A Agência de Segurança de Infraestrutura de Cibersegurança (CISA) e a Agência de Segurança Nacional (NSA) recentemente colaboraram para produzir um novo e importante documento, ” Gerenciamento de Identidade e Acesso: Melhores Práticas Recomendadas para Administradores “. Parte do Enduring Security Framework (ESF) , apresenta uma destilação de gerenciamento de acesso de identidade (AIM) e orientação de segurança cibernética apresentada pela CISA até o momento, com base nos padrões NIST . Ele foi desenvolvido especificamente para a administração de segurança da informação e gerenciamento de riscos (ISRM) e voltado para o setor privado.
A necessidade de proteger a infraestrutura crítica
Infraestrutura e serviços críticos geralmente são alvos principais de ataques cibernéticos . Não faltam atores mal-intencionados tentando causar perturbações em massa na vida e na segurança pública — seja o ataque à cadeia de abastecimento Colonial Pipeline , uma tentativa de hackear e envenenar o abastecimento de água de uma cidade da Flórida ou visando a rede elétrica da Ucrânia . Esses ataques mostram a necessidade inegável de proteger não apenas as informações, processos e sistemas mais confidenciais dos quais nossa sociedade depende, mas também as vidas digitais de milhões de pessoas em todo o mundo.
Este movimento para solidificar urgentemente a orientação de melhores práticas de segurança cibernética no setor privado é bem-vindo. Com base em como as recomendações do NIST foram adotadas em padrões e diretrizes privadas anteriores, podemos esperar que o setor regulador mais amplo considere este documento como um conjunto de ordens de fato.
Principais conclusões e comentários sobre a orientação do ESF
No geral, a orientação recente do ESF procura educar e consolidar as definições de termos comuns de segurança cibernética, iluminando as ameaças atuais, definindo termos importantes e descrevendo como manter os níveis de segurança no campo de jogo. Aqui estão algumas áreas-chave que se destacam:
Nº 1: Não se esqueça de proteger o OT. A orientação é amplamente elogiada por seu esforço para padronizar e normalizar as melhores práticas de IAM em todo o setor de TI. No entanto, ele precisa de mais esclarecimentos em algumas áreas críticas para energia, manufatura e outras organizações focadas em tecnologia operacional (OT). Embora o documento mencione segmentação de rede, autenticação multifator (MFA) e gerenciamento do ciclo de vida da identidade, ele cai na armadilha comum de se concentrar apenas na perspectiva da infraestrutura de TI.
Essas áreas precisam ser revisadas sob a ótica dos setores de manufatura e energia. A esperança é que as revisões futuras deste documento acrescentem detalhes adicionais específicos às necessidades e desafios do espaço OT, ao mesmo tempo em que chamam explicitamente a importância de proteger esses sistemas contra ameaças e mitigá-los com responsabilidade.
Nº 2: A segmentação da rede OT precisa de mais atenção. A segmentação de rede é mencionada, mas apenas como um item de lista de verificação superficial. Seria ótimo ver as versões futuras expandirem ainda mais o tópico de incluir design de rede e a necessidade de fluxos de tráfego unidirecionais e verdadeiro isolamento de rede com syslog ecoado e relatórios de telemetria para serem aproveitados como controles-chave para o espaço OT. Essas e outras considerações de design específicas de OT são frequentemente negligenciadas pelas práticas de TI maiores. Para realmente fortalecer nossa infraestrutura crítica, essas ferramentas e técnicas precisam ser destacadas com mais frequência.
Nº 3: Os programas de gerenciamento do ciclo de vida da identidade são fundamentais. Freqüentemente referido como “incorporando, mudando e abandonando”, o gerenciamento do ciclo de vida da identidade é outra área que pode usar mais expansão e orientação. À medida que as ferramentas amadurecem, um acesso mais granular pode ser atribuído. Com a adoção de práticas de confiança zero em muitos setores, a capacidade de fazer controles de acesso baseados em atributos reais torna-se mais alcançável a cada dia. Isso requer práticas de gerenciamento de identidade maduras, além de garantir os metadados necessários que somente os diretórios de usuários são capazes de manter e fornecer com eficiência.
Contas compartilhadas, especialmente aquelas com credenciais elevadas, quebram muitos controles básicos de gerenciamento de acesso. Infelizmente, eles são frequentemente necessários no espaço OT devido à idade ou limitação de configuração dos sistemas. Para garantir um programa de ciclo de vida forte, os usuários precisam de métodos de autenticação fortes e resistentes a phishing que atendam aos requisitos de alta garantia para obter acesso a essas contas compartilhadas. Isso significa alavancar tecnologias MFA que permitem métodos de identificação fortes (conforme recomendado pela CISA) — FIDO2/senha ou PIV/cartão inteligente, cofre de conta compartilhada com capacidade de checkout — incluindo relatórios baseados em tempo de quando essas contas são retiradas e recebidas, e por a quem.
Nº 4: A MFA desempenha um papel crítico em um programa de segurança cibernética . A MFA desempenha um papel central em qualquer programa de segurança cibernética bem-sucedido, e o documento de melhores práticas valida dedicando oito páginas apenas a esse tópico. Uma prática recomendada global é utilizar soluções modernas de MFA resistentes a phishing, como senhas, chaves de segurança e cartões inteligentes que utilizam autenticação moderna e segura baseada em criptografia de chave pública/privada (como WebAuthn/senha ou cartão inteligente/PIV).
Isso protege os sistemas nos portões e concede um nível mais alto de certeza ao revisar comportamentos por meio de logs. A natureza resistente a phishing desses métodos também significa que eles ajudarão a proteger contra muitos dos ataques mais comuns que permitem que os invasores ganhem posição nas redes, tanto de TI quanto de OT.
O que esta orientação significa para você e sua empresa
A nova orientação pode ser esmagadora, especialmente em termos de se perguntar como você pode aplicá-la à sua organização. Em suma, as ameaças cibernéticas modernas exigem práticas modernas de segurança cibernética. Para proteger com segurança a infraestrutura crítica, invista o mais cedo possível para proteger seus dados, sistemas e cadeia de suprimentos. Gerenciar a infraestrutura legada e modernizar a segurança cibernética pode ser um aborrecimento, mas quando você investe estrategicamente em soluções que atendem onde você está enquanto reforça sua postura, a longo prazo, faz toda a diferença manter-se protegido contra ameaças cibernéticas.
FONTE: DARKREADING