Quatro maneiras pelas quais os especialistas em segurança cibernética do governo garantem a garantia da missão com Zero Trust

Para equipes federais de segurança, a garantia da missão é essencial. As inscrições devem permanecer sempre disponíveis para garantir o sucesso da missão.

A melhor maneira de alcançar a resiliência missionária é por meio dos princípios do Zero Trust. Com base na mentalidade de que as violações são inevitáveis e no mantra “nunca confie, sempre verifique”, a Zero Trust pode ajudar agências governamentais a incorporar a garantia de missão em sua estratégia de segurança.

Para compartilhar as estratégias e as melhores práticas do Zero Trust para garantia de missões, os especialistas federais em segurança cibernética Gary Barlet, CTO federal da Illumio e ex-CIO do Gabinete do Inspetor Geral do Serviço Postal dos EUA, Mark Stanley, da Arquitetura de Segurança Cibernética Empresarial da NASA, e David Bottom, CIO da Securities and Exchange Commission, participaram de um webinar com a Federal News Network.

Assista ao webinar completo aqui.

Continue lendo para obter um resumo da discussão e das principais recomendações para implementar o Zero Trust em sua agência.

Por que as agências federais precisam adotar o Zero Trust para garantir a missão?

Uma estratégia de segurança Zero Trust ajuda as agências a responder à pergunta: Como podemos ter sucesso se algo der errado?

“Quando todos os sistemas estão operando normalmente, isso é ótimo”, explicou Barlet. “Mas e quando as coisas estão sob ataque?”

A Zero Trust presume que é simplesmente uma questão de tempo até que uma violação aconteça. Essa mentalidade estabelece uma segurança que não só ajudará as equipes a conhecer e impedir um ataque, mas também manterá os sistemas funcionando internamente ou implantados ao público.

Como ressalta Barlet, “a NASA não pode simplesmente desligar as coisas no meio de um lançamento”, nem quase todas as outras agências. Se os sistemas ficarem off-line devido ao ataque de um adversário, a vida dos funcionários e dos cidadãos poderá ser colocada em risco e as agências perderão a confiança das partes interessadas.

Os palestrantes concordaram que uma abordagem de “configurar e esquecer” da cibersegurança não é suficiente para manter a resiliência da missão dos sistemas.

“A garantia da missão não é um exercício estático”, disse Bottom. “As expectativas e os requisitos estão sempre mudando. Eles precisam ser considerados no planejamento que fazemos.”

De acordo com os palestrantes, parte desse planejamento deve envolver uma infraestrutura Zero Trust que limite a capacidade dos adversários de se moverem lateralmente pela rede. Isso ajuda a limitar o raio de explosão — ou impacto — de um ataque ao sistema e ajuda a manter a resiliência durante um ataque ativo.

“Um dos principais inquilinos do Zero Trust é essa capacidade de limitar o raio de explosão”, explicou Stanley. “Se alguém tentando executar um ataque de malware [conseguir] comprometer minha conta, em um cenário de Zero Trust e de menos privilégios, só conseguirá implementá-lo contra as coisas às quais eu tenho acesso e nada mais.” O Zero Trust, acrescentou, “elimina o movimento lateral pela rede”.

Como explicou Barlet, esse trabalho não é algo que nunca termina ou é totalmente realizado. A segurança Zero Trust é um processo contínuo.

“Nunca haverá um fim da jornada do Zero Trust”, disse Barlet. “Nunca há um fim para as ameaças que você enfrenta. Portanto, a jornada do Zero Trust nunca terminará.”

4 requisitos para construir a garantia de missão com o Zero Trust

De acordo com os palestrantes, essas são as quatro principais recomendações para as agências que implementam o Zero Trust:

1. Obtenha visibilidade de ponta a ponta

Crucial para essa jornada sem fim: “Ter uma boa e forte visibilidade em toda a empresa”, disse Barlet. A palavra empresa é fundamental. Isso significa visibilidade não apenas dos elementos de infraestrutura, onde as agências tradicionalmente instalam defesas perimetrais. A visibilidade se estende aos aplicativos, aos dados e à forma como eles interagem entre si.

“Os aplicativos têm conectividade interna para a qual as agências geralmente são cegas”, disse Barlet. Para garantir os cinco pilares do Zero Trust, nomeados pela CIA, as agências “precisam primeiro entender o que está acontecendo em suas empresas e como as coisas estão realmente interconectadas”.

“Você precisa de uma visão objetiva não do que as pessoas pensam que está acontecendo, mas sim do que realmente está acontecendo”, disse Barlet. “Você precisa ver em tempo real essas interconexões e esse tráfego fluindo.” Ele acrescentou que, quando a Illumio mostra a um cliente essas dependências e interconexões, “elas geralmente são tão divergentes que têm um ataque cardíaco, para ser honesto com você”.

2. Crie uma arquitetura flexível e adaptável

As redes atuais mudam constantemente. As equipes de segurança não podem mais confiar no modelo tradicional de redes estáticas que demoram a mudar.

“Qualquer modelo ou arquitetura Zero Trust precisa ser capaz de se adaptar a todas essas mudanças rápidas”, disse Barlet.

À medida que as agências criam e removem máquinas virtuais ou redefinem as configurações, a segurança cibernética precisa acompanhar essas mudanças de forma consistente.

3. Implemente o Zero Trust em todos os ambientes, incluindo endpoints, OT e IoT

Todos os três especialistas concordaram que o Zero Trust deve se estender aos dispositivos dos usuários, não apenas aos usuários, e à OT e à IoT que interagem com a rede.

De acordo com Stanley, sua equipe monitora constantemente a atividade dos dispositivos dos sistemas da NASA. Eles procuram anomalias que possam alterar o nível de confiança em uma determinada tentativa de acesso.

“A beleza por trás do Zero Trust é que ele monitora a atividade e ajusta as pontuações em tempo real”, disse Stanely.

Isso garante que qualquer problema seja rapidamente visto, priorizado e resolvido pela equipe de segurança da NASA para garantir que a missão possa continuar.

4. Inclua a segurança Zero Trust nos processos de desenvolvimento

Barlet recomendou que os princípios do Zero Trust passassem para o desenvolvimento de novos aplicativos nos processos de DevSecOps. Os desenvolvedores estão usando código-fonte aberto e a segurança cibernética deve incorporar o Zero Trust para proteger esses aplicativos.

“A realidade no desenvolvimento de código hoje é que ninguém mais escreve cada linha de código sozinho. Eles estão baixando módulos e usando código-fonte aberto”, explicou Barlet. “Todos esses softwares têm dependências e interconexões que a agência precisa conhecer e incorporar ao esquema Zero Trust.”

As agências podem ver essas dependências obtendo visibilidade dos fluxos de comunicação da rede. Em seguida, eles podem definir políticas de segurança que garantam que todas as vulnerabilidades sejam fechadas e permitam apenas o acesso necessário.

Entre em contato conosco hoje para saber como a Illumio pode proteger sua agência governamental.