/
Resiliência cibernética

As 3 verdades do Zero Trust de John Kindervag para agências governamentais

The Federal Tech Podcast logo

Nos últimos anos, o setor público dos EUA recebeu uma infinidade de orientações sobre Confiança zero — de Modelo de maturidade Zero Trust da CISA para SEO 14028 e NIST SP 800-2007. Pode parecer uma quantidade enorme de informações para classificar ou saber por onde começar em sua agência.

É por isso que o Federal Tech Podcast foi publicado em um episódio recente com John Kindervag, padrinho e criador do Zero Trust e evangelista-chefe da Illumio, para entender as três principais verdades sobre o Zero Trust. Essas informações são vitais para ajudar as agências a encontrar e permanecer no caminho certo à medida que cumprem as Mandatos do Zero Trust.

1. Você não pode fazer Zero Trust de uma só vez

De acordo com Kindervag, um dos principais equívocos sobre o Zero Trust, especialmente no governo federal, é que você pode alcançar o Zero Trust de uma só vez e dentro de um prazo específico.

No entanto, isso está longe de ser como ele projetou a estratégia.

“É uma jornada que você segue e está nela para sempre”, explicou Kindervag.

Começar o Zero Trust agora é essencial para as agências criarem resiliência missionária. Mas saber quando sua agência alcançará o Zero Trust total é impossível porque é um esforço contínuo. Kindervag disse que as perguntas mais importantes que as agências deveriam fazer são O quê eles estão protegendo, não quando.

“Não me preocupo tanto com o tempo, mas com a implementação dos incentivos e programas corretos”, disse Kindervag.

Ele recomenda que as agências comecem por se tornarem completas, de ponta a ponta visibilidade em seu ambiente. Com essa visão, eles podem ver onde risco mentiras, priorize a proteção das áreas de maior risco e mais críticas para a missão e, em seguida, trabalhe em uma superfície de proteção por vez: “Você constrói o Zero Trust em pedaços”, disse ele.

2. Zero Trust não é difícil

A Kindervag criou a estratégia de segurança Zero Trust para ressoar em toda a organização, desde a liderança de alto nível até os profissionais de segurança. Para esse fim, a estratégia foi projetada para ser simples de entender e implementar.

“Por que todas essas pessoas estão fazendo com que o Zero Trust pareça tão difícil?” ele brincou. “É incremental. Você faz isso com uma superfície protegida de cada vez.”

Ao tornar a fiscalização um processo iterativo, as equipes de segurança podem se concentrar em um sistema, aplicativo ou recurso por vez, do mais crítico ao menos importante. Um grande benefício disso é que causa pouca ou nenhuma interrupção na missão.

“Você implementa os controles Zero Trust, uma superfície de proteção após a outra, e isso a torna ininterrupta”, explicou Kindervag. “O máximo que você pode estragar é uma superfície protegida. Você não pode estragar toda a rede ou todo o ambiente.”

3. Implemente o Zero Trust proativamente

O Zero Trust se baseia no fato de que as violações são inevitáveis; ele reflete a estratégia de segurança de melhores práticas para a superfície de ataque moderna.

“A superfície de ataque é como o universo — está em constante expansão”, disse Kindervag.

As ferramentas tradicionais de segurança de prevenção e detecção foram criadas para uma época em que os ambientes de computação eram muito menores, mais simples e todos dentro de um único perímetro. Atualmente, as redes são complexas, distribuídas e sem perímetro.

UM Arquitetura Zero Trust ajuda as agências a gerenciar o aumento do risco resultante dessa evolução. “O Zero Trust inverte o problema, reduzindo-o a algo pequeno e facilmente conhecido, chamado de superfície protegida”, explicou Kindervag.

Embora as ferramentas de prevenção e detecção ainda sejam importantes, elas não são suficientes para proteger contra ameaças cibernéticas em constante evolução. É vital que as agências criem uma segurança proativa tanto para o exterior da rede e interior. Tecnologias Zero Trust, incluindo ferramentas fundamentais como Segmentação Zero Trust (ZTS), ajudam as agências a se prepararem proativamente para violações.

