0
0
Organizações de muitos setores estão em meio a uma jornada para implementar o modelo de segurança de confiança zero para aumentar sua postura de segurança cibernética.
Através da minha experiência trabalhando diretamente com CISOs e CIOs em várias organizações, o caminho para a confiança zero muitas vezes não é tão fácil quanto se poderia esperar. Há um botão para pressionar aqui e alcançar segurança baseada em confiança zero. Entre a necessidade de pessoal dedicado, o acordo entre uma ampla gama de partes interessadas e o orçamento adequado, a única maneira de avançar efetivamente para um modelo de confiança zero é fazê-lo iterativamente.
Por que o caminho para a confiança zero é tão difícil?
A confiança zero tem sido discutida há um bom tempo, mas muitas organizações ainda não a implementaram. Uma coisa a ter em mente é que a confiança zero não é uma ferramenta, mas uma coleção de conceitos e ideias para impor o acesso menos privilegiado.
O modelo de confiança zero fornece uma política global em toda a organização, o que o torna desafiador porque as organizações geralmente são fragmentadas, com diferentes departamentos responsáveis por diferentes controles de segurança cibernética. A única maneira de alcançar confiança zero em toda a organização é ter adesão e liderança de cima para baixo e, em seguida, construir essa colaboração em todos os departamentos. Você deve colocar todos os grupos e partes interessadas na mesma página.
Como você pode obter essa adesão e administração de um modelo de confiança zero em toda a organização?
O modelo de confiança zero deve ser posicionado como permitindo o negócio – examinando especificamente onde a automação pode reduzir o atrito e permitir um negócio mais ágil e produtivo. Se a sua organização não tiver os recursos de tecnologia atualmente disponíveis para automatizar as principais funções de segurança, como a automação do ciclo de vida do usuário, provisionamento e outros recursos de segurança, você precisará se concentrar na construção desses recursos fundamentais antes de avançar com confiança zero.
Os recursos básicos melhorarão a postura de segurança e a preparação para a resposta a ameaças necessárias para alcançar a confiança zero. Com confiança zero, o acesso é imposto para qualquer assunto que esteja acessando aplicativos ou dados. Para alcançar a verdadeira confiança zero, a decisão de acesso precisa ser baseada não apenas na identificação positiva do sujeito, mas também em outras informações contextuais (por exemplo, a integridade do ponto final que o sujeito está usando e a integridade da rede de onde a solicitação é originada). A aplicação dinâmica de políticas requer informações quase em tempo real sobre a rede e o ponto final para tomar decisões de acesso para um usuário autenticado – mesmo quando o usuário tiver as autorizações apropriadas.
Os sistemas de governança de identidade ainda serão necessários para o fornecimento de acesso de grãos grosseiros que fornecerão informações de autorização aos pontos de aplicação de políticas. Uma abordagem de confiança zero requer avaliação de risco na rede e nos pontos finais, bem como orquestração para adicionar contexto adicional exigido pelos pontos de aplicação de políticas.
Como você pode ver, a confiança zero é tão abrangente e ampla que as organizações podem sofrer de paralisia de análise: Por onde começar? Como realizar um projeto tão grande dentro de um determinado prazo e orçamento?
O que eu vi funcionar é quando ele é dividido em fases/passos através de um processo iterativo. Identifique áreas para vitórias rápidas. Por exemplo, onde a empresa tem riscos críticos e como eles podem ser minimizados? As abordagens para resolver esse desafio incluem segmentar suas redes mais sensíveis e implementar o gerenciamento de acesso à identidade. Dê um passo de cada vez, faça isso bem e depois passe para o próximo. E, claro, tudo isso deve ser transparente para as empresas/usuários.
Quais indústrias ou organizações estão à frente e avançando, enquanto outras estão apenas começando?
As organizações que vi que estão mais adiante nessa jornada são instituições financeiras e organizações mandatadas pelo governo.
As empresas financeiras têm dados confidenciais que devem ser protegidos e (mais frequentemente do que organizações em outras verticais) têm um maior nível de maturidade, recursos e equipes de segurança cibernética. Muitos outros setores ainda estão focados no básico, enquanto as instituições financeiras têm a largura de banda e os meios para continuar a evoluir e melhorar seu programa de segurança cibernética.
Com a Ordem Executiva do ano passado sobre a Melhoria da Segurança Cibernética da Nação, as agências federais foram obrigadas a mudar para um modelo de confiança zero. Cada agência agora se concentrou em mudar sua abordagem em relação à confiança explícita de ativos, identidades e redes nas quais esses usuários e ativos operam.
O prazo de 2024 é realista e onde a infraestrutura crítica deve estar em sua jornada se eles vão cumprir esse prazo?
Quando se trata de prazos para a implementação da confiança zero, bem como do prazo iminente de 2024 para as agências, conforme estabelecido no EO, as maiores questões são:
- O financiamento está lá?
- A organização tem um programa de segurança maduro com as habilidades certas (como nuvem, identidade, etc.) e recursos em vigor?
- Quais mudanças de infraestrutura são necessárias e a cadeia de suprimentos pode atender a essas necessidades? Vimos problemas na cadeia de suprimentos nos últimos dois anos em geral – isso não pode ser descontado na medida em que é realista e possível.
Em uma verdadeira arquitetura de confiança zero, várias camadas de infraestrutura precisarão compartilhar informações de risco com pontos de aplicação de políticas para permitir a aplicação de políticas de acesso dinâmico em tempo real, o que exigirá orquestração para extrair informações contextuais de todas as camadas de infraestrutura relevantes.
No final, isso significa que os padrões devem ser desenvolvidos para criar uma compreensão e interpretação comuns da pontuação de risco, para que as soluções de vários fornecedores possam compartilhar postura de segurança e informações relacionadas à confiança para tomar decisões de acesso com pontos de aplicação de políticas. Essas capacidades distribuídas de avaliação e orquestração de riscos continuarão a amadurecer e se desenvolver nos próximos anos.
FONTE: HELPNET SECURITY