Como as agências federais podem criar um projeto piloto Zero Trust
Falei com um chefe federal de operações de segurança em uma agência civil na semana passada. Zero Trust continua chamando sua atenção, especialmente no terminal. Ele quer mergulhar nos princípios do Zero Trust quando chegar o dia inevitável do escritório do CIO em que ele deve implementar uma Arquitetura Zero Trust. Ele também relatou que seu CIO tem pressões de conformidade sobre os HVAs (ativos de alto valor) da agência. Até mesmo esse chefe de filial tem seu próprio subconjunto de HVAs. Tenho certeza de que essa pressão tem a ver com o desejo de melhorar sua pontuação geral no FISMA, já que parte do scorecard chama especificamente os HVAs.
Embora haja um “burburinho” em torno do Zero Trust nessa agência, ir direto ao assunto em termos de selecionar um evento ou caso de uso claramente definido para iniciar um projeto pode ser complicado. Isso me lembra de alguém querendo escrever um romance e não saber por onde ou como começar. Embora aprender os princípios da escrita seja sempre bom, nunca será suficiente, assim como conhecer apenas os princípios do Zero Trust nunca será suficiente. É na escrita em si que se começa a desenvolver o hábito e a consistência da escrita. Se você quiser escrever um romance, mantenha um diário para manter a consistência e busque a oportunidade de escrever artigos ou até mesmo contos para expandir suas habilidades de escrita.
Se você quiser implementar o Zero Trust em sua organização, comece descobrindo as prioridades críticas de segurança e os recursos atuais do Zero Trust. Defina como seria o estado final do Zero Trust desejado. Quando você tem um problema, objetivos e resultados desejados de Zero Trust com escopo restrito, é mais fácil solicitar o apoio de suas principais partes interessadas.
O NIST 800-207 afirma isso quando diz que o Zero Trust é uma jornada, e o objetivo deve ser implementar o Zero Trust de forma incremental. Você não quer se surpreender mais tarde tentando escrever esse romance sem um ou dois contos em seu currículo. Por que esperar por um evento externo convincente, como uma violação, um malware ou um ataque de dia zero? Comece seu projeto piloto Zero Trust hoje mesmo.
Para recomendar um bom lugar para começar o projeto piloto Zero Trust do chefe da filial da agência, eu queria saber mais sobre seus HVAs — e a importância de melhorar a visibilidade dos HVAs — seus componentes e conexões legítimas. Algumas perguntas importantes são:
- Quais aplicativos são considerados HVAs?
- Quais são os componentes de aplicação desses HVAs?
- Qual é a aparência do nível do aplicativo, da rede e da infraestrutura computacional?
- Você está usando aplicativos em contêineres?
- Quais são as conexões legítimas de aplicativo/carga de trabalho com o HVA?
- Quais são as conexões legítimas do usuário final e do terminal com o HVA?
Visibilidade e dados precisos sobre os componentes e as conexões dos HVAs são essenciais. As respostas a essas perguntas ajudarão a responder à questão de “por onde começar?”
Depois de reduzirem as aplicações de HVA, a próxima etapa é avaliar os recursos existentes do Zero Trust.
A abordagem atual da agência para proteger seus HVAs revela seus pontos cegos e aponta oportunidades para viabilizar o Zero Trust.
Devido à rápida transição para o trabalho remoto, também era importante entender como sua postura de segurança HVA evoluiu.
Pedi ao chefe da filial que me falasse mais sobre seus endpoints. Atualmente, a filial está implementando o Carbon Black EDR para detecção de ameaças. Como você deve saber, o Carbon Black registra e armazena continuamente os dados do endpoint para que operações de segurança profissionais podem visualizar ameaças em tempo real para uma “cadeia de ataques e mortes”. Na maioria dos casos, uma vez que o ataque já tenha ocorrido, pode ser tarde demais. Sua missão pode estar comprometida ou seus dados já foram exfiltrados.
Para realmente implementar o Zero Trust no endpoint, você deve interromper o malware antes que ele seja executado e, o mais importante, impedir que o malware se espalhe lateralmente. A agência pode aumentar seus investimentos em endpoints e EDR controlando proativamente as conexões peer-to-peer de entrada com os endpoints usando uma “lista de permissões” de conexões legítimas e negando todo o resto. Esse é o cerne do Zero Trust no endpoint. Ele certamente tem a oportunidade de iniciar um projeto piloto do Zero Trust nos terminais da filial.
