Sean Connelly compartilha como o Zero Trust modernizou a cibersegurança federal

A Agência de Segurança Cibernética e de Infraestrutura (CISA) está na vanguarda da defesa da infraestrutura crítica dos EUA contra a evolução das ameaças cibernéticas. Também tem sido um ator fundamental para ajudar o governo federal a desenvolver sua segurança cibernética de uma estratégia tradicional baseada em perímetros para uma abordagem moderna de Zero Trust.

Em um episódio recente do podcast The Segment: A Zero Trust Leadership, conversei com um dos principais arquitetos por trás dessa mudança para o Zero Trust: Sean Connelly, ex-diretor da Zero Trust Initiative da CISA. Ele ofereceu uma visão sobre as mudanças transformadoras na segurança cibernética federal, a evolução dos perímetros de rede e conselhos práticos para qualquer pessoa que embarque em uma jornada de Zero Trust.

Continue lendo para obter uma recapitulação de nossa discussão.

Sobre Sean Connelly

Sean é uma figura importante em segurança cibernética federal, desempenhando um papel crucial na formulação de iniciativas na CISA na última década. Ele desenvolveu o modelo de segurança cibernética Zero Trust, essencial para a estratégia de defesa do governo federal. Ele também liderou o desenvolvimento do primeiro Modelo de Maturidade Zero Trust e foi coautor da Arquitetura Zero Trust do NIST.  

No início deste ano, ele lançou o Escritório da CISA Zero Trust Initiative para fornecer às agências governamentais o treinamento e os recursos necessários para fortalecer suas medidas de segurança cibernética.

Como a CISA ajudou a modernizar a segurança cibernética federal

Em meados dos anos 2000, as redes das agências federais estavam crescendo rapidamente e as conexões de rede com a Internet aumentaram para um número alarmante. A superfície de ataque estava crescendo. Sean reconheceu que o governo federal precisava encontrar uma maneira de reduzir os riscos em todo o governo federal.

Sean e a equipe da CISA fizeram uma parceria com outras agências de segurança cibernética dos EUA para criar a iniciativa Trusted Internet Connections (TIC) em 2007. O objetivo era limitar o número de gateways nas redes governamentais. Ele exige que todo o tráfego federal da Internet seja roteado por meio de uma agência aprovada pela TIC.  

Inicialmente, o foco era proteger o perímetro da rede, que dependia de um modelo tradicional de rede hub-and-spoke. Mas com o tempo, líderes federais de segurança cibernética, como Sean, perceberam que precisavam de uma abordagem mais descentralizada e focada em dados com o surgimento da tecnologia móvel e de nuvem.  

“Mesmo naquela época, a Cisco e o Jericho Forum mencionaram a necessidade de uma perimetrização profunda”, explicou. “Um de seus mandamentos era: 'Quanto mais você puder colocar a segurança perto dos dados, melhor ela ficará'. E isso faz sentido, certo?”

O TIC evoluiu para 2.0 e, eventualmente, 3.0, o que agora incentiva as agências a adotarem serviços em nuvem e Zero Trust para se protegerem contra o complexo cenário de ameaças atual. O TIC 3.0 se concentra em uma abordagem mais flexível e baseada em riscos do que as versões anteriores do programa TIC.  

Sean chamou o TIC 3.0 de “nova jornada” para a segurança cibernética federal. Isso levou a um maior equilíbrio entre segurança de dados e segurança de rede. Esse também foi um marco importante na adoção pelo governo federal de uma abordagem de Zero Trust.

Construindo o modelo de maturidade Zero Trust da CISA

Uma parte importante dessa “nova jornada” foi dar às agências informações práticas sobre a construção do Zero Trust. O Zero Trust exigiu uma mudança de mentalidade para as agências, mas os líderes das agências também precisavam de detalhes táticos sobre como realizar o Zero Trust.

Sean liderou os esforços da CISA para criar o Modelo de Maturidade de Confiança Zero (ZTMM), publicado em 2021. O ZTMM é um dos roteiros mais importantes que as agências federais podem usar à medida que avançam em direção ao Zero Trust.

O ZTMM é um marco importante na adoção do Zero Trust pelo governo federal. Isso ocorre porque ele fornece uma linguagem comum para as agências quando elas criam seus planos Zero Trust. Sean reconheceu a necessidade de uma orientação precisa quando se trata de construir o Zero Trust. Na época, cada agência tinha uma compreensão diferente do Zero Trust. Estava causando confusão sobre como era o Zero Trust na prática e como ele se aplicava aos mandatos federais de segurança. Ele observou: “Você pode colocar linguagem na política, mas as agências ainda querem saber: 'É isso que você realmente quer dizer? '”

Depois de lançar a primeira versão, a CISA se juntou a outras agências cibernéticas e PMEs para discutir, agência por agência, o progresso e a maturidade do Zero Trust. Isso resultou em mais de 100 reuniões, incluindo aquelas com fornecedores, universidades e governos internacionais. A CISA adicionou esse feedback à segunda versão do ZTMM, publicada em 2022.

“Isso ressoou”, disse Sean, refletindo sobre o número de vezes que ele viu o gráfico de montanha da ZTMM em apresentações e artigos. “Acho que a provocação, porém, é que quando você chega ao cume daquela montanha, é realmente uma cordilheira.”

Sean enfatizou que o Zero Trust nunca está completo; é uma jornada contínua. “Vamos mover a bandeira, vamos mover os postes em algum momento à medida que a tecnologia evolui”, explicou ele. “Sempre precisamos adicionar novas formas de construir o Zero Trust.” Para esse fim, Sean vê o ZTMM como um documento vivo que deve refletir continuamente o estado atual da segurança cibernética.  

5 passos para o Zero Trust

De acordo com Sean, se ele entrasse em uma reunião com pessoas que estão começando sua jornada com o Zero Trust, ele recomendaria que começassem com o relatório Zero Trust do NSTAC. Este guia, criado junto com John Kindervag, criador do Zero Trust e evangelista-chefe da Illumio, descreve cinco etapas para criar um programa Zero Trust.  

Aqui está um resumo das cinco etapas que discutimos:

1. Defina a superfície de proteção: identifique o que precisa de proteção.

2. Mapeie fluxos de transações: documente os fluxos de dados e comunicação em sua organização, incluindo sistema, cliente-servidor e interações organizacionais.

3. Crie a arquitetura: desenvolva uma arquitetura de segurança centrada em dados com medidas de segurança próximas aos ativos protegidos, utilizando sinais da rede, dos dispositivos hospedeiros e da identidade.

4. Crie políticas dinâmicas: estabeleça políticas adaptáveis que respondam às mudanças nas condições, considerando as interações cliente-servidor e organizacionais.

5. Manifeste, monitore e mantenha: crie, monitore continuamente e mantenha o ambiente Zero Trust para garantir segurança e conformidade contínuas.

Ouça, assine e analise o podcast The Segment: A Zero Trust

Quer saber mais? Ouça o episódio completo com Sean em nosso site, Apple Podcasts, Spotify ou onde quer que você obtenha seus podcasts. Você também pode ler a transcrição completa do episódio. 

Voltaremos com mais informações sobre o Zero Trust em breve!