/
Resiliência cibernética

6 recomendações de especialistas sobre Zero Trust para agências governamentais

O setor público está enfrentando grandes questões quando se trata de abordagens de segurança cibernética. O que pode ser feito para reduzir as vulnerabilidades e mitigar a propagação de violações? Quais estratégias são fundamentais para melhorar a resiliência cibernética em meio a um cenário de ameaças em constante mudança?

Para descobrir, Gary Barlet, CTO federal de campo da Illumio, recentemente se juntou aos especialistas em segurança cibernética do governo Dr. Mark A. Stanley, líder da agência Zero Trust da NASA, e Gerald J. Caron, diretor de informações da Administração de Comércio Internacional, na GovExec TV para discutir a segmentação de aplicativos e seu papel na arquitetura Zero Trust para o setor público.

Da esquerda para a direita, Gerald J. Caron, diretor de informações da Administração de Comércio Internacional, Gary Barlet, CTO da Federal Field, e Dr. Mark A. Stanley, líder da agência Zero Trust da NASA na GovExec TV.

Continue lendo para obter as seis principais recomendações da discussão sobre a implementação do Zero Trust e a segmentação de aplicativos.

1. Iniciativas de Zero Trust devem ser a prioridade agora

Para começar, o Dr. Stanley falou sobre seu papel na NASA e o cenário da política de Zero Trust que ele encontrou ao chegar.

“Quando chego à NASA, fiquei totalmente impressionado”, disse ele. “Essas pessoas já estavam pensando no Zero Trust e em como chegaríamos lá muito antes mesmo de a ordem executiva sair. Eles já tinham a adesão e muito apoio da equipe de liderança executiva.”

Logo no início de seu mandato na NASA, ele foi nomeado líder do Zero Trust da NASA. Ele ajudou a adicionar o Zero Trust como um dos elementos fundamentais da NASA para a transformação digital.

“Do ponto de vista das prioridades, tudo o que eu puder fazer para ajudar a impulsionar o Zero Trust ocupou a maioria dos nossos ciclos”, explicou ele.

2. A visibilidade é fundamental para implementar com sucesso uma estratégia Zero Trust

A resposta de Barlet abordou o pensamento central que anda de mãos dadas com a estratégia Zero Trust e a segmentação de aplicativos.

“Zero Trust é um termo muito amplo. A primeira coisa que consideramos importante para a segurança é entender como as informações estão realmente fluindo em sua empresa”, disse Barlet.

Barlet recomendou que as organizações que trabalham em prol do Zero Trust comecem com visibilidade. E isso não é apenas um mapa de rede. As redes híbridas atuais não têm perímetro e estão dispersas. As equipes de segurança devem acompanhar como os aplicativos interagem em um nível granular, e Barlet explica que obter visibilidade dos fluxos de comunicação dos aplicativos é fundamental para entender como o aplicativo está funcionando. Depois que a visibilidade é estabelecida, as equipes de segurança podem começar a traçar limites em torno desses aplicativos para segmentar a rede.

“Se algo acontece, a realidade é que não é uma questão de E se você vai ficar comprometido, mas quando. Quando esse compromisso ocorre, o que vem a seguir?” Barlet disse.

Saiba como o mapa de dependência de aplicativos da Illumio oferece visibilidade em seu ambiente de TI híbrida aqui.

3. Se você não está trabalhando no Zero Trust agora, você está atrasado

Barlet continuou explicando as armadilhas das empresas que estão atrasadas na adoção do Zero Trust.

“Hoje, muitas empresas estão abertas”, disse ele. “Quando um adversário se firma, ele tem a capacidade irrestrita de se espalhar por sua empresa.”

Os adversários usam o movimento lateral para se espalhar de uma parte do ambiente para outra. Se esses ambientes estiverem isolados uns dos outros, as violações não podem se espalhar. Isso é obtido com a segmentação, também chamada de Segmentação Zero Trust.

“Com a segmentação, você vê todos esses vários componentes e desenha um anel aplicação por aplicação”, disse Barlet. “Então, uma vez comprometido, ele pode ser contido e não pode infectar outros aplicativos.”

4. As iniciativas Zero Trust exigem colaboração interfuncional

Para alcançar um nível de adoção do Zero Trust com o qual as organizações possam se sentir confortáveis, é importante adotar uma mentalidade colaborativa. O Dr. Stanley comparou a mentalidade da NASA com sua abordagem semelhante à descoberta científica, na qual a NASA adota o mandato de compartilhar pesquisas e descobertas com o mundo para o aprimoramento da humanidade.

“Nós, do lado federal, precisamos começar a pensar em como podemos trabalhar juntos”, disse o Dr. Stanley. “Acredito firmemente que a cibersegurança é um esporte coletivo.”

Caron continuou o sentimento do Dr. Stanley, ilustrando as armadilhas da antiga abordagem de colaboração em segurança cibernética.

“Você tem esses silos de excelência, mas todos esses grupos precisam trabalhar juntos para alcançar o verdadeiro Zero Trust”, explicou Caron. “Antigamente, você tinha um incidente e fazia um round robin. Você continuaria circulando até encontrar o problema.”

