As 3 verdades do Zero Trust de John Kindervag para agências governamentais

Nos últimos anos, o setor público dos EUA recebeu uma infinidade de orientações sobre Confiança zero — de Modelo de maturidade Zero Trust da CISA para SEO 14028 e NIST SP 800-2007. Pode parecer uma quantidade enorme de informações para classificar ou saber por onde começar em sua agência.

É por isso que o Federal Tech Podcast foi publicado em um episódio recente com John Kindervag, padrinho e criador do Zero Trust e evangelista-chefe da Illumio, para entender as três principais verdades sobre o Zero Trust. Essas informações são vitais para ajudar as agências a encontrar e permanecer no caminho certo à medida que cumprem as Mandatos do Zero Trust.

1. Você não pode fazer Zero Trust de uma só vez

De acordo com Kindervag, um dos principais equívocos sobre o Zero Trust, especialmente no governo federal, é que você pode alcançar o Zero Trust de uma só vez e dentro de um prazo específico.

No entanto, isso está longe de ser como ele projetou a estratégia.

“É uma jornada que você segue e está nela para sempre”, explicou Kindervag.

Começar o Zero Trust agora é essencial para as agências criarem resiliência missionária. Mas saber quando sua agência alcançará o Zero Trust total é impossível porque é um esforço contínuo. Kindervag disse que as perguntas mais importantes que as agências deveriam fazer são O quê eles estão protegendo, não quando.

“Não me preocupo tanto com o tempo, mas com a implementação dos incentivos e programas corretos”, disse Kindervag.

Ele recomenda que as agências comecem por se tornarem completas, de ponta a ponta visibilidade em seu ambiente. Com essa visão, eles podem ver onde risco mentiras, priorize a proteção das áreas de maior risco e mais críticas para a missão e, em seguida, trabalhe em uma superfície de proteção por vez: “Você constrói o Zero Trust em pedaços”, disse ele.

2. Zero Trust não é difícil

A Kindervag criou a estratégia de segurança Zero Trust para ressoar em toda a organização, desde a liderança de alto nível até os profissionais de segurança. Para esse fim, a estratégia foi projetada para ser simples de entender e implementar.

“Por que todas essas pessoas estão fazendo com que o Zero Trust pareça tão difícil?” ele brincou. “É incremental. Você faz isso com uma superfície protegida de cada vez.”

Ao tornar a fiscalização um processo iterativo, as equipes de segurança podem se concentrar em um sistema, aplicativo ou recurso por vez, do mais crítico ao menos importante. Um grande benefício disso é que causa pouca ou nenhuma interrupção na missão.

“Você implementa os controles Zero Trust, uma superfície de proteção após a outra, e isso a torna ininterrupta”, explicou Kindervag. “O máximo que você pode estragar é uma superfície protegida. Você não pode estragar toda a rede ou todo o ambiente.”

3. Implemente o Zero Trust proativamente

O Zero Trust se baseia no fato de que as violações são inevitáveis; ele reflete a estratégia de segurança de melhores práticas para a superfície de ataque moderna.

“A superfície de ataque é como o universo — está em constante expansão”, disse Kindervag.

As ferramentas tradicionais de segurança de prevenção e detecção foram criadas para uma época em que os ambientes de computação eram muito menores, mais simples e todos dentro de um único perímetro. Atualmente, as redes são complexas, distribuídas e sem perímetro.

UM Arquitetura Zero Trust ajuda as agências a gerenciar o aumento do risco resultante dessa evolução. “O Zero Trust inverte o problema, reduzindo-o a algo pequeno e facilmente conhecido, chamado de superfície protegida”, explicou Kindervag.

Embora as ferramentas de prevenção e detecção ainda sejam importantes, elas não são suficientes para proteger contra ameaças cibernéticas em constante evolução. É vital que as agências criem uma segurança proativa tanto para o exterior da rede e interior. Tecnologias Zero Trust, incluindo ferramentas fundamentais como Segmentação Zero Trust (ZTS), ajudam as agências a se prepararem proativamente para violações.

“Muitas pessoas não farão nada até que algo ruim aconteça”, disse Kindervag, observando que essa é uma forma ultrapassada de pensar em segurança. “É como quando chega uma tempestade de granizo e você quer obter um seguro para seu carro. O que a seguradora diz a você? Não, é tarde demais.”

“Você precisa ficar na frente da segurança, não atrás dela”, recomendou Kindervag.

Os 5 passos para o Zero Trust

Kindervag incentiva as agências a seguirem sua processo de cinco etapas para a implementação do Zero Trust à medida que constroem a conformidade com o Zero Trust:

1. Defina sua superfície de proteção: Você não pode controlar a superfície de ataque porque ela está sempre evoluindo, mas você pode reduzir a superfície de proteção da sua organização em partes pequenas e facilmente conhecidas. A superfície de proteção geralmente inclui um único elemento de dados, serviço ou ativo.

2. Mapeie os fluxos de comunicação e tráfego: Você não pode proteger o sistema sem entender como ele funciona. Obter visibilidade em seus ambientes mostra onde os controles são necessários.

3. Arquitete o ambiente Zero Trust: Depois de obter visibilidade completa da rede, você pode começar a implementar controles feitos sob medida para cada superfície protegida.

4. Crie políticas de segurança Zero Trust: Crie políticas que forneçam uma regra granular que permita que o tráfego acesse o recurso na superfície protegida.

5. Monitore e mantenha a rede: Injete a telemetria de volta na rede, criando um ciclo de feedback que melhora continuamente a segurança e cria um sistema resiliente e antifrágil.

A Illumio pode ajudar sua agência a seguir essas cinco etapas em sua jornada com o Zero Trust. Saiba mais sobre como apoiamos agências governamentais, e entre em contato conosco hoje para começar.