“Muitas pessoas não farão nada até que algo ruim aconteça”, disse Kindervag, observando que essa é uma forma ultrapassada de pensar em segurança. “É como quando chega uma tempestade de granizo e você quer obter um seguro para seu carro. O que a seguradora diz a você? Não, é tarde demais.”

“Você precisa ficar na frente da segurança, não atrás dela”, recomendou Kindervag.

Os 5 passos para o Zero Trust

Kindervag incentiva as agências a seguirem sua processo de cinco etapas para a implementação do Zero Trust à medida que constroem a conformidade com o Zero Trust:

  1. Defina sua superfície de proteção: Você não pode controlar a superfície de ataque porque ela está sempre evoluindo, mas você pode reduzir a superfície de proteção da sua organização em partes pequenas e facilmente conhecidas. A superfície de proteção geralmente inclui um único elemento de dados, serviço ou ativo.
  1. Mapeie os fluxos de comunicação e tráfego: Você não pode proteger o sistema sem entender como ele funciona. Obter visibilidade em seus ambientes mostra onde os controles são necessários.
  1. Arquitete o ambiente Zero Trust: Depois de obter visibilidade completa da rede, você pode começar a implementar controles feitos sob medida para cada superfície protegida.
  1. Crie políticas de segurança Zero Trust: Crie políticas que forneçam uma regra granular que permita que o tráfego acesse o recurso na superfície protegida.
  1. Monitore e mantenha a rede: Injete a telemetria de volta na rede, criando um ciclo de feedback que melhora continuamente a segurança e cria um sistema resiliente e antifrágil.

A Illumio pode ajudar sua agência a seguir essas cinco etapas em sua jornada com o Zero Trust. Saiba mais sobre como apoiamos agências governamentais, e entre em contato conosco hoje para começar.

Tópicos relacionados

Artigos relacionados

Aprendizados com o MOVEit: como as organizações podem criar resiliência
Resiliência cibernética

Aprendizados com o MOVEit: como as organizações podem criar resiliência

Saiba como proteger sua organização contra a nova vulnerabilidade de dia zero no aplicativo de transferência de arquivos MOVEit.

Otimizando seus oito esforços essenciais de gerenciamento de vulnerabilidades
Resiliência cibernética

Otimizando seus oito esforços essenciais de gerenciamento de vulnerabilidades

Sistemas interconectados díspares e, agora, funcionários remotos em todo o mundo aumentam nossa exposição e oportunidade de crimes cibernéticos.

Violações do Microsoft Exchange, SolarWinds e Verkada: por que a higiene da segurança é mais importante do que nunca
Resiliência cibernética

Violações do Microsoft Exchange, SolarWinds e Verkada: por que a higiene da segurança é mais importante do que nunca

A higiene de segurança é um comportamento de segurança saudável amplificado por meio da implementação de processos de suporte e controles técnicos.

6 recomendações de especialistas sobre Zero Trust para agências governamentais
Resiliência cibernética

6 recomendações de especialistas sobre Zero Trust para agências governamentais

Veja as 6 principais recomendações do recente webinar GovExec sobre a implementação do Zero Trust e a segmentação de aplicativos.

4 fundamentos de segurança cibernética que toda agência federal deveria implementar
Resiliência cibernética

4 fundamentos de segurança cibernética que toda agência federal deveria implementar

Saiba por que os líderes de segurança cibernética estão enfatizando a mudança necessária em direção a uma mentalidade de Zero Trust para se adaptar às novas ameaças.

5 conclusões do Zero Trust do ex-CIO federal Gary Barlet
Segmentação Zero Trust

5 conclusões do Zero Trust do ex-CIO federal Gary Barlet

Saiba por que Gary Barlet, CTO federal de campo da Illumio, vê o Zero Trust como uma maneira totalmente nova de abordar a segurança cibernética, não apenas uma nova maneira de gerenciar problemas antigos de segurança.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?