Zero Trust Security, mentalidade de “Assumir violação” e o projeto de reforma de dados do Reino Unido

Embora 90% das organizações planejem priorizar uma estratégia de segurança Zero Trust em 2022, surpreendentemente poucos acreditam que sofrerão uma violação. Mas a combinação de ataques cibernéticos generalizados e redes cada vez mais dispersas e sem perímetro significa que é quase garantido que as organizações sejam atacadas e violadas.

Essa lacuna entre a adoção do Zero Trust e o compromisso com A mentalidade de “presumir uma violação” da Zero Trust deixa muitas organizações vulneráveis — e foi o foco das notícias sobre cibersegurança deste mês.

A mentalidade de “supor uma violação” se prepara para ataques cibernéticos inevitáveis

É apenas uma questão de tempo até que uma organização seja vítima de um ataque cibernético. As violações são inevitáveis — e podem ter consequências financeiras devastadoras para organizações que não têm um plano de mitigação em vigor. Andrew Rubin, CEO e cofundador da Illumio, abordou esse novo paradigma de segurança em um artigo do Financial Times deste mês, Ataques cibernéticos: se você não consegue detê-los, interrompa-os.

Rubin explica no artigo como a natureza dispersa e híbrida das redes atuais deixa as organizações cada vez mais vulneráveis a violações. Ataques cibernéticos sofisticados, como o Hack do SolarWinds mostra que as organizações precisam se concentrar em mitigar o risco cibernético em vez de tentar impedir todas as possíveis invasões na rede.

“O problema de ransomware se tornou muito difundido”, disse Rubin. “Isso prova para todos que você será atingido quase de qualquer jeito, o que não é uma falha de sua estratégia cibernética, significa apenas que você precisa evoluir sua estratégia cibernética para detectar e impedir a propagação.”

Além das camadas de detecção e visibilidade, o artigo destaca que uma das melhores maneiras de impedir a propagação de um ataque é com a segmentação Zero Trust. Ele divide uma rede em partes menores para que, quando os invasores se infiltram em uma rede, as equipes de segurança possam rapidamente colocar o ataque em quarentena.

Do ponto de vista financeiro, o artigo alertou que as organizações devem se preparar para violações potencialmente devastadoras como parte do processo corporativo de gerenciamento de riscos. A adoção de novas defesas de segurança pode ajudar a desacelerar e isolar os atacantes quando é impossível detê-los completamente.

Zero Trust é o padrão de segurança cibernética

Artigo da VentureBeat, Tudo o que você precisa saber sobre a arquitetura Zero-Trust, destacou o valor de Arquitetura Zero Trust para ajudar a proteger contra os crescentes ataques cibernéticos atuais.

O artigo explica como a cibersegurança mudou nos últimos anos. Com mais funcionários trabalhando remotamente e mais organizações migrando para a nuvem, as redes estão se tornando cada vez menos perimetrais. De acordo com o VentureBeat, isso significa que ferramentas de segurança tradicionais sozinhas, não podemos preparar as organizações para gerenciar os inevitáveis ataques cibernéticos de hoje

E embora a VentureBeat nomeie o Zero Trust como uma das melhores maneiras de atender à necessidade de novas soluções para novos ataques, eles também reconhecem que se tornou um pouco de chavão com uma definição ambígua. O artigo observa que o Zero Trust não é um produto ou uma proposta publicitária, mas sim uma filosofia criada para gerenciar problemas de segurança modernos.

Uma estrutura Zero Trust pressupõe que todos os ambientes de TI tenham vulnerabilidades que os ciberatacantes eventualmente encontrarão. Para resolver isso, o artigo explica como a filosofia Zero Trust se concentra em melhorar a visibilidade em todos os ambientes e segmentar a rede para impedir a disseminação de ciberatacantes que podem abusar da confiança automática para obter acesso a informações críticas para os negócios.

Com as redes de muitas organizações crescendo em complexidade a cada dia, segmentar a rede pode parecer assustador. No entanto, os nomes do VentureBeat Illumio como solução que podem ajudar a automatizar a implementação da segmentação Zero Trust. Isso significa criar políticas de segurança que sejam eficazes e pragmáticas. Uma arquitetura Zero Trust pode ser facilmente colocada em prática para proteger as organizações contra ataques cibernéticos que surjam em sua direção.

Quase metade dos líderes de segurança acham que não serão violados

Embora 90% dos líderes de segurança estejam priorizando as estratégias de Zero Trust este ano, 47% dizem que não acham que serão violadas. Para obter informações sobre essas tendências do ESG Relatório de impacto do Zero Trust, Canal Buzz conversou com PJ Kirner, CTO e cofundador da Illumio. As estatísticas contradizem o princípios centrais do Zero Trust: sempre presuma que as violações são inevitáveis e que os invasores já podem ter acesso à rede.

“Começamos a Illumio com esses princípios em mente há 10 anos e às vezes achamos que as pessoas os entendem completamente, mas esses dados de 47% sugerem que esse não é o caso”, disse Kirner.