Mas, de acordo com Barlet, “Você não pode mais fazer essas coisas manualmente. É impossível acompanhar a disseminação da tecnologia, a disseminação de dados e a disseminação de nossos usuários. A tecnologia é a única maneira pela qual podemos esperar ficar à frente ou à altura dessa curva e dessa mudança.

5. Zero Trust é uma estratégia, não uma receita

À medida que o webinar continuava, os três especialistas exploraram outro lado importante da estratégia governamental de segurança cibernética: a conformidade.

Caron abriu a discussão fazendo uma distinção fundamental entre conformidade e eficácia: “Essas são duas palavras muito diferentes com dois significados diferentes. Conformidade pode significar algo como: “Eu tenho um sistema, então preciso fornecer autenticação”. O nome de usuário e a senha podem estar em conformidade, mas não são eficazes.”

Em outras palavras, só porque algo é um requisito de conformidade não significa que ele alcance a eficácia simultaneamente. Caron incentiva as organizações a verem o Zero Trust como um esforço para serem mais eficazes, além de cumprir os requisitos de conformidade.

“A conformidade entrará em vigor à medida que você se tornar eficaz”, disse Caron. “Essa é a grande coisa que eu aplaudo na estratégia Zero Trust e na ordem executiva que menciona o Zero Trust. Isso está nos levando a sermos mais eficazes. É uma estratégia, não uma receita.”

6. Dê passos incrementais em direção ao Zero Trust

Para finalizar, Barlet e o Dr. Stanley falaram sobre as melhores práticas para a adoção do Zero Trust nas empresas.

De acordo com Barlet, “As organizações mais eficazes dão um passo de cada vez”.

Ele explicou que muitas agências presumem que conseguirão impor de zero a 100% o Zero Trust. Então, quando eles não atingem a meta, a iniciativa perde força ou é considerada muito difícil.

“A realidade é que você nunca vai chegar a 100 por cento”, disse Gary. “No mundo em que vivemos, tentar chegar a 100% de qualquer coisa é uma meta inatingível.”

Em vez disso, a Barlet incentiva as organizações a trabalharem em prol da Zero Trust em pedaços. Ao criar o Zero Trust de forma incremental, as agências podem obter vitórias rápidas e aumentar as defesas, a segurança e a proteção ao longo do tempo.

“Barlet estava absolutamente certo”, disse o Dr. Stanley. “Você precisa abordar todos os pilares do Zero Trust. Você precisa ser capaz de aproveitar a proteção que ele oferece para seus aplicativos e dados, mesmo ao fazer essas melhorias incrementais em sua infraestrutura.”

Saiba mais sobre como a Illumio pode ajudar a proteger sua agência governamental aqui.

Entre em contato conosco hoje para uma demonstração e consulta gratuitas.

Tópicos relacionados

Artigos relacionados

Devemos nos preocupar com o fato de a cibersegurança se tornar muito dependente da IA?
Resiliência cibernética

Devemos nos preocupar com o fato de a cibersegurança se tornar muito dependente da IA?

Saiba por que a IA é um benefício para a segurança cibernética, apesar de suas fraquezas, e como a combinação do poder da IA com o intelecto humano pode aliviar os temores sobre a dependência excessiva da IA.

Construindo resiliência cibernética? Use a estrutura MITRE ATT&CK como sua estrela norte
Resiliência cibernética

Construindo resiliência cibernética? Use a estrutura MITRE ATT&CK como sua estrela norte

Aprenda com o especialista da Blue Team, Nick Carstensen, sobre como a estrutura MITRE ATT&CK pode ajudar a orientar sua organização na construção de resiliência cibernética.

Conheça a pontuação: Explicação da exposição à vulnerabilidade
Resiliência cibernética

Conheça a pontuação: Explicação da exposição à vulnerabilidade

Como calculamos a Pontuação de Exposição à Vulnerabilidade, que permite que as organizações combinem medidas de pontuação de vulnerabilidade padrão do setor com o contexto de seu ambiente.

5 conclusões do Zero Trust do ex-CIO federal Gary Barlet
Segmentação Zero Trust

5 conclusões do Zero Trust do ex-CIO federal Gary Barlet

Saiba por que Gary Barlet, CTO federal de campo da Illumio, vê o Zero Trust como uma maneira totalmente nova de abordar a segurança cibernética, não apenas uma nova maneira de gerenciar problemas antigos de segurança.

4 fundamentos de segurança cibernética que toda agência federal deveria implementar
Resiliência cibernética

4 fundamentos de segurança cibernética que toda agência federal deveria implementar

Saiba por que os líderes de segurança cibernética estão enfatizando a mudança necessária em direção a uma mentalidade de Zero Trust para se adaptar às novas ameaças.

Três desafios que as agências federais enfrentam ao implementar a cibersegurança moderna
Resiliência cibernética

Três desafios que as agências federais enfrentam ao implementar a cibersegurança moderna

O governo federal dos EUA coleta as informações pessoais de quase todos os cidadãos. E as agências federais mantêm dados valiosos, alguns dos quais poderiam colocar o país em perigo se fossem divulgados.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?