/
Segmentación de confianza cero

Cómo las agencias federales pueden crear un proyecto piloto de confianza cero

Hablé con un Jefe de la Rama de Operaciones de Seguridad Federal en una agencia civil la semana pasada. Zero Trust sigue captando su atención, especialmente en el punto final. Quiere sumergirse en los principios de Confianza Cero cuando el día inevitable venga de la oficina del CIO de que debe implementar un Arquitectura Zero Trust. También transmitió que su CIO tiene presiones sobre el cumplimiento de normas sobre los HVAs (activos de alto valor) de la agencia. Incluso este jefe de sucursal tiene su propio subconjunto de HVA. Estoy seguro de que esta presión tiene algo que ver con querer mejorar su puntaje general de FISMA, ya que parte del cuadro de mando específicamente llama a los HVA.

Si bien hay un “zumbido” en torno a Zero Trust en esta agencia, ponerse manos a la obra en términos de seleccionar un evento o caso de uso claramente definido para iniciar un proyecto puede ser abrumador. Esto me recuerda a alguien con ganas de escribir una novela y no saber por dónde ni cómo empezar. Si bien aprender los principios de la escritura siempre es bueno, nunca será suficiente, al igual que solo conocer los principios de Zero Trust nunca será suficiente. Es en la escritura misma que uno comienza a desarrollar el hábito y la consistencia de la escritura. Si quieres escribir una novela, entonces mantén un diario para la consistencia y busca la oportunidad de escribir artículos o incluso cuentos cortos para ampliar tus habilidades de escritura.

Si desea implementar Zero Trust en su organización, comience por determinar las prioridades de seguridad críticas y las capacidades actuales de Zero Trust. Defina cómo se vería el estado final deseado de Zero Trust. Cuando tiene un problema de Zero Trust de alcance limitado, objetivos y resultado deseado, es más fácil solicitar el apoyo de sus partes interesadas clave.

El NIST 800-207 indica lo mismo cuando dice que Zero Trust es un viaje, y el objetivo debería ser implementar Zero Trust de manera incremental. No querrás desbordarte más tarde al tratar de escribir esa novela sin un cuento o dos en tu haber. ¿Por qué esperar un evento externo convincente como una brecha, malware o un ataque de día cero? Comienza tu proyecto piloto Zero Trust hoy mismo.

Con el fin de recomendar un buen lugar para iniciar el proyecto piloto Zero Trust del jefe de sucursal de agencia, quería saber más sobre sus HVA —y la importancia de mejorar la visibilidad de los HVA—, sus componentes y conexiones legítimas. Algunas preguntas clave son:

  1. ¿Qué aplicaciones se consideran HVAs?
  2. ¿Cuáles son los componentes de aplicación de estos HVA?
  3. ¿Cómo es el nivel de aplicación, las redes y la infraestructura de cómputo?
  4. ¿Está utilizando aplicaciones en contenedores?
  5. ¿Cuáles son las conexiones legítimas de aplicación/carga de trabajo al HVA?
  6. ¿Cuáles son las conexiones legítimas de usuario final y endpoint al HVA?

La visibilidad y los datos precisos sobre los componentes y las conexiones a los HVA son esenciales. Las respuestas a estas preguntas ayudarán a responder el tema de “¿por dónde empezar?”

Una vez que han reducido las aplicaciones de HVA, el siguiente paso es medir las capacidades existentes de Zero Trust.

El enfoque actual de la agencia para asegurar sus HVA revela sus puntos ciegos y apunta a oportunidades para habilitar Zero Trust.

Debido a la rápida transición al trabajo remoto, también fue importante comprender cómo evolucionó su postura de seguridad de HVA.

Le pedí al jefe de sucursal que me contara más sobre sus puntos finales. Actualmente la sucursal está implementando Carbon Black EDR para la detección de amenazas. Como sabrá, Carbon Black registra y almacena continuamente datos de punto final para que operaciones de seguridad los profesionales pueden visualizar amenazas en tiempo real para una “cadena de muerte de ataque”. En la mayoría de los casos, una vez que el ataque ya ha ocurrido, puede ser demasiado tarde. Su misión podría verse comprometida o sus datos ya exfiltrados.

Para implementar de verdad Zero Trust en el punto final, debe detener el malware antes de que se ejecute y, lo que es más importante, evitar que el malware se propague lateralmente. La agencia puede aumentar sus inversiones en endpoints y EDR controlando proactivamente las conexiones entrantes punto a punto final mediante el uso de una “lista permitida” de conexiones legítimas y negando todo lo demás. Este es el corazón de Zero Trust en el punto final. Ciertamente tiene la oportunidad de iniciar un proyecto piloto Zero Trust en los puntos finales de la sucursal.

