Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Segmentação Zero Trust

Sean Connelly compartilha como o Zero Trust modernizou a cibersegurança federal

Raghu Nandakumara
,
Diretor sênior de marketing de soluções industriais
June 11, 2024
23 leitura mínima
Sean Connelly, Former Director, CISA Zero Trust Initiative Office

A Agência de Segurança Cibernética e de Infraestrutura (CISA) está na vanguarda da defesa da infraestrutura crítica dos EUA contra a evolução das ameaças cibernéticas. Também tem sido um ator fundamental para ajudar o governo federal a desenvolver sua segurança cibernética de uma estratégia tradicional baseada em perímetros para uma abordagem moderna de Zero Trust.

Em um episódio recente do podcast The Segment: A Zero Trust Leadership, conversei com um dos principais arquitetos por trás dessa mudança para o Zero Trust: Sean Connelly, ex-diretor da Zero Trust Initiative da CISA. Ele ofereceu uma visão sobre as mudanças transformadoras na segurança cibernética federal, a evolução dos perímetros de rede e conselhos práticos para qualquer pessoa que embarque em uma jornada de Zero Trust.

Continue lendo para obter uma recapitulação de nossa discussão.

Sobre Sean Connelly

Sean é uma figura importante em cibersegurança federal, desempenhando um papel crucial na formulação de iniciativas na CISA na última década. Ele desenvolveu o modelo de segurança cibernética Zero Trust, essencial para a estratégia de defesa do governo federal. Ele também liderou o desenvolvimento do primeiro Modelo de Maturidade Zero Trust e foi coautor da Arquitetura Zero Trust do NIST.

No início deste ano, ele lançou o Escritório da Iniciativa Zero Trust da CISA para fornecer às agências governamentais o treinamento e os recursos necessários para fortalecer suas medidas de segurança cibernética.

Como a CISA ajudou a modernizar a segurança cibernética federal

Em meados dos anos 2000, as redes das agências federais estavam crescendo rapidamente e as conexões de rede com a Internet aumentaram para um número alarmante. A superfície de ataque estava crescendo. Sean reconheceu que o governo federal precisava encontrar uma maneira de reduzir os riscos em todo o governo federal.

Sean e a equipe da CISA fizeram parceria com outras agências de segurança cibernética dos EUA para criar o Conexões confiáveis à Internet (TIC) iniciativa em 2007. O objetivo era limitar o número de gateways nas redes governamentais. Ele exige que todo o tráfego federal da Internet seja roteado por meio de uma agência aprovada pela TIC.

Inicialmente, o foco era proteger o perímetro da rede, que dependia de um modelo tradicional de rede hub-and-spoke. Mas, com o tempo, líderes federais de segurança cibernética, como Sean, perceberam que precisavam de uma abordagem mais descentralizada e focada em dados com o surgimento da nuvem e tecnologia móvel.

“Mesmo naquela época, a Cisco e o Jericho Forum mencionaram a necessidade de uma perimetrização profunda”, explicou. “Um de seus mandamentos era: 'Quanto mais você puder colocar a segurança perto dos dados, melhor ela ficará'. E isso faz sentido, certo?”

O TIC evoluiu para 2.0 e, eventualmente, 3.0, o que agora incentiva as agências a adotarem serviços em nuvem e Zero Trust para se protegerem contra o complexo cenário de ameaças atual. O TIC 3.0 se concentra em uma abordagem mais flexível e baseada em riscos do que as versões anteriores do programa TIC.

Sean chamou o TIC 3.0 de “nova jornada” para a segurança cibernética federal. Isso levou a um maior equilíbrio entre segurança de dados e segurança de rede. Esse também foi um marco importante na adoção pelo governo federal de uma abordagem de Zero Trust.

Construindo o modelo de maturidade Zero Trust da CISA

Uma parte importante dessa “nova jornada” foi dar às agências informações práticas sobre a construção. Confiança zero. O Zero Trust exigiu uma mudança de mentalidade para as agências, mas os líderes das agências também precisavam de detalhes táticos sobre como realizar o Zero Trust.

Sean liderou os esforços da CISA para criar o Modelo de maturidade Zero Trust (ZTMM), publicado em 2021. O ZTMM é um dos roteiros mais importantes que as agências federais podem usar à medida que avançam em direção ao Zero Trust.

CISA's Zero Trust Maturity Model includes five pillars and three cross-cutting capabilities based on the foundations of Zero Trust.
O Modelo de Maturidade Zero Trust da CISA inclui cinco pilares e três capacidades transversais baseadas nos fundamentos do Zero Trust.

