Analisando e implementando uma arquitetura nacional de confiança zero

Views: 53
0 0
Read Time:4 Minute, 24 Second

Em outubro deste ano, mais uma vez nos encontramos observando o Mês Nacional de Conscientização sobre Segurança Cibernética. Embora esse esforço tradicionalmente tenha como alvo consumidores e empresas, o governo dos EUA tem um interesse único na conscientização cibernética.

O tema da primeira semana implora a indivíduos e organizações para #BeCyberSmart, destacando as melhores práticas de segurança, concentrando-se na higiene cibernética geral para proteger efetivamente os dados pessoais e da empresa. Isso inclui o uso de autenticação multifator, backup de dados e atualização de software.

Essas práticas básicas são apenas uma pequena parte do modelo de segurança maior de confiança zero (ZT), que se baseia no conceito de “nunca confie, sempre verifique”, autenticação multifatorial, acesso menos privilegiado e microssegmentação.

O modelo de segurança de confiança zero existe há mais de uma década, mas não atingiu a adoção generalizada até recentemente. Mas à medida que as soluções atuais de segurança cibernética baseadas em perímetro continuam falhando e produzem reportagens sobre violações de dados de alto perfil e ataques de ransomware, a segurança de confiança zero continua ganhando força.

Confiança zero e o governo dos EUA

O recente lançamento dos documentos Federal Zero Trust Strategy do Office of Management and Budget, do Modelo de Maturidade Zero Trust da CISA e da Arquitetura de Referência Técnica de Segurança na Nuvem representam um grande passo para melhorar as capacidades de defesa cibernética do governo dos EUA. Acionado pela Ordem Executiva 14028, “Melhorando a Cibersegurança da Nação”, o lançamento desses rascunhos de modelos de referência e orientações ajuda as agências governamentais a acelerar sua transição para uma abordagem mais segura e baseada em ZT para a segurança cibernética.

Fazer com que todo o governo dos EUA faça a transição para um modelo baseado em segurança ZT representa um empreendimento enorme e requer planejamento cuidadoso, recursos consideráveis e planos de implementação plurianuais, multifásicos e específicos da agência. Para agências governamentais maiores, como o Departamento de Defesa, que operam milhares de redes, dezenas de milhares de sistemas e aplicativos e têm centenas de milhares de usuários e dispositivos implantados em todo o mundo, uma implantação abrangente da ZT em toda a empresa pode levar 10 anos ou mais. No entanto, melhorias significativas de segurança em áreas como identidade, dados e segurança de rede poderiam ser alcançadas em apenas alguns anos.

Superando preocupações e obstáculos nacionais de confiança zero

Dois dos maiores desafios que os diretores de informação das agências governamentais afetadas enfrentarão com a adoção obrigatória da ZT do governo e seu cronograma acelerado é orçamento e recursos. A OBM, a CISA e o Instituto Nacional de Padrões e Tecnologia (NIST) forneceram apenas as estruturas e a arquitetura ZT necessárias para começar. Ainda cabe às agências individuais orçar para sua implementação de ZT, rearquitetar seus ambientes de TI atuais para cumprir o padrão ZT Architecture (ZTA) do NIST (NIST SP 800-207), identificar os talentos internos e externos necessários, selecionar tecnologias e fornecedores ZT relevantes, recredenciar seus sistemas e treinar novamente sua força de trabalho.

Para ajudar seus clientes governamentais e comerciais a acelerar sua jornada de adoção da ZT e gerenciar melhor os riscos de migração da ZT associados, será necessária uma abordagem baseada em plataforma para a ZT. Aproveitar uma plataforma compatível com o padrão NIST ZTA promove interoperabilidade, escalabilidade e extensibilidade. Também evita o bloqueio de fornecedores e permite que as organizações iniciem sua jornada de ZT em áreas nas quais atualmente podem ter os maiores riscos de exposição, como redes, identidades e gerenciamento de acesso.

Uma vez que as áreas iniciais de preocupação tenham sido abordadas, outras áreas de foco da ZT, como dados, cargas de trabalho e dispositivos, podem ser abordadas. Desenvolver uma estratégia de ZT, realizar uma avaliação de maturidade e lacunas de ZT e criar um plano de implementação faseada são fundamentais para uma implantação bem-sucedida da ZT.

O futuro da confiança zero

A supremacia quântica refere-se ao ponto em que um computador quântico faz de forma confiável algo que nenhum computador convencional pode fazer em um período razoável de tempo, por exemplo, quebrar algoritmos de criptografia assimétrica amplamente utilizados em tempo recorde. Isso representa um risco único para o comércio global, empresas, consumidores e segurança nacional, pois efetivamente torna inúteis muitas de nossas melhores tecnologias de segurança de dados e comunicação segura.

A preparação para a chegada do Dia Quântico pode contar com estratégias de ZT à medida que as nações trabalham para se preparar para os riscos cibernéticos que inevitavelmente acompanharão esses avanços da computação. Embora não se preveja que o Q-Day chegue por mais cinco a 10 anos, a preparação requer ação imediata.

O princípio da ZT é simples: não confie em ninguém, mesmo que trabalhe para sua empresa, pois os funcionários podem deixar os dados da organização vulneráveis e acessíveis por violação. Provavelmente as organizações levarão vários anos para realmente alcançar uma segurança ZT abrangente e multinível, por isso é melhor começar agora do que esperar até que seja tarde demais para remediar.

Como indivíduos, organizações e agora agências federais reconhecem o Mês de Conscientização sobre Segurança Cibernética, implementar confiança zero certamente será uma prioridade máxima não apenas em outubro, mas todos os meses e dias seguintes.

FONTE: HELPNET SECURITY

Previous post Ataques BEC: os últimos truques dos golpistas
Next post A importância do gerenciamento de crises na era do ransomware

Deixe um comentário