Cuando indacé un poco más sobre los HVA en el contexto de los ataques de movimiento lateral dentro de su centro de datos y entorno de nube, el jefe de la sucursal señaló que la pérdida o corrupción tendría un grave impacto en la capacidad de la sucursal para realizar su misión. Los HVA son una combinación de años de datos acumulados. Las aplicaciones involucradas tienen que ver con el análisis y visualización de estos datos. A la fecha, la mayoría de sus inversiones en Zero Trust se enfocaron en perímetro segmentación de red y sobre la identidad del usuario y el control de acceso. Estas soluciones no abordan las debilidades de una red interna abierta y plana.

Si es adherente a una verdadera arquitectura Zero Trust, debe asumir que ya se ha producido una violación. Una vez que el paquete esté dentro del perímetro de su red, los actores maliciosos se dirigirán directamente a sus HVAs sin que nada se interponga en su camino. Claramente, asegurar el tráfico este-oeste de los HVA es otra área donde un proyecto piloto Zero Trust puede comenzar ahora.

Hemos identificado los puntos finales y HVA de su sucursal como dos áreas para iniciar un proyecto piloto Zero Trust.

El siguiente paso es contar el número de endpoints y el número de cargas de trabajo y aplicaciones que formarán parte del proyecto piloto. Un pequeño proyecto piloto puede tener tan solo 50 cargas de trabajo y puntos finales o hasta unos pocos cientos, y el piloto implicará la segmentación y microsegmentación de estos ítems. La clave es no sentirse abrumado por ninguna complejidad potencial.

Siguiente paso: microsegmentación basada en host

El siguiente paso es cargar lo que NIST 800-207, sección 3.1.2 llama “microsegmentación basada en host usando agentes de software”. Con Illumio solución, cargas un peso ligero agente de software en cada carga de trabajo, aplicación o servidor. El agente simplemente informa el contexto y la telemetría en su red a un “cerebro central” que crea un mapa básico de dependencia de aplicaciones en tiempo real. Este mapa es de importancia crítica desde el punto de vista del monitoreo, ya que se mapea al NIST 800-53 y al RMF (marco de administración de riesgos). El primer 'bucket' de RMF es identificar, que proporciona mapeo de dependencia de aplicaciones en tiempo real para hacer cumplir microsegmentación política. Necesita ver lo que sucede en su red, desde una perspectiva de aplicación y carga de trabajo, antes de poder mejorar o aplicar una política de confianza cero.

Puede llevar menos de cinco días implementar un proyecto piloto Zero Trust utilizando la microsegmentación basada en host, especialmente si el alcance y los resultados deseados están bien definidos y hay capacitación para mostrar a la persona encargada de este piloto las formas más eficientes de proceder.

La única vacilación del jefe de sucursal se debía a las limitaciones de recursos. No tenía una persona a la que dedicarle a este esfuerzo. ¿Vale la pena una inversión de tres a cinco días para expandir tu escritura a un hábito — para expandir tu conocimiento de Zero Trust desde estudiar hasta implementar realmente?

Además de un alcance bien definido, tener un resultado claramente definido y medible es importante para vender internamente su proyecto piloto Zero Trust. Las mejoras en áreas específicas de los puntajes del CIO de FISMA son solo uno de los resultados deseados y las medidas del éxito del proyecto que la agencia podría querer considerar. Por ejemplo, la sucursal de la agencia puede utilizar el Illumio reporting de tráfico para validar la identidad y el alcance de los componentes y conexiones de la aplicación HVA y utilizar la microsegmentación como control compensador, mejorando sus puntuaciones de protección. También puede usar Illumio mapas de vulnerabilidad para validar si un sistema vulnerable puede ser utilizado como vía de ataque lateral, mejorando aún más sus puntuaciones FISMA. Estas métricas y visibilidad son aún más importantes con los recientes hackeos a las redes gubernamentales de Estados Unidos.

Una vez que implemente su proyecto piloto Zero Trust y demuestre los resultados deseados medibles, expandirlo es muy sencillo: agregar aplicaciones adicionales, cargas de trabajo y puntos finales hasta que haya escrito su novela: una arquitectura Zero Trust para toda la agencia.

Para obtener más información sobre cómo Illumio puede ayudar a las agencias federales a asegurar activos de alto valor y acelerar Zero Trust, visite el página de soluciones federales.

Temas relacionados

Artículos relacionados

Seguridad de redes en la era de los contenedores
Segmentación de confianza cero

Seguridad de redes en la era de los contenedores

A medida que los contenedores, las plataformas de orquestación y las mallas de servicio ganan tracción, lea este blog para obtener una mejor comprensión de estos conceptos y más.

Lo que las organizaciones quieren de sus proveedores de segmentación de confianza cero
Segmentación de confianza cero

Lo que las organizaciones quieren de sus proveedores de segmentación de confianza cero

Zero Trust está ganando terreno en todo el mundo como un enfoque de mejores prácticas para mitigar el riesgo cibernético grave.

Su Guía de Illumio en AWS Re:Inforce 2024
Segmentación de confianza cero

Su Guía de Illumio en AWS Re:Inforce 2024

Visita Illumio en el stand 901 en el Centro de Convenciones de Pensilvania en Filadelfia del 10 al 12 de junio de 2024.

No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?