Quando me aprofundei um pouco mais sobre os HVAs no contexto de ataques de movimento lateral em seu data center e ambiente de nuvem, o chefe da filial observou que a perda ou a corrupção teriam um sério impacto na capacidade da filial de cumprir sua missão. Os HVAs são uma combinação de anos de dados acumulados. As aplicações envolvidas têm a ver com a análise e visualização desses dados. Até o momento, a maioria de seus investimentos na Zero Trust se concentrou no perímetro segmentação de rede e sobre identidade do usuário e governança de acesso. Essas soluções não abordam os pontos fracos de uma rede interna aberta e plana.
Se você segue uma verdadeira arquitetura Zero Trust, deve presumir que uma violação já ocorreu. Quando o pacote estiver dentro do perímetro da rede, agentes mal-intencionados irão direto para seus HVAs sem nada atrapalhando. Claramente, proteger o tráfego leste-oeste de HVAs é outra área em que um projeto piloto da Zero Trust pode começar agora.
Identificamos os endpoints e os HVAs de sua filial como duas áreas para iniciar um projeto piloto do Zero Trust.
A próxima etapa é contar o número de endpoints e o número de cargas de trabalho e aplicativos que farão parte do projeto piloto. Um pequeno projeto piloto pode ter apenas 50 cargas de trabalho e terminais ou até algumas centenas, e o piloto envolverá a segmentação e a microssegmentação desses itens. O segredo é não se deixar levar por nenhuma complexidade potencial.
Próxima etapa: microssegmentação baseada em host
A próxima etapa é carregar o que o NIST 800-207, seção 3.1.2, chama de “microssegmentação baseada em host usando agentes de software”. Com Illumio's solução, você carrega um peso leve agente de software em cada carga de trabalho, aplicativo ou servidor. O agente simplesmente reporta o contexto e a telemetria da sua rede para um “cérebro central” que cria um mapa básico de dependência de aplicativos em tempo real. Este mapa é extremamente importante do ponto de vista do monitoramento, pois mapeia o NIST 800-53 e o RMF (estrutura de gerenciamento de riscos). O primeiro 'bucket' RMF é identificar, fornecendo mapeamento de dependências de aplicativos em tempo real para aplicar microssegmentação política. Você precisa ver o que está acontecendo em sua rede — do ponto de vista do aplicativo e da carga de trabalho — antes de poder melhorar ou aplicar uma política de Zero Trust.
Pode levar menos de cinco dias para implementar um projeto piloto do Zero Trust usando microssegmentação baseada em host, especialmente se o escopo e os resultados desejados estiverem bem definidos e houver treinamento para mostrar à pessoa encarregada desse piloto as formas mais eficientes de prosseguir.
A única hesitação do chefe da filial foi devido às limitações de recursos. Ele não tinha uma pessoa para se dedicar a esse esforço. Vale a pena investir de três a cinco dias para transformar sua escrita em um hábito — para expandir seu conhecimento sobre o Zero Trust, desde o estudo até a implementação?
Além de um escopo bem definido, ter um resultado claramente definido e mensurável é importante para vender internamente seu projeto piloto Zero Trust. Melhorias em áreas específicas das pontuações de CIO da FISMA são apenas um dos resultados desejados e medidas de sucesso do projeto que a agência pode querer considerar. Por exemplo, a filial da agência pode usar o Illumio relatórios de tráfego validar a identidade e o escopo dos componentes e conexões do aplicativo HVA e usar a microssegmentação como um controle compensador, aprimorando suas pontuações de proteção. Ele também pode usar o Illumio mapas de vulnerabilidade para validar se um sistema vulnerável pode ser usado como uma via de ataque lateral, aprimorando ainda mais suas pontuações no FISMA. Essas métricas e visibilidade são ainda mais importantes com os recentes ataques às redes do governo dos EUA.
Depois de implementar seu projeto piloto Zero Trust e demonstrar os resultados desejados mensuráveis, expandi-lo é muito simples: adicionar aplicativos, cargas de trabalho e endpoints adicionais até que você tenha escrito seu romance: uma arquitetura Zero Trust para toda a agência.
Para saber mais sobre como a Illumio pode ajudar agências federais a garantir ativos de alto valor e acelerar o Zero Trust, visite o página de soluções federais.