Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Resiliência cibernética

Operacionalizando o Zero Trust — Etapas 2 e 3: Determinar em qual pilar Zero Trust focar e especificar o controle exato

Raghu Nandakumara
,
Diretor sênior de marketing de soluções industriais
June 16, 2020
23 leitura mínima

Esta série de blogs expande as ideias apresentadas em minha postagem de março,”Zero Trust não é difícil... Se você é pragmático”.

Nesse post, descrevi seis etapas para alcançar o Zero Trust. Aqui, vou me aprofundar em duas das seis etapas descritas para fornecer uma estrutura sólida que possa ser usada por profissionais de microssegmentação em organizações grandes e pequenas para tornar seus projetos mais bem-sucedidos. Antes de começar, aqui está uma representação visual de cada etapa:

operationalizing_zero_trust_flow_chart_04may2020

Etapa 2: Determine em qual pilar do Zero Trust focar

Em parte 1 Nesta série, examinei “Identificar o que proteger” e recomendei que, para atingir sua meta de longo prazo — a adoção do Zero Trust em toda a empresa —, era sensato começar aos poucos e procurar candidaturas que correspondessem idealmente a pelo menos 2 dos 3 critérios listados abaixo:

  • Tenha um forte motivador para adotar os princípios de segurança Zero Trust, ou seja, um requisito regulatório ou de conformidade, uma constatação de auditoria que precisa ser resolvida ou uma resposta a uma violação.
  • São marcados como aplicativos críticos.
  • Tenha vontade de ser cobaia.

Imagine que eu tenha pesquisado minha organização e encontrado um aplicativo que lida com dados PCI e, portanto, precisa estar em conformidade com Requisitos do PCI-DSS. Também acontece que uma auditoria descobriu que o “acesso excessivo à rede” foi marcada como um componente crítico no meu sistema de pagamentos de clientes e, depois de muito convencimento, a equipe de aplicativos concordou em trabalhar comigo na adoção de uma estrutura Zero Trust para proteger adequadamente sua aplicação. Se eu rapidamente voltar à minha lista de critérios de seleção, posso ver que o aplicativo escolhido atende a todos os 3 requisitos.

Então, agora vou determinar em qual pilar de confiança zero focar nesta iteração — eis quais são os pilares:

Zero Trust diagram

Da mesma forma que você deve adotar uma abordagem muito focada ao identificar quais aplicativos proteger neste estágio, você deve aplicar uma atitude semelhante ao determinar como abordar o Zero Trust em si. Tentar abordar cada pilar em um ciclo seria ambicioso e irreal, pois você provavelmente precisaria implementar um conjunto diversificado de controles e tecnologias, o que prejudicaria o objetivo recomendado de fazer um progresso relativamente rápido e mensurável.

A Forrester, na verdade, fornece um Ferramenta de avaliação do modelo Zero Trust Maturity para ajudar os profissionais a identificar lacunas na adoção do Zero Trust por sua organização, esses resultados podem ser usados para identificar os pilares específicos do Zero Trust nos quais se concentrar. Vamos supor que você tenha executado essa avaliação no aplicativo escolhido por mim e ela identifique lacunas significativas no proteção de cargas de trabalho executando o aplicativo — e, especificamente, destaca que eles são facilmente acessíveis de toda a minha rede. Isso levaria você a focar essa iteração específica na proteção das cargas de trabalho que hospedam seu aplicativo, garantindo que você ganhe excelente visibilidade nesta área.

Etapa 3: especificar o controle exato

A proteção da carga de trabalho abrange muitos recursos de segurança, incluindo, mas não se limitando a, proteção e correção eficazes do sistema operacional e de qualquer aplicativo instalado, controles de proteção contra ameaças baseados em host, como antivírus, EDR, monitoramento da integridade de arquivos, firewall baseado em host, etc.

A etapa 2 da Avaliação de Maturidade Zero Trust identificou o acesso excessivo à rede ao cargas de trabalho de aplicativos como a lacuna mais significativa no Zero Trust, então eu recomendo focar no firewall baseado em host ou, mais geralmente, na microssegmentação, como o controle de segurança a ser aplicado para levar seu aplicativo um passo adiante em sua jornada de Zero Trust.

Pela minha experiência pessoal como profissional antes de ingressar na Illumio, sei que, para implementar com eficácia a microssegmentação, você precisa de uma excelente visibilidade das dependências upstream e downstream do seu aplicativo, para ter as informações certas com as quais criar e validar os privilégios mais baixos, baseados em listas brancas, Políticas de Zero Trust que protegerão suas cargas de trabalho.

Portanto, quando você se concentra na proteção da carga de trabalho e na visibilidade e na análise associadas a isso, e esclarece ainda mais que planeja criar apenas micro-controles de segmentação nesta fase, agora você está pronto para identificar os dados de entrada necessários para tornar essa visão uma realidade. E é exatamente nisso que vou focar na próxima edição desta série.

Mal posso esperar pela minha próxima postagem para saber mais? Visite nossa página sobre como operacionalizar sua estratégia Zero Trust com microssegmentação para obter informações privilegiadas.

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

O que a nova política de segurança do presidente Biden significa para o futuro da cibersegurança
Resiliência cibernética

O que a nova política de segurança do presidente Biden significa para o futuro da cibersegurança

O governo Biden acaba de consolidar seu legado na política de segurança cibernética com uma ordem executiva abrangente que visa melhorar a resiliência e reduzir o risco do governo dos Estados Unidos.

Leia mais
Como a certificação ISO 27001 da Illumio fortalece a segurança da sua cadeia de suprimentos
Resiliência cibernética

Como a certificação ISO 27001 da Illumio fortalece a segurança da sua cadeia de suprimentos

Saiba o que as certificações ISO 27001 e ISO 27701 da Illumio significam para a resiliência cibernética e a segurança da cadeia de suprimentos de nossos clientes.

Leia mais
O que 2024 nos ensinou sobre o impulso federal de confiança zero — e o que vem por aí em 2025
Resiliência cibernética

O que 2024 nos ensinou sobre o impulso federal de confiança zero — e o que vem por aí em 2025

Descubra as principais lições do impulso federal de Zero Trust de 2024 e dos insights acionáveis para 2025.

Leia mais
Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais