Ordem Executiva Cyber dp Biden: Modernize-se, Adote Zero Trust

Por Ravit Greitser

Em 12 de maio, o governo Biden assinou uma ordem executiva https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/ que revelou uma abordagem totalmente nova para a segurança cibernética. Pela primeira vez, Zero Trust foi referido como um requisito de segurança que todas as agências federais precisam adotar e trabalhar.

Aqui estão alguns dos destaques que pertencem aos fornecedores  de Zero Trust e segmentação:

A segurança cibernética é uma prioridade nacional do governo dos EUA

O tom é definido de início: “É política da minha administração que a prevenção, detecção, avaliação e remediação de incidentes cibernéticos seja uma prioridade essencial para a segurança nacional e econômica.””.

Modernize-se e adote a segurança zero (Zero Trust)

“Para acompanhar o ambiente de ameaças cibernéticas dinâmico e cada vez mais sofisticado de hoje, o Governo Federal deve tomar medidas decisivas para modernizar sua abordagem à segurança cibernética … O Governo Federal deve adotar as melhores práticas de segurança; avanço em direção à Arquitetura Zero Trust; acelerar o movimento para proteger serviços em nuvem … e investir em tecnologia e pessoal para atender a essas metas de modernização.”

Depois disso, ele afirma que, em 60 dias, os chefes de cada agência federal devem desenvolver um plano para implementar uma arquitetura Zero Trust em sua organização.

O pedido se refere a TI e OT

“O escopo de proteção e segurança deve incluir sistemas que processam dados (tecnologia da informação -TI) e aqueles que operam as máquinas vitais que garantem nossa segurança (tecnologia operacional – OT ).”

Mover-se da perspectiva da detecção e prevenção para a assunção da violação

Zero Trust é um afastamento significativo dos modelos tradicionais de segurança de rede. “O modelo de segurança baseado na arquitetura Zero Trust pressupõe que uma violação é inevitável ou provavelmente já ocorreu e, portanto, constantemente limita o acesso apenas do que é necessário e procura atividades anômalas ou maliciosas.”

Já se foi o tempo em que confiava-se em firewalls legados baseados em perímetro para evitar violações. A necessidade de lidar com a complexidade crescente das cargas de trabalho que se movem entre os ambientes de data center e nuvem, juntamente com ataques de ransomware massivos, expôs a inadequação dos modelos de segurança tradicionais.

A nuvem é a plataforma escolhida e também deve ser construída baseada em Zero Trust

A necessidade de mudar para a nuvem é declarada em toda a ordem executiva, aqui está um exemplo: “O CISA deve modernizar seus programas, serviços e recursos de segurança cibernética atuais para serem totalmente funcionais com ambientes de computação em nuvem com Arquitetura Zero Trust.”

A migração para a nuvem deve ser baseada nos princípios de Zero Trust para permitir a migração tranquila de cargas de trabalho entre plataformas e acesso de usuário com menos privilégios.

Softwares essenciais, como a Cadeia de Suprimentos de Software, devem adotar a segmentação e Zero Trust

Os chefes da agência devem aplicar práticas de privilégio mínimo, segmentação de rede e configuração adequada nos próximos 60 dias.

Ataques de proporções “pandêmicas”, como SolarWinds, Microsoft Exchange e, mais recentemente, Colonial Pipeline podem não ser tão fáceis de lançar, uma vez que a abordagem de privilégio mínimo é adotada.

Incidentes ‘significativos’ serão investigados por um novo conselho

O Departamento de Segurança Interna foi instruído a criar um Conselho de Revisão de Segurança Cibernética para investigar e interrogar “incidentes cibernéticos significativos”.

Isso significa que talvez da próxima vez que uma empresa pagar um resgate, como o pagamento de 5 milhões de dólares feito pela Colonial Pipeline ao grupo de hackers DarkSide, os pagamentos serão feitos abertamente, dando ao público uma melhor exposição à escala do problema do ransomware.

Precisa de ajuda com Zero Trust?

Temos praticado esses princípios e estratégias há anos, ajudando empresas de todos os tamanhos a proteger seus aplicativos essenciais e seus negócios, como também à migrar para a nuvem com base na segmentação Zero Trust. Fale Conosco!

Você deseja migrar para ☁? – https://www.guardicore.com/solutions/cloud-migration/

Adote Zero Trust  da forma correcta com Centra – https://www.guardicore.com/zero-trust-security/

 

Assine a nossa newsletter

Sem spam, nós prometemos. Enviaremos apenas insights sobre como reduzir o risco em seu data center e nuvens.

Veja o Centra em ação

Reduza sua superfície de ataque e evite o movimento lateral com uma rápida e simples que funciona em qualquer lugar.