5 mitos do Zero Trust desmascarados por John Kindervag e Michael Farnum

In 2010, John Kindervag published No More Chewy Centers: Introducing The Zero Trust Model Of Information Security, a report detailing the new concept of Zero Trust he had created.

Nos quase 15 anos desde que ele introduziu o conceito, ele foi amplamente adotado no setor de segurança cibernética. Mas sua definição também foi mal compreendida ao longo do tempo. Vários mitos do Zero Trust surgiram que desviam as organizações enquanto trabalham em prol da resiliência cibernética.  

Kindervag, agora evangelista-chefe da Illumio, está pronto para esclarecer as coisas. É por isso que ele se juntou a Michael Farnum, CISO consultivo da Trace3, para uma conversa ao lado da lareira para discutir os mitos mais comuns do Zero Trust que eles estão vendo no setor e as verdades por trás deles.  

Watch their full discussion on demand, and keep reading to get the truth from the creator of Zero Trust and a leading security expert.

A definição de John Kindervag de Zero Trust

O título exclusivo do relatório da Kindervag, No More Chewy Centers, vem do que ele diz ser um velho ditado em segurança da informação: “Queremos que nossa rede seja como uma M & M, com uma parte externa dura e crocante e um centro macio”. O lema é baseado no tradicional modelo Trust de cibersegurança. Ele pressupõe que os invasores não consigam superar a “parte externa rígida” do perímetro seguro da rede.

Mas, como explica Kindervag, “No novo cenário atual de ameaças, essa não é mais uma forma eficaz de reforçar a segurança. Quando um atacante passa pelo projétil, ele tem acesso a todos os recursos da nossa rede.”  

The Zero Trust model is Kindervag’s response to this old security model.

“Zero Trust é uma estratégia. Não é um produto. Você não pode comprá-lo”, disse ele.

O Zero Trust foi projetado para fazer duas coisas:

• Impeça as violações de dados (o Kindervag define violações de dados como incidentes quando dados confidenciais ou regulamentados são exfiltrados de uma rede ou sistema para as mãos de um agente mal-intencionado)

• Impeça que os ataques cibernéticos sejam bem-sucedidos

O Zero Trust fornece um roteiro para realizar essas duas coisas em um nível estratégico. Isso ajuda a orientá-lo sobre as táticas e tecnologias corretas.  

“A cibersegurança é uma jornada, não um destino. Acho que a mesma coisa acontece com o Zero Trust”, observou ele.  

Os 5 passos da Kindervag para Zero Trust

1. Defina sua superfície de proteção: você não pode controlar a superfície de ataque porque ela está sempre evoluindo, mas você pode reduzir a superfície de proteção da sua organização em partes pequenas e facilmente conhecidas. A superfície de proteção geralmente inclui um único elemento de dados, serviço ou ativo.

2. Mapeie a comunicação e os fluxos de tráfego: você não pode proteger o sistema sem entender como ele funciona. Obter visibilidade em seus ambientes mostra onde os controles são necessários.

3. Crie o ambiente Zero Trust: depois de obter visibilidade completa da rede, você pode começar a implementar controles feitos sob medida para cada superfície de proteção.

4. Crie políticas de segurança Zero Trust: crie políticas que forneçam regras granulares, permitindo que somente o tráfego permitido acesse o recurso na superfície protegida.

5. Monitore e mantenha a rede: injete a telemetria de volta na rede, criando um ciclo de feedback que melhora continuamente a segurança e cria um sistema resiliente e antifrágil.

Mito de Zero Trust #1: Existem padrões definidos para cibersegurança e Zero Trust

“Não há padrões de segurança cibernética no mundo”, disse Kindervag. Apesar de seus relatórios publicados sobre Zero Trust, organizações como o NIST e a CISA não definem padrões de segurança cibernética — elas apenas fornecem orientação.

“If you read CISA’s Zero Trust Maturity Model (ZTMM), they say it’s one way you might choose to do it. They’re not being prescriptive at all, and neither am I,” he explained.  

Isso também significa que não há um padrão para o Zero Trust. Cada organização é única e deve adotar uma abordagem única para construir o Zero Trust. A orientação de segurança pode ser muito útil, mas não é necessariamente a melhor maneira de fazer isso.

Mito de Zero Trust #2: Você pode obter Zero Trust seguindo uma lista de verificação

Na verdade, a jornada Zero Trust de cada organização será diferente. Depende do seu tamanho, crescimento, orçamento e recursos.  

“É uma questão de descobrir o ponto do modelo de maturidade em que você quer se concentrar e o que precisa fazer para alcançá-lo”, explicou Kindervag.  

A Kindervag recomenda começar com a superfície protegida da sua organização. As equipes devem perguntar: o que precisamos proteger? Isso é diferente de uma abordagem que começa com a superfície de ataque, que pode iniciar um ciclo interminável e infrutífero de reação às ameaças, em vez de se preparar proativamente para proteger os ativos mais importantes.

Farnum concordou que a Trace3 geralmente vê organizações que iniciaram suas jornadas de Zero Trust concentrando-se na superfície de ataque, mas encontraram armadilhas. Em vez disso, a Trace3 incentiva os clientes a usarem as cinco etapas do Kindervag para Zero Trust identificando primeiro sua superfície de proteção.

Mito de Zero Trust #3: Zero Trust é apenas segurança de identidade  

Kindervag advertiu contra ser “muito literal” com o Zero Trust. Para muitos líderes de segurança, isso pode parecer seguir o modelo de maturidade com muita rigidez.

“As pessoas sentem que precisam criar toda a identidade primeiro, porque esse é o primeiro pilar do Zero Trust”, disse Kindervag. Em vez disso, ele incentiva as organizações a analisarem sua superfície de proteção exclusiva e se concentrarem em qualquer pilar do Zero Trust que proteja primeiro seus recursos mais importantes.

“Você precisa olhar horizontalmente, não apenas verticalmente”, explicou Kindervag.

This often means organizations should focus on segmentation rather than identity. 13 years ago in his second report ever written on Zero Trust, Build Security Into Your Network’s DNA: The Zero Trust Network Architecture, Kindervag puts segmentation at the core of Zero Trust. As he says in the report, "New ways of segmenting networks must be created because all future networks need to be segmented by default."

Segmentation, also called Zero Trust Segmentation, is an essential part of Zero Trust. You can't achieve Zero Trust with out.

Mito Zero Trust #4: Comprar uma plataforma Zero Trust significa que você tem segurança Zero Trust

Se você está no setor de segurança cibernética, já ouviu o termo defesa em profundidade. Mas, para muitas organizações, esse conceito se transformou em “despesa em profundidade”, de acordo com Kindervag.

Por que as organizações ainda estão sofrendo incidentes cibernéticos graves quando estamos gastando mais do que nunca em soluções de segurança?

“Se a segurança consiste em comprar coisas suficientes ou gastar dinheiro suficiente, então fizemos isso”, disse Kindervag.  

Farnum disse que vê muitas empresas gastando dinheiro em plataformas de segurança sem primeiro entender o que precisam proteger. A Trace3 incentiva os clientes a mudarem de ideia sobre o Zero Trust antes de fazer mais compras. Eles voltam a ter visibilidade de sua rede e a saber o que é mais importante proteger.

Kindervag endossou essa abordagem. “Só queremos que ele funcione automaticamente de uma forma mágica de pó de fada. Mas não é assim que funciona. Você sempre começa com a superfície protegida.”

Mito de Zero Trust #5: “Zero Trust” é apenas uma nova embalagem para um antigo conceito de segurança

Alguns no setor de segurança cibernética questionaram a validade do Zero Trust. Eles o condