0
0
O governo federal mais uma vez sinalizou que nossa abordagem tradicional de segurança cibernética, baseada exclusivamente na prevenção e nas defesas de perímetro, está falhando. Somente nos últimos dois anos, 76% das organizações foram atacadas por ransomware e 66% sofreram pelo menos um ataque à cadeia de suprimentos de software. Agora, a Agência de Segurança Cibernética e Infraestrutura (CISA) é a mais recente entidade federal a sacudir as melhores práticas de segurança cibernética — ressaltando que precisamos de mudanças drásticas para resistir ao cenário dinâmico de ameaças de hoje.
A CISA, o grupo encarregado de fortalecer nossa abordagem nacional à segurança cibernética e proteger a infraestrutura crítica, lançou um plano estratégico que descreve quatro metas que devem ser cumpridas para enfrentar os “desafios diversos e dinâmicos que nossa nação enfrenta”. O Plano Estratégico CISA 2023-25 é o primeiro do gênero para a agência, que foi fundada há quatro anos. O plano é leve em detalhes, mas é notavelmente marcado por um afastamento das abordagens tradicionais de prevenção e detecção em direção à “resiliência”.
O primeiro dos objetivos traçados pela CISA é “aumentar a capacidade dos sistemas federais de resistir a ataques cibernéticos”. As agências federais devem estar preparadas e serem capazes de se recuperar rapidamente de ataques e incidentes cibernéticos, bem como manter a continuidade da missão durante e após ataques e incidentes cibernéticos.
O fato de a agência colocar esse objetivo acima da capacidade de detectar ativamente ameaças cibernéticas (Objetivo 1.2) diz muito sobre as prioridades atuais. Em vez de se concentrar primeiro na prevenção e detecção de violações, a CISA está reconhecendo que as violações ocorrerão. Isso marca uma mudança sutil, mas dramática, no pensamento. Somente reconhecendo que ataques cibernéticos e violações são inevitáveis podemos reduzir efetivamente seu impacto.
Uma mudança marcante na prevenção
Detecção, firewalls e defesas de perímetro representam o status quo da segurança cibernética — fundamentalmente, a mesma estratégia empregada desde a era pontocom . Mas na última década, a hiperconectividade e o trabalho híbrido se tornaram a norma, expandindo drasticamente a superfície de ataque. A conclusão dolorosa da longa sequência de ataques e violações de ransomware que testemunhamos nos últimos três anos (Colonial Pipeline, Kaseya, SolarWinds e muitos outros) é que as soluções herdadas e as abordagens cibernéticas tradicionais focadas apenas em manter os malfeitores afastados não mais fornecer proteção adequada.
Se considerarmos o plano da CISA em combinação com a Ordem Executiva de maio de 2021 do governo Biden sobre como melhorar a segurança cibernética da nação , que determina que as agências federais devem implementar arquiteturas de confiança zero, fica claro que proteger nossa infraestrutura mais crítica agora é mais sobre garantir operações contínuas, proativas mitigação de riscos e resiliência do que prevenir totalmente as invasões digitais. De fato, o plano estratégico da CISA menciona a palavra “resiliência” 30 vezes.
Resistir a ataques por meio da resiliência está entre os princípios fundamentais da confiança zero , juntamente com os conceitos de presumir violação, privilégio mínimo e “nunca confie, sempre verifique”. Na verdade, a confiança zero é a resposta racional ao atual cenário de ameaças, com nossos ambientes hiperconectados e multicloud e sofisticados ciberataques mudando constantemente de estratégia.
As violações são inevitáveis hoje, mas as ferramentas e tecnologias de confiança zero são projetadas para reduzir a superfície de ataque inicial e reduzir as implicações maiores dos ataques – por exemplo, impedir que uma única violação se transforme em uma falha maior na cadeia de suprimentos.
Impulsionando mudanças reais
O plano da CISA é animador. Por um lado, é o reconhecimento de que o governo acredita que a confiança zero é o caminho a seguir. É também outra indicação de que os líderes federais de segurança levam a sério o reforço de nossa resiliência nacional no ciberespaço.
Sabemos que nossa infraestrutura crítica continuará sendo um dos principais alvos dos adversários digitais. Em 2021, de acordo com o FBI , os ataques de ransomware atingiram 649 entidades de infraestrutura crítica dos EUA e quase 90% de todos os setores de infraestrutura crítica dos EUA foram atingidos por um ataque de ransomware bem-sucedido.
Ainda assim, o diabo está nos detalhes. O plano da CISA oferece detalhes aproximados, mas metas, padrões e prazos devem ser definidos. A responsabilidade deve ser obrigatória.
Para que o plano da CISA atinja qualquer um de seus objetivos, será necessária a cooperação tanto do governo quanto das partes interessadas privadas. Alimentar esses objetivos também exigirá um compromisso com financiamento e recursos contínuos. Sem finanças e pessoal suficientes, as agências não têm largura de banda para agir de acordo com seus objetivos, muito menos ser responsabilizadas. As metas da CISA são admiráveis e um passo na direção certa, mas sem um esboço claro das prioridades de financiamento, há pouca garantia de que metas e planos como esses serão concretizados.
Os desafios cibernéticos mais assustadores de hoje se resumem a isto: a história provou que o conceito de prevenir invasões construindo fossos e muros digitais é uma fantasia. Organizações modernas – privadas ou públicas – estão fadadas a serem violadas. O que precisamos é de mais ênfase na contenção de violações, visibilidade de ponta a ponta e mais cooperação público-privada. Precisamos de mais responsabilidade e precisamos nos mover mais rapidamente em direção à confiança zero para alimentar a resiliência nacional.
FONTE: DARK READING