3 conclusões sobre Zero Trust da Ordem Executiva 14028

In May 2021, the Biden Administration issued Executive Order (EO) 14028, charging federal agencies with the task of enhancing cybersecurity and specifically recommending Zero Trust security practices.  

O EO veio logo após a pandemia da COVID-19, que acelerou a transformação digital de muitas organizações nos setores público e privado. Quase da noite para o dia, as organizações migraram para o trabalho remoto e a migração para a nuvem se tornou um requisito mais imediato.

In addition, multiple high-profile cyberattacks significantly impacted supply chains, including SolarWinds, Colonial Pipeline, and JBS meat processing. 

Now, a year after EO 14028, it’s possible to look back and see what progress has been made in implementing Zero Trust across federal agencies.  

Illumio’s Gary Barlet, Federal Field CTO, joined Nicolas M. Chaillan, former CISO of the U.S. Air Force and Space Force, to discuss the impact of EO 14028 in a webinar organized by the Institute of Critical Infrastructure Technology (ICIT).  

Assista ao webinar aqui:

Continue lendo para aprender as três principais conclusões da discussão.

A EO 14028 ajudou a aumentar a implementação do Zero Trust 

Tanto Barlet quanto Chaillan concordam que houve progresso em direção ao Zero Trust desde a ordem executiva de maio passado. O pedido ajudou equipes de segurança de agências federais — e organizações privadas — a continuar as discussões e obter financiamento para iniciativas do Zero Trust.  

Como disseram Barlet e Chaillan, “Uma ordem executiva nunca é demais”. 

Mais importante ainda, as equipes de segurança agora têm evidências apoiadas pelo governo para as estratégias de segurança Zero Trust.  

“É muito mais útil para aqueles que estão tentando implementar o Zero Trust ter algo para apontar e usar como referência”, disse Barlet.  

E para muitas agências, as discussões sobre o Zero Trust começaram com a ordem executiva. De acordo com Challain, isso ajudou a mudar a opinião das pessoas sobre o Zero Trust, afastando o consenso dos modelos tradicionais de segurança cibernética para as melhores práticas modernas. 

This follows Zero Trust’s growing private-sector success in the last few years — and shows how far the federal government and military are lagging in cybersecurity. 

“Os próximos dois anos serão uma época interessante com mais sucessos do Zero Trust. É uma mudança de mentalidade necessária para seguir em frente para ter sucesso”, explicou Barlet.  

Agências federais usam o Zero Trust para minimizar o impacto de violações inevitáveis

Beyond an executive order, Zero Trust has real benefits for protecting organizations against today’s sophisticated cyber threats.

Legacy security tools have focused on the perimeter, but the dispersed, hyper-connected nature of modern networks means the perimeter no longer exists the way it once did. This leaves networks vulnerable to attack. 

“História após história, ano após ano, ouvimos pessoas gastando todo esse dinheiro tentando evitar uma violação, mas não há discussão sobre o que acontece depois que uma violação ocorre”, disse Barlet.  

A Zero Trust strategy assumes breaches will occur and offers ways to mitigate the impact of an attack once it occurs.  

However, both Barlet and Challain agree that there has been some confusion about what Zero Trust means in practice – and how it fits into existing security architectures.  

“O Zero Trust parece sugerir que você não tentará evitar violações — e esse não é o caso”, explicou Barlet. “Não vamos desistir de tentar evitar uma violação, mas também vamos planejar esse único erro ou vulnerabilidade que permite que uma violação entre e como podemos evitar um ataque catastrófico.”  

Overall, Barlet and Challain recommended agencies get visibility into network flows, turn off unnecessary communication, and implement Zero Trust Segmentation, also known as microsegmentation, to limit the spread of a breach.  

Segmentação Zero Trust para agências federais: basta começar em algum lugar 

Embora a ideia de segmentar a rede já exista há anos, Barlet e Challain discutiram como as amplas redes atuais tornam quase impossíveis os métodos tradicionais de segmentação usando endereços IP ou VLANs. Ambos defendem que a segmentação seja em uma escala muito menor.  

In particular, Barlet said networks require Zero Trust Segmentation to protect against the ever-increasing number of users, applications and environments that open vulnerabilities for attackers to enter.  

Despite the pressing need for Zero Trust Segmentation, Barlet and Challain noted that many agencies are overwhelmed by the process.  

“Você precisa saber quem está acessando o quê, onde e quando. Em seguida, você precisa saber quais desses fluxos de comunicação são desnecessários e podem ser bloqueados. Quando você responde a todas essas perguntas como um todo, é muito assustador”, disse Barlet. 

There’s no need to complete an entire Zero Trust Segmentation project at once. Barlet and Challain recommend an incremental approach to avoid high costs, confusion, and potential administrative bloat. 

“Não tente fazer tudo de uma vez. Basta começar em algum lugar”, disse Barlet.  

Ao estreitar o escopo de um projeto de segmentação Zero Trust no início, Barlet e Challain concordaram que as agências podem: 

• Evite ficar impressionado com os detalhes. 
• Immediately improve their cybersecurity posture. 
• Tenha a oportunidade de provar a eficácia do Zero Trust para iniciativas futuras. 

“A única maneira de você chegar a algum lugar em sua jornada Zero Trust é começar. O sucesso gera sucesso”, disse Barlet. 

Obtenha mais informações sobre Illumio e Zero Trust Segmentation:  

• Learn more about how governmental organizations can stop the spread of breaches with Illumio.
• Download the Forrester Wave reports naming Illumio a Leader in both Zero Trust and microsegmentation.   
• Take ESG’s Zero Trust Impact Assessment to learn how to get more out of your Zero Trust strategy. 
• Contact us today to schedule a consultation and demonstration.