NSA: Tempo para a cibersegurança amadurecer — maturidade de zero confiança na rede

A Agência de Segurança Nacional dos Estados Unidos (NSA) tem emitido documentos de orientação periódicos, denominados folhas de informação sobre cibersegurança (CSI), que descrevem práticas recomendadas e frameworks para alcançar objetivos de segurança específicos.

O objetivo destes documentos é ajudar as agências governamentais e os contratantes a cumprirem os objetivos da Estratégia Nacional de Cibersegurança emitida pela Casa Branca em março de 2023. No entanto, conforme declarado sob o título "Público" na NSA CSI que analisaremos aqui, "Avançar a Maturidade de Zero Trust em Toda a Rede e Pilar do Ambiente,"

Este CSI fornece orientações principalmente destinadas aos Sistemas de Segurança Nacional (NSS), ao Departamento de Defesa (DoD) e à Base Industrial de Defesa (DIB). No entanto, pode ser útil para proprietários e operadores de outros sistemas que possam ser alvo de atores maliciosos sofisticados.

E, como "atores maliciosos sofisticados" estão a visar praticamente qualquer sistema que consigam encontrar, será útil para praticamente qualquer pessoa num cargo de liderança em cibersegurança.

Os sete pilares da maturidade de zero trust

A NSA e várias organizações parceiras identificam sete "pilares de zero trust". A NSA está a publicar um CSI para cada pilar. Os pilares são:

• Utilizador: Autentique, avalie e monitorize continuamente os padrões de atividade dos utilizadores para gerir o acesso e privilégios dos utilizadores, protegendo e assegurando todas as interações.

• Dispositivo: Compreender a saúde e o estado dos dispositivos para informar decisões de risco. Inspeção, avaliação e correção em tempo real informam cada pedido de acesso.

• Aplicação e Carga de Trabalho: Proteja tudo, desde aplicações a hipervisores, incluindo a proteção de contentores e máquinas virtuais.

• Data: A transparência e visibilidade de dados são ativadas e protegidas pela infraestrutura empresarial, aplicações, normas, encriptação robusta de ponta a ponta e etiquetagem de dados.

• Rede e Ambiente: Segmentar, isolar e controlar (fisicamente e logicamente) o ambiente de rede com políticas granulares e controlos de acesso.

• Automação e Orquestração: Automatizar a resposta de segurança com base em processos definidos e políticas de segurança ativadas por IA, por exemplo, ações de bloqueio ou forçar a remediação com base em decisões inteligentes.

• Visibilidade e Análise: Analise eventos, atividades e comportamentos para derivar contexto e aplicar IA/ML para alcançar um modelo altamente personalizado que melhora o tempo de deteção e reação na tomada de decisões de acesso em tempo real.

A ideia é que as organizações devem procurar implementar e atualizar continuamente os controlos de confiança zero em todos os sete pilares, a fim de alcançar segurança ideal contra esses atores maliciosos sofisticados e minimizar o risco de violações e roubos de dados potencialmente muito dispendiosos.

Confiança Zero para o pilar de Rede e Ambiente

A Introdução ao pilar de Rede e Ambiente (N&E) do CSI descreve um exemplo de uma violação de dados devastadora que poderia ter sido evitada pela implementação de práticas de confiança zero.

Em resumo, criminosos adquiriram credenciais de login de uma empresa de HVAC que prestava serviços a um grande retalhista. Para monitorizar o sistema de HVAC do seu cliente, esta empresa tinha recebido credenciais para aceder à rede do cliente. Os criminosos conseguiram, assim, fazer o mesmo. E, como o retalhista não tinha segmentação adequada e políticas de controlo de acesso, carregaram malware no sistema POS do retalhista e roubaram informações de cerca de 40 milhões de cartões de débito e crédito.

A Introdução continua:

A segurança de rede tradicional tem enfatizado uma abordagem de defesa em profundidade; no entanto, a maioria das redes investe principalmente na defesa de perímetro. Uma vez dentro do perímetro da rede, os utilizadores finais, aplicações e outras entidades recebem frequentemente acesso amplo a múltiplos recursos corporativos. Se os utilizadores ou componentes da rede forem comprometidos, atores maliciosos podem obter acesso a recursos críticos a partir de dentro ou fora da rede. Idealmente, as organizações devem gerir, monitorizar e restringir os fluxos de tráfego internos e externos.

Por outras palavras, é fundamental reconhecer que a defesa perimetral é inadequada por si só. Ou, mais diretamente, é hora de os profissionais de cibersegurança amadurecerem e começarem a levar a sério a defesa em profundidade.

O restante do ICS fornece explicações detalhadas sobre como se preparar e alcançar maturidade básica, intermédia e avançada, em quatro aspetos diferentes da segurança de zero confiança na rede e no ambiente:

• Mapeamento de fluxo de dados—Identifica a rota que os dados percorrem dentro de uma organização e descreve como esses dados se transformam de uma localização ou aplicação para outra.

• Macro segmentação—Fornece controlo de alto nível sobre o tráfego que se desloca entre várias áreas da rede de uma organização, dividindo uma rede em múltiplos componentes discretos, cada um suportando um requisito de segurança diferente.

• Micro segmentação—Fornece segurança a um nível granular, dividindo uma parte da rede em componentes menores para limitar como os dados fluem lateralmente através de políticas de acesso rigorosas.

• Rede Definida por Software—Oferece vantagens únicas em termos de granularidade através da micro segmentação, adaptabilidade e gestão centralizada de políticas. A integração de componentes SDN na infraestrutura existente também pode permitir a monitorização e alerta de segurança personalizáveis.

Como a Barracuda pode ajudar

A menos que esteja muito à frente na implementação de zero trust nos sete pilares, recomendo vivamente que obtenha os "ICSs de Avanço na Maturidade do Zero Trust" que a NSA está a lançar. São claros e concisos, e proporcionam um roteiro valioso e gerível para alcançar segurança de zero trust madura em cada um dos pilares.

Para confiança zero na rede e no pilar ambiental, Barracuda SecureEdge pode acelerar significativamente o seu progresso ao longo dessa roadmap. É a nossa plataforma avançada Secure Access Service Edge (SASE) e integra uma variedade de funcionalidades—firewall-as-a-service avançado, controlos de zero-trust access, visibilidade e controlo do fluxo de dados, conectividade SD-WAN, e mais—que tornam extraordinariamente simples alcançar e manter ao longo do tempo todos os quatro aspectos de segurança, conforme descrito na NSA ICS.