#84 Protegendo seu Castelo com Confiança Zero
Subscribe to get the latest
on Sat Aug 20 2022 17:00:00 GMT-0700 (Pacific Daylight Time)
with Darren W Pulsipher, Steve Orrin, Cameron Chehreh,
Neste episódio, Darren discute a segurança de confiança zero com Steve Orrin, CTO do Setor Público da Intel, e Cameron Chehreh, VP-GM do Setor Público.
Keywords
O antigo modelo de segurança poderia ser comparado a um castelo, com guardas ao longo da estrada e um fosso cercando o castelo. Todas as joias da coroa, neste caso, dados, estariam localizadas e gerenciadas centralmente dentro do castelo. A emergência da confiança-zero criou um novo framework.
A maior ameaça aos dados é o usuário final, portanto, a estratégia número um é um plano de trabalho que começa na borda externa com pilares de excelência e proteções internas. Essa forma atualizada de pensar permite que as organizações envolvam sua missão e parceiros comerciais de maneira real na conversa.
O antigo estilo de pensamento era mais baseado em uma abordagem de concha rígida, com proteções e controles nos pontos vulneráveis. Uma parte fundamental da arquitetura de confiança zero é uma abordagem baseada em riscos, que é mais dinâmica e se baseia em duas coisas: o que funcionou e o que não funcionou no passado. Então, se os atacantes entraram pela porta esquerda da última vez, é claro que você reforçará as defesas lá, mas também aprenderá com esse ataque e reforçará outros lugares com base no novo conhecimento sobre como isso aconteceu. Uma abordagem baseada em riscos não é apenas resolver o último ataque, mas pensar adiante e aplicar os controles corretos para ameaças atuais e futuras em toda a empresa.
Parte da abordagem baseada em risco é entender o ecossistema. Clientes, parceiros e utilizadores são todos parte do cálculo de segurança. A antiga abordagem de casca dura não funciona. Assim como um castelo tem pessoas e suprimentos entrando e saindo, e as riquezas podem estar localizadas em vários pontos do reino, a confiança zero leva a segurança um passo adiante, considerando todas as entradas e saídas dos dados ou das pessoas que estão acessando-os.
Tradicionalmente, alguém poderia ter acesso com um único registro ao castelo corporativo. Existem vários princípios de zero trust (confiança zero), mas as duas bases são negação padrão e monitoramento e autorização contínuos. A confiança não é automaticamente conquistada, nem é permanente. Por exemplo, se um visitante entra no castelo, eles são validados na recepção e depois perguntam qual é o motivo da visita. Eles podem ser autorizados a visitar uma pessoa em um determinado quarto por um certo período de tempo, e serão acompanhados durante a visita. Também será feito um monitoramento do que eles trazem e levam em sua visita.
A abordagem “zero trust” aplica-se ao acesso em todos os locais: data centers, nuvens, dispositivos de borda, ambientes empresariais, etc. É centrada em dados e acesso, casada com uma abordagem baseada em risco. Deve haver mais estratégia envolvida. A abordagem resultante baseada em “zero trust” não descarta o que funcionou bem antes, mas combina os bons processos, princípios e tecnologias e adiciona um elemento temporal.
Este novo elemento não é tão difícil como muitas vezes tem sido retratado, mas é um problema de processo e cultura que pode ser complicado.
Muitos desenvolvedores têm o medo de que uma arquitetura de confiança zero os torne mais lentos, mas especialistas em segurança e desenvolvedores precisam ter uma parceria para superar essa percepção. Um exemplo do mundo real é o Log4j. Há seis meses, os desenvolvedores podiam baixá-lo sem problemas, mas agora o ambiente de ameaça mudou. Sem uma abordagem baseada em riscos, um desenvolvedor seria capaz de baixar o Log4j até alguém da segurança chegar e desativá-lo. Com uma abordagem baseada em riscos, juntamente com abordagens de acesso, o Log4j estaria indisponível e uma alternativa seria oferecida. Outro exemplo seria quando o Log4j já está incorporado em um produto, a avaliação dinâmica de confiança poderia adicionar controles extras em vez de bloqueá-lo completamente. Trata-se dos dois lados do cálculo em jogo.
Esta parceria é similar ao treinamento conjunto e compartilhamento de informações que acontece no processo de incorporação de segurança no desenvolvimento. À medida que um produto está sendo construído e testado, a segurança também monitora e avalia os riscos tanto para as entidades com as quais você está trabalhando quanto para as vulnerabilidades do produto em tempo real. Desenvolver uma abordagem baseada em riscos no processo aproveita a inteligência que aborda grande parte do que percebemos como difícil.
Qual é o primeiro passo para CISOs, CIOs ou CTOs iniciar o zero trust? Cameron sugere abandonar o “geekspeak” e comunicar em inglês comum. Iniciar a iniciativa pode ser desafiador, pois normalmente os líderes trabalham com um resultado ou objetivo em mente. O zero trust não tem um objetivo definido para trabalhar, além de criar um ambiente mais confiável para que os usuários operem. Existem, é claro, KPIs e outras medidas para mostrar aumento da segurança, mas é uma jornada, não um destino. Ele também enfatiza o financiamento contínuo; não incorpore o orçamento de cibersegurança ao orçamento de TI. Precisa ser separado e distinto.
O melhor lugar para encontrar informações de alto nível com orientações práticas é a publicação do NIST SP 800-207. Ele também apresenta os cinco pilares de confiança, que são bons pontos de partida.
Um aspecto fundamental primário é ter um bom inventário de ativos do que precisa ser protegido, como fontes de dados, bancos de dados, processos de negócios e aplicações de transação. Basicamente, você precisa definir o perímetro do seu castelo. É importante não apenas pensar no que você possui, mas no que você depende, como o ambiente SAAS, a infraestrutura de nuvem e ferramentas de terceiros.
O panorama maior é conhecer sua cadeia de valor. Não é apenas o que está dentro do seu castelo, mas sim como você ganha dinheiro, como esse dinheiro é distribuído, quem você paga e seus fornecedores. Cada um é uma peça crítica da cadeia.