.png)
3 conclusões sobre Zero Trust da Ordem Executiva 14028
Em maio de 2021, o governo Biden emitiu a Ordem Executiva (EO) 14028, encarregando as agências federais da tarefa de aprimorar a segurança cibernética e recomendar especificamente as práticas de segurança Zero Trust.
O EO veio logo após a pandemia da COVID-19, que acelerou a transformação digital de muitas organizações nos setores público e privado. Quase da noite para o dia, as organizações migraram para o trabalho remoto e a migração para a nuvem se tornou um requisito mais imediato.
Além disso, vários ataques cibernéticos de alto perfil impactaram significativamente as cadeias de suprimentos, incluindo SolarWinds, Colonial Pipeline e JBS meat processing.
Agora, um ano após a EO 14028, é possível olhar para trás e ver qual progresso foi feito na implementação do Zero Trust em agências federais.
Assista ao webinar aqui:
Continue lendo para aprender as três principais conclusões da discussão.
A EO 14028 ajudou a aumentar a implementação do Zero Trust
Tanto Barlet quanto Chaillan concordam que houve progresso em direção ao Zero Trust desde a ordem executiva de maio passado. O pedido ajudou equipes de segurança de agências federais — e organizações privadas — a continuar as discussões e obter financiamento para iniciativas do Zero Trust.
Como disseram Barlet e Chaillan, “Uma ordem executiva nunca é demais”.
Mais importante ainda, as equipes de segurança agora têm evidências apoiadas pelo governo para as estratégias de segurança Zero Trust.
“É muito mais útil para aqueles que estão tentando implementar o Zero Trust ter algo para apontar e usar como referência”, disse Barlet.
E para muitas agências, as discussões sobre o Zero Trust começaram com a ordem executiva. De acordo com Challain, isso ajudou a mudar a opinião das pessoas sobre o Zero Trust, afastando o consenso dos modelos tradicionais de segurança cibernética para as melhores práticas modernas.
Isso segue o crescente sucesso do setor privado da Zero Trust nos últimos anos — e mostra até que ponto o governo federal e os militares estão atrasados em segurança cibernética.
“Os próximos dois anos serão uma época interessante com mais sucessos do Zero Trust. É uma mudança de mentalidade necessária para seguir em frente para ter sucesso”, explicou Barlet.
Agências federais usam o Zero Trust para minimizar o impacto de violações inevitáveis
Além de uma ordem executiva, o Zero Trust tem benefícios reais para proteger as organizações contra as sofisticadas ameaças cibernéticas atuais.
As ferramentas de segurança antigas se concentraram no perímetro, mas a natureza dispersa e hiperconectada das redes modernas significa que o perímetro não existe mais como antes. Isso deixa as redes vulneráveis a ataques.
“História após história, ano após ano, ouvimos pessoas gastando todo esse dinheiro tentando evitar uma violação, mas não há discussão sobre o que acontece depois que uma violação ocorre”, disse Barlet.
Uma estratégia Zero Trust pressupõe que as violações ocorrerão e oferece maneiras de mitigar o impacto de um ataque quando ele ocorrer.
No entanto, tanto Barlet quanto Challain concordam que houve alguma confusão sobre o que significa Zero Trust na prática — e como ele se encaixa nas arquiteturas de segurança existentes.
“O Zero Trust parece sugerir que você não tentará evitar violações — e esse não é o caso”, explicou Barlet. “Não vamos desistir de tentar evitar uma violação, mas também vamos planejar esse único erro ou vulnerabilidade que permite que uma violação entre e como podemos evitar um ataque catastrófico.”
No geral, Barlet e Challain recomendaram que as agências obtivessem visibilidade dos fluxos de rede, desativassem a comunicação desnecessária e implementassem a Segmentação Zero Trust, também conhecida como microssegmentação, para limitar a propagação de uma violação.
Segmentação Zero Trust para agências federais: basta começar em algum lugar
Embora a ideia de segmentar a rede já exista há anos, Barlet e Challain discutiram como as amplas redes atuais tornam quase impossíveis os métodos tradicionais de segmentação usando endereços IP ou VLANs. Ambos defendem que a segmentação seja em uma escala muito menor.
Em particular, Barlet disse que as redes exigem a segmentação Zero Trust para se protegerem contra o número cada vez maior de usuários, aplicativos e ambientes que abrem vulnerabilidades para a entrada de invasores.
Apesar da necessidade urgente de segmentação Zero Trust, Barlet e Challain observaram que muitas agências estão sobrecarregadas com o processo.
“Você precisa saber quem está acessando o quê, onde e quando. Em seguida, você precisa saber quais desses fluxos de comunicação são desnecessários e podem ser bloqueados. Quando você responde a todas essas perguntas como um todo, é muito assustador”, disse Barlet.
Não há necessidade de concluir um projeto inteiro de Segmentação Zero Trust de uma só vez. Barlet e Challain recomendam uma abordagem incremental para evitar altos custos, confusão e potencial inchaço administrativo.
“Não tente fazer tudo de uma vez. Basta começar em algum lugar”, disse Barlet.
Ao estreitar o escopo de um projeto de segmentação Zero Trust no início, Barlet e Challain concordaram que as agências podem:
- Evite ficar impressionado com os detalhes.
- Melhore imediatamente sua postura de cibersegurança.
- Tenha a oportunidade de provar a eficácia do Zero Trust para iniciativas futuras.
“A única maneira de você chegar a algum lugar em sua jornada Zero Trust é começar. O sucesso gera sucesso”, disse Barlet.
Obtenha mais informações sobre Illumio e Zero Trust Segmentation:
- Saiba mais sobre como organizações governamentais podem impedir a propagação de violações com a Illumio.
- Baixe os relatórios da Forrester Wave que nomeiam a Illumio como líder em Zero Trust e microssegmentação.
- Faça a Avaliação de Impacto Zero Trust do ESG para saber como aproveitar melhor sua estratégia Zero Trust.
- Entre em contato conosco hoje para agendar uma consulta e demonstração.
