toda a sua organização está comprometida. Você deve adotar a microssegmentação em torno desse aplicativo para limitar o impacto de uma violação. Essencialmente, cada aplicativo precisa de um “microperímetro”, um “enclave” Zero Trust. O Illumio pode ser uma parte fundamental para tornar isso possível.

Visibilidade e monitoramento baseados em riscos

Obviamente, visibilidade e monitoramento são componentes essenciais de qualquer estratégia de segurança Zero Trust. De Illumio mapa de dependência de aplicativos permite que você observe os fluxos de tráfego entre aplicativos e cargas de trabalho em data centers e plataformas de nuvem em tempo real, ajudando a entender as dependências e a conectividade para que você possa segmentar adequadamente.

A Illumio reúne muitas informações úteis que as plataformas de monitoramento podem aproveitar sem a sobrecarga — e, muitas vezes, o risco subestimado — da inspeção de rede. Por exemplo, Illumio sobrepõe dados de vulnerabilidade de terceiros com o mapa de dependência do aplicativo para uma abordagem baseada em riscos para priorizar decisões de segurança e correção — o que, se você observar o Modelo de Maturidade Zero Trust da CISA, tem a ver principalmente com o que você faz primeiro.

A integração de dados de vulnerabilidade e feed de ameaças permite visibilidade baseada em riscos. O Illumio ingere dados de verificação de vulnerabilidades do seu scanner favorito em nosso Policy Compute Engine (PCE). Isso fornece metadados de vulnerabilidade sobre cada carga de trabalho que você pode sobrepor com uma visão da conectividade da carga de trabalho. Com isso, você obtém uma exposição quantitativa ou uma pontuação de risco, facilitando a compreensão de quanto risco as vulnerabilidades estão gerando e quais aplicativos estão se conectando a portas vulneráveis.

Normalmente, um scanner de vulnerabilidades não tem ideia da exposição de uma carga de trabalho. Mas é exatamente isso que o Illumio tem. Os dois formam uma combinação poderosa. Vamos dar um exemplo.

O Vulnerabilidade Log4j permitiu que hackers assumissem o controle de milhões de servidores, desligando-os ou forçando-os a espalhar malware devido ao código defeituoso amplamente usado. O Log4j teve uma pontuação CVSS (Common Vulnerability Scoring System) de 10.

Mas vamos imaginar que você tenha apenas uma carga de trabalho executando o Log4j e ela esteja enterrada nas profundezas do seu data center, com poucas conexões com outras cargas de trabalho. Enquanto isso, outra vulnerabilidade com pontuação de 5 reside em 10 servidores altamente conectados.

Agora, se você apenas examinar os dados do seu scanner de vulnerabilidades, concluirá que é melhor corrigir o servidor Log4j imediatamente. Mas quando você analisa sua exposição real, percebe que esses 10 servidores com vulnerabilidade 5, que estão densamente conectados, são os mais expostos e devem ser corrigidos primeiro.

É isso que a visibilidade baseada em riscos da Illumio permite que você veja. O gerenciamento de vulnerabilidades geralmente carece de priorização, e o Illumio ajuda a priorizar as vulnerabilidades que estão mais expostas e com maior probabilidade de serem exploradas primeiro.

Implementando um plano de segmentação Zero Trust com a Illumio

Então, pense nisso em termos do que o memorando do OMB exige. Em 60 dias (no final de março), as agências precisam ter um plano de implementação da Zero Trust Architecture que detalhe como elas alcançarão as metas do memorando. Isso inclui como eles farão um orçamento para os objetivos do plano que precisam ser concluídos até o final do ano fiscal de 2024 e aqueles que precisam ser concluídos no ano fiscal de 2022 e no ano fiscal de 2023 — uma tarefa assustadora que se torna ainda mais árdua com as restrições de tempo. A melhor maneira é começar aos poucos e expandir ao longo de três anos.

Uma grande parte do plano de 60 dias precisa mostrar como sua agência pode impedir o movimento lateral de um adversário. Isso deve estar no topo da lista de prioridades. Antes de implementar a Segmentação Zero Trust, você precisa de um mapa de dependência de aplicativos e cargas de trabalho em tempo real.

Você precisa ver o que deseja segmentar. Portanto, a visibilidade é fundamental, junto com bloqueando portas abertas desnecessariamente. Você pode fazer isso com o que a Illumio chama de “chave de contenção”, que na verdade é um microssegmento em torno de uma porta específica. O Illumio pode ingerir dados de vulnerabilidade para priorizar as portas mais arriscadas, o que reduz o vetor de ataque. Sua agência também pode apresentar um plano para microssegmentar ativos de alto valor (HVAs), como aplicativos ou cargas de trabalho críticas.

Veja como seria um lançamento de três anos:

• ANO FISCAL DE 22: Obtenha visibilidade da rede, implemente switches de contenção com mapas de vulnerabilidade, HVAs de microssegmentos e integre-se ao seu SIEM
• FY23: Expandir os esforços de segmentação para incluir áreas maiores da agência (por exemplo, separar a produção do desenvolvimento), integrar ainda mais com o SIEM, adicionar Limites de fiscalizaçãoe expanda para redes classificadas
• FY24: Conclua a implantação da microssegmentação para redes não classificadas/classificadas, continue com a aplicação específica de aplicativos e integre-se a novas construções de servidores

A segmentação Zero Trust da Illumio pode permitir cada um desses resultados. E partes de uma agência podem estar simultaneamente em locais diferentes durante o lançamento durante o período de três anos. O Illumio tem flexibilidade e, por estar desacoplado da arquitetura de rede, pode ser dimensionado para um número ilimitado de cargas de trabalho sob gerenciamento.

O Illumio interrompe o movimento lateral de malware e ataques cibernéticos para que sua agência possa cumprir sua missão com mais eficiência. Para obter mais informações:

• Entre em contato conosco para fale com nossos especialistas federais do Zero Trust.
• Visite nosso página de soluções federais para saber mais sobre como a Illumio ajuda agências e comandos a criar uma arquitetura Zero Trust com visibilidade baseada em riscos e segmentação Zero Trust.