O ZTMM é um marco importante na adoção do Zero Trust pelo governo federal. Isso ocorre porque ele fornece uma linguagem comum para as agências quando elas criam seus planos Zero Trust. Sean reconheceu a necessidade de uma orientação precisa quando se trata de construir o Zero Trust. Na época, cada agência tinha uma compreensão diferente do Zero Trust. Estava causando confusão sobre como era o Zero Trust na prática e como ele se aplicava aos mandatos federais de segurança. Ele observou: “Você pode colocar linguagem na política, mas as agências ainda querem saber: 'É isso que você realmente quer dizer? '”

Depois de lançar a primeira versão, a CISA se juntou a outras agências cibernéticas e PMEs para discutir, agência por agência, o progresso e a maturidade do Zero Trust. Isso resultou em mais de 100 reuniões, incluindo aquelas com fornecedores, universidades e governos internacionais. A CISA adicionou esse feedback à segunda versão do ZTMM, publicada em 2022.

“Isso ressoou”, disse Sean, refletindo sobre o número de vezes que ele viu o gráfico de montanha da ZTMM em apresentações e artigos. “Acho que a provocação, porém, é que quando você chega ao cume daquela montanha, é realmente uma cordilheira.”

A CISA representa a maturidade do Zero Trust como uma jornada. Mas Sean enfatiza que o Zero Trust é uma jornada contínua e não tem uma cúpula final.

Sean enfatizou que o Zero Trust nunca está completo; é uma jornada contínua. “Vamos mover a bandeira, vamos mover os postes em algum momento à medida que a tecnologia evolui”, explicou ele. “Sempre precisamos adicionar novas formas de construir o Zero Trust.” Para esse fim, Sean vê o ZTMM como um documento vivo que deve refletir continuamente o estado atual da segurança cibernética.

5 passos para o Zero Trust

De acordo com Sean, se ele entrasse em uma reunião com pessoas que estão começando sua jornada com o Zero Trust, ele recomendaria que começassem com o Relatório NSTAC Zero Trust. Este guia, criado junto John Kindervag, criador do Zero Trust e evangelista-chefe da Illumio, descreve cinco etapas para criar um programa Zero Trust.

Aqui está um resumo das cinco etapas que discutimos:

  1. Defina a superfície de proteção: Identifique o que precisa de proteção.
  1. Mapeie os fluxos de transação: Documente os dados e os fluxos de comunicação em sua organização, incluindo interações entre sistema, cliente-servidor e organizacionais.
  1. Crie a arquitetura: Desenvolva uma arquitetura de segurança centrada em dados com medidas de segurança próximas aos ativos protegidos, utilizando sinais da rede, dos dispositivos hospedeiros e da identidade.
  1. Crie políticas dinâmicas: Estabeleça políticas adaptáveis que respondam às mudanças nas condições, considerando as interações cliente-servidor e organizacionais.
  1. Manifeste, monitore e mantenha: Crie, monitore e mantenha continuamente o ambiente Zero Trust para garantir segurança e conformidade contínuas.

Ouça, assine e analise o podcast The Segment: A Zero Trust

Quer saber mais? Ouça o episódio completo com Sean em nosso site, Podcasts da Apple, Spotify ou onde quer que você obtenha seus podcasts. Você também pode ler a transcrição completa do episódio.

Voltaremos com mais informações sobre o Zero Trust em breve!

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

Segurança de contêineres: um guia essencial para proteger o Kubernetes
Segmentação Zero Trust

Segurança de contêineres: um guia essencial para proteger o Kubernetes

Descubra por que a segurança de contêineres é crucial em um mundo onde as violações são inevitáveis e saiba como a Illumio pode proteger seus ambientes Kubernetes contra ameaças modernas.

Leia mais
ROI de cibersegurança, infraestrutura crítica Zero Trust e o novo plano de implementação dos EUA
Segmentação Zero Trust

ROI de cibersegurança, infraestrutura crítica Zero Trust e o novo plano de implementação dos EUA

Veja um resumo da cobertura jornalística da Illumio de julho de 2023.

Leia mais
A evolução da segmentação adaptativa
Segmentação Zero Trust

A evolução da segmentação adaptativa

A inovação inicial da Illumio em torno da Adaptive Security Platform (ASP) veio para enfrentar esses desafios diretamente. Foram identificados alguns elementos-chave fundamentais que nos permitiriam criar nossa solução:

Leia mais
Gerald Caron compartilha 5 insights do Zero Trust para agências federais
Segmentação Zero Trust

Gerald Caron compartilha 5 insights do Zero Trust para agências federais

Gerald Caron, ex-CIO do Departamento de Saúde e Serviços Humanos dos EUA, discute os insights do Zero Trust e a implementação da segurança cibernética em agências governamentais.

Leia mais
4 fundamentos de segurança cibernética que toda agência federal deveria implementar
Resiliência cibernética

4 fundamentos de segurança cibernética que toda agência federal deveria implementar

Saiba por que os líderes de segurança cibernética estão enfatizando a mudança necessária em direção a uma mentalidade de Zero Trust para se adaptar às novas ameaças.

Leia mais
7 razões pelas quais o setor federal deve escolher a Illumio para segmentação Zero Trust
Segmentação Zero Trust

7 razões pelas quais o setor federal deve escolher a Illumio para segmentação Zero Trust

Saiba como a Illumio fornece microssegmentação superior e confiável para filiais do setor federal.

Leia mais

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais