Compreender a nova orientação da NSA sobre Zero Trust - Pilar de Dados

Na era digital de hoje, onde as ameaças cibernéticas são cada vez mais sofisticadas, os modelos de segurança tradicionais já não são suficientes. O modelo Zero Trust, que assume que as ameaças podem estar tanto dentro como fora da rede, enfatiza a necessidade de uma verificação rigorosa para cada pedido. Reconhecendo esta mudança, a NSA emitiu uma nova orientação sobre o pilar de dados para ajudar as organizações a fortalecer a sua postura de segurança através dos princípios de Zero Trust.

Num post anterior do blog, explorámos as recomendações da NSA para o pilar de Rede e Ambiente de Zero Trust, usando uma analogia da cidade para ilustrar conceitos-chave como segmentação de rede e controlo de acesso. Hoje, continuaremos com esta analogia enquanto nos aprofundamos nos aspetos cruciais do pilar de Dados, focando em como proteger os ativos mais valiosos da cidade – os seus dados.

O Pilar de Dados: Sete Componentes Chave

A orientação da NSA sobre o pilar de Dados de Zero Trust pode ser compreendida através de sete componentes essenciais. Cada componente desempenha um papel vital na garantia de que os dados são seguros, monitorizados e controlados, tal como as diversas medidas de segurança que protegem os ativos mais valiosos de uma cidade.

1. Alinhamento de Risco do Catálogo de Dados - Inventário da Cidade e Zonas de Risco

Imagine a cidade a realizar um inventário minucioso de todos os ativos valiosos, avaliando os níveis de risco de cada um. Infraestruturas críticas, como centrais elétricas ou abastecimento de água, são classificadas e priorizadas para proteção. Da mesma forma, o Alinhamento de Risco do Catálogo de Dados envolve a identificação, classificação e priorização de ativos de dados com base na sua sensibilidade e importância. Este processo inclui a criação de um catálogo de dados abrangente com metadados, políticas de governação e detalhes de utilização de dados. Os proprietários dos dados desempenham um papel crucial em garantir que os seus dados são identificados, inventariados e categorizados no catálogo, o que ajuda a facilitar a governação e a gestão de riscos.

Benefícios:

• Visibilidade Aprimorada: Saber onde os seus dados críticos residem e o seu nível de risco ajuda a priorizar os esforços de segurança.
• Proteção Focada: Os recursos podem ser alocados para proteger os dados mais sensíveis, garantindo o máximo impacto de segurança.

2. Governança de Dados Empresariais - Regulamentos do Conselho Municipal

Assim como uma câmara municipal aplica leis e regulamentos, a Governança de Dados Empresariais garante que existem políticas para a gestão, acesso e proteção de dados. Isto envolve a rotulagem e etiquetagem de dados, a implementação de políticas de controlo de acesso e partilha, e potencialmente o uso de funcionalidades de Dados como Serviço (DaaS) para aplicar políticas ao nível dos objetos de dados. Este quadro abrangente de governança assegura a conformidade em toda a organização e estabelece práticas robustas de gestão de dados.

Benefícios:

• Conformidade Regulatória: Ajuda a cumprir os requisitos legais e regulamentares, evitando potenciais multas e sanções.
• Consistência: Assegura que as práticas de gestão de dados são uniformes em toda a organização, reduzindo os riscos associados a processos ad hoc.

3. Rotulagem e Etiquetagem de Dados - Zoneamento de Propriedades e Rótulos

Numa cidade moderna, diferentes zonas são rotuladas e geridas com base nos seus requisitos específicos. Por exemplo, as zonas escolares têm limites de velocidade reduzidos para garantir a segurança das crianças, enquanto as zonas industriais podem necessitar de mais energia e recursos. Estas etiquetas simplificam a gestão e a aplicação de regras em toda a cidade. Da mesma forma, a Rotulagem e Etiquetagem de Dados classificam as informações com base na sua sensibilidade e valor, ajudando na sua proteção e gestão. Estabelecer atributos de dados granulares integrados em sistemas de controlo de acesso (por exemplo, etiquetagem de dados) é essencial para controlos de acesso a dados aplicados por máquinas, avaliação de riscos e consciência situacional. À medida que estas práticas amadurecem, a automação ajudará a satisfazer as exigências de escala e a proporcionar melhor precisão na rotulagem. As organizações devem dar prioridade à etiquetagem dos ativos de dados de alto valor em primeiro lugar e garantir que a etiquetagem é feita de acordo com as políticas empresariais.

Benefícios:

• Gestão de Dados Melhorada: Simplifica o manuseamento de dados ao categorizar claramente as informações com base na sensibilidade.
• Políticas de Segurança Eficientes: Permite a implementação de medidas de segurança direcionadas com base na classificação de dados.
• Controles Automatizados: Facilita controles de acesso a dados automatizados, avaliações de risco e monitorização, melhorando a segurança e conformidade.

4. Monitorização e Detecção de Dados - Sistemas de Vigilância Urbana

Sistemas de vigilância avançados estão instalados por toda a cidade para monitorizar atividades em tempo real. Da mesma forma, em Zero Trust, a Monitorização e Deteção de Dados envolve a deteção e análise de padrões de acesso e utilização de dados para identificar imediatamente anomalias ou ameaças. Os dados devem estar sempre detetáveis e observáveis por aqueles que necessitam de acesso a eles. As ferramentas de Gestão de Informação e Eventos de Segurança (SIEM) desempenham um papel crucial nesta capacidade, proporcionando aos proprietários de dados a capacidade de reunir e analisar dados de segurança de várias fontes através de uma única interface. Garantir que todos os dados têm metadados associados, incluindo informações sobre acesso, partilha, transformação e utilização, melhora a monitorização e a tomada de decisões.

Benefícios:

• Deteção Imediata de Ameaças: Identifica e responde rapidamente a atividades suspeitas, minimizando potenciais danos.
• Visibilidade Abrangente: Fornece uma visão detalhada do uso de dados e dos padrões de acesso, melhorando a supervisão de segurança.

5. Encriptação de Dados e Gestão de Direitos - Edifícios Seguros

Imagine um banco da cidade com cofres que possuem fechaduras avançadas e controlos de acesso. Estes cofres armazenam os ativos mais valiosos do banco, e apenas o pessoal autorizado pode aceder a eles. Em alguns casos, o acesso ao cofre requer duas autenticações diferentes (chaves), adicionando uma camada extra de segurança. O dinheiro dentro do banco está seguro enquanto descansado, e durante o trânsito entre cofres, permanece protegido por veículos blindados e protocolos de segurança. Da mesma forma, a Encriptação de Dados e a Gestão de Direitos protegem os dados tanto em repouso como em trânsito, garantindo que apenas indivíduos autorizados possam aceder a eles. Os dados devem ser automaticamente encriptados com base em atributos atribuídos através de etiquetagem e rotulagem. Esta encriptação assegura que, mesmo que os dados sejam intercetados, permaneçam ilegíveis e seguros. Além disso, outros controlos, como ferramentas de Gestão de Direitos Digitais (DRM), podem ser aplicados para impedir o acesso não autorizado, modificação ou redistribuição.

Benefícios:

• Segurança de Dados: Protege os dados contra acesso não autorizado, garantindo privacidade e confidencialidade.
• Conformidade Regulamentar: Ajuda a cumprir regulamentos de proteção de dados que exigem encriptação de informações sensíveis.

6. Prevenção de Perda de Dados - Segurança Aeroportuária e Controlos Aduaneiros

Num aeroporto da cidade, os controlos de segurança e alfândega asseguram que não são trazidos nem retirados quaisquer itens proibidos. Da mesma forma, as ferramentas de Prevenção de Perda de Dados (Data Loss Prevention - DLP) atuam como pontos de verificação de segurança para os seus dados. Estas ferramentas monitorizam e bloqueiam transferências de dados não autorizadas, protegendo contra violações de dados. As ferramentas de DLP estão estrategicamente colocadas em vários pontos de aplicação ao longo do sistema para detetar e mitigar eficazmente as violações e exfiltração de dados. Elas ajudam a prevenir tanto ameaças internas, como funcionários a tentar vazar dados sensíveis, quanto ameaças externas, como hackers a tentar roubar dados. Estabelecer uma linha de base para o uso de dados é crucial antes de ativar as capacidades de prevenção das ferramentas de DLP.

Benefícios:

• Previne Violação de Dados: Bloqueia tentativas de exfiltração de dados sensíveis, protegendo contra fugas e violações.
• Monitora o Movimento de Dados: Fornece visibilidade nas transferências de dados, garantindo que são autorizadas e seguras.

7. Controlo de Acesso a Dados - Pontos de Verificação e Permissões

Numa cidade moderna, o acesso a edifícios governamentais seguros é rigorosamente controlado para garantir que apenas o pessoal autorizado com as credenciais corretas possa entrar. Estes edifícios podem albergar operações sensíveis e informações confidenciais, pelo que o acesso é concedido com base em critérios rigorosos. Por exemplo, apenas os funcionários com autorizações de segurança podem aceder a determinados pisos ou salas, e pode ser exigida uma autenticação adicional durante períodos específicos ou para aceder a áreas particularmente sensíveis. Da mesma forma, o Controlo de Acesso Granular a Dados garante que o acesso aos dados está disponível apenas para as pessoas certas nas condições certas. Este controlo de acesso consciente do contexto é baseado em funções de utilizador, atributos de dispositivo e fatores ambientais, proporcionando uma camada adicional de segurança. Ao integrar vários atributos de dados para tomar decisões de acesso, as organizações podem garantir que entidades ou dispositivos não autorizados não acedam a dados sensíveis.

Benefícios:

• Segurança Melhorada: Garante que apenas utilizadores autorizados possam aceder a dados sensíveis, reduzindo o risco de ameaças internas.
• Acesso Sensível ao Contexto: Ajusta as permissões de acesso com base em vários fatores, proporcionando segurança dinâmica e adaptável.

SASE: Uma Solução Moderna para uma Cidade Moderna

Gerir todas estas medidas de segurança pode ser complexo, mas não tem de ser. Barracuda SecureEdge, Barracuda Data Inspector e Barracuda Backup oferecem soluções abrangentes para simplificar e fortalecer a sua segurança num ambiente de Zero Trust.

Barracuda SecureEdge é uma plataforma Secure Access Service Edge (SASE) nativa da cloud que melhora a segurança de rede com funcionalidades como:

• Firewall-as-a-Service (FWaaS): Capacidades avançadas de firewall baseado em nuvem para proteger a sua infraestrutura e propriedade intelectual.
• Zero Trust Access (ZTA): Acesso seguro a aplicações a partir de qualquer localização ou dispositivo.
• Secure SD-WAN: Otimiza o desempenho da rede com conectividade redundante para locais dispersos e infraestrutura em nuvem.
• Aplicação Consistente de Políticas: Aplica políticas de segurança de forma uniforme em toda a rede, minimizando erros humanos e configurações incorretas.
• Gestão simplificada: Uma plataforma unificada que é mais fácil de manter e atualizar do que gerir várias ferramentas de segurança.

Barracuda Data Inspector complementa isto ao focar-se na proteção de dados:

• Descoberta Automática de Dados Sensíveis: Analisa o OneDrive e o SharePoint em busca de informações sensíveis, como números de Segurança Social e dados de cartões de crédito, identificando onde estão armazenadas e se foram partilhadas.
• Remediação de Risco de Dados: Oferece opções para descompartilhar, colocar em quarentena ou eliminar dados sensíveis, garantindo conformidade e reduzindo o risco de multas e danos à reputação.
• Deteção e Remoção de Malware: Identifica e elimina malware dormente no SharePoint e OneDrive para prevenir potenciais ataques de ransomware.
• Conformidade Avançada: Suporta a conformidade com regulamentos como GDPR e CCPA, alertando utilizadores e administradores sobre o armazenamento de dados sensíveis e potenciais riscos.

Barracuda Backup adiciona outra camada de proteção, garantindo capacidades resilientes de backup e recuperação de dados.

• Proteção de Dados Abrangente: Protege ambientes físicos, virtuais e SaaS, garantindo que os dados são copiados de forma segura e recuperáveis.
• Backup em Nuvem e On-Premises: Oferece opções de implementação flexíveis para atender às necessidades da sua organização, seja on-premises ou na nuvem.
• Recuperação Rápida: Fornece restauração rápida de dados em caso de perda ou violação, minimizando o tempo de inatividade e o impacto operacional.

O Seu Papel como Administrador de TI na Proteção de Dados

Como administrador de TI, desempenha um papel crucial na implementação e manutenção de uma arquitetura de confiança zero dentro da sua organização. Ao aproveitar soluções como Barracuda SecureEdge, Data Inspector e Backup, pode:

• Avaliar e Prioritizar Riscos de Dados: Identificar e concentrar-se na proteção de ativos de dados críticos.
• Implementar uma Governança de Dados Robusta: Assegurar práticas consistentes de gestão de dados e conformidade regulamentar.
• Utilize Ferramentas de Monitorização Avançada: Detete e responda a atividades suspeitas em tempo real.
• Impor Controles Granulares de Acesso: Garantir que apenas utilizadores autorizados acedam a dados sensíveis.
• Prevenir Perda de Dados: Monitorizar e bloquear transferências de dados não autorizadas.
• Garantir Resiliência de Dados: Utilize soluções de backup robustas para proteger dados contra violações e assegurar uma recuperação rápida.

Em resumo, as orientações da NSA sobre o pilar de Dados do Zero Trust oferecem uma estrutura robusta para proteger dados sensíveis. Ao implementar estes princípios e aproveitar ferramentas avançadas como Barracuda SecureEdge, Data Inspector e Backup, os administradores de TI podem melhorar significativamente a postura de segurança da sua organização. Lembre-se, no mundo da Cibersegurança, a vigilância e medidas proativas são fundamentais para proteger os seus ativos digitais. A Barracuda pode ser um parceiro instrumental na sua jornada Zero Trust, fornecendo as ferramentas necessárias para proteger a sua rede, proteger os seus dados e garantir a continuidade do negócio.