Kirner observou que, em alguns casos, ele acha que esse número é simplesmente o resultado de executivos pensarem que não têm o tipo de dados que são valiosos o suficiente para serem roubados.

“O foco deles é realmente proteger seus joias da coroa”, disse ele. “No entanto, o Zero Trust exige que os clientes sempre assumam que ocorreu uma violação e que os atacantes estão lá dentro. Esse grupo acredita no Zero Trust, mas acho que eles ainda não acreditam na parte de 'presumir a violação'.”

No entanto, o relatório do ESG constatou que 76% das organizações pesquisadas foram atacadas por ransomware e 66% sofreram pelo menos um ataque à cadeia de suprimentos de software. Os ataques cibernéticos estão ocorrendo com uma frequência muito maior do que nunca, e Kirner explicou que as organizações devem ter um plano de segurança em vigor.

A boa notícia? O relatório também refletiu que Segmentação Zero Trust desenvolveu um impacto comercial quantificável, com 81 por cento dos líderes de segurança acreditando que a segmentação Zero Trust deve fazer parte de sua estratégia central de Zero Trust.

A pesquisa do ESG descobriu que a segmentação Zero Trust permite que as organizações economizem uma média de 20,1 milhões de dólares em aplicativos no centro da cidade, evitem cinco desastres cibernéticos por ano e acelerem mais 14 projetos de transformação digital e em nuvem no próximo ano.

“O fato de as pessoas acreditarem que a segmentação é um pilar central do Zero Trust é importante para nós, porque valida o que estamos fazendo”, disse Kirner.

Novo projeto de reforma de dados do Reino Unido

Adam Brady, diretor de engenharia de sistemas da Illumio, escreveu para Cadeia de suprimentos de TI sobre a nova Lei de Reforma de Dados do Reino Unido. O projeto de lei detalha o plano do Reino Unido para substituir o atual Regulamento Geral de Proteção de Dados (GDRP), que rege o processamento de dados pessoais de indivíduos no Reino Unido.

O artigo destaca os debates contínuos do governo do Reino Unido sobre as regulamentações de segurança cibernética, que refletem uma tendência mais ampla de governos tomando medidas mais proativas para desenvolver melhores defesas cibernéticas em organizações públicas e privadas.

Em comparação com o GDPR atual, Brady descreve como o Projeto de Reforma de Dados terá leis de proteção de dados mais flexíveis e menos rigorosas. Ele observou que o Reino Unido deve esperar algumas desvantagens de leis de proteção mais brandas, mas descreveu alguns benefícios da maior flexibilidade do projeto de lei em comparação com o GDRP.

De acordo com Brady, o novo projeto de lei oferecerá agilidade adicional nos processos de negócios e uma redução na sobrecarga administrativa devido à flexibilização das regulamentações de conformidade. Além disso, o tratamento mais flexível de dados pessoais em comparação com o GDRP atual provavelmente atrairá empresas de tecnologia, varejo e outras empresas para o Reino Unido. Isso beneficiará especialmente as pequenas empresas, que poderão gastar menos tempo e dinheiro garantindo a privacidade e a conformidade dos dados.

Embora o novo projeto de lei ajude a garantir que os controles de tratamento de dados não atrapalhem o comércio, Brady disse que o projeto carece de diretrizes semelhantes para ataques cibernéticos. As regulamentações governamentais devem garantir que as organizações estejam preparadas para gerenciar violações inevitáveis na rede — e o efeito resultante no comércio e nas cadeias de suprimentos. Brady afirmou que as regras de segurança cibernética do Reino Unido deveriam corresponder a outras diretrizes governamentais semelhantes que recomendam uma abordagem de segurança Zero Trust para se defender contra os sofisticados ataques cibernéticos atuais.

Illumio ganha prêmios do setor

Para encerrar o mês, o Remote Tech Breakthrough Awards homenageou a Illumio com o Prêmio de Empresa do Ano em Segurança do Trabalho Remoto como parte de sua categoria de liderança.

Desde 2020, a Illumio lançou dois produtos, Illumio CloudSecure e Illumio Edge, embora totalmente remotos. Ambos os produtos atendem aos desafios exclusivos de segurança cibernética apresentados às empresas pela pandemia global para proteger a nuvem e os dispositivos dos trabalhadores remotos.

Em 2021, a Illumio ganhou a Solução Geral de Segurança de Trabalho Remoto do Ano no Remote Tech Breakthrough Awards.

Este mês, a Illumio também ganhou o Prêmio Publisher's Choice Zero Trust da Cyber Defense Magazine (CDM), a principal revista eletrônica de segurança da informação do setor. Este prêmio destaca a importância da segmentação Zero Trust para evitar que violações se tornem desastres cibernéticos.

Para saber mais sobre o que faz da Illumio uma líder na segmentação Zero Trust:

• Baixe os relatórios do Forrester Wave nomeando a Illumio como líder em Zero Trust e microssegmentação.
• Leia como A Illumio ajudou um escritório de advocacia global a impedir um ataque de ransomware.
• Entre em contato conosco hoje para agendar uma consulta e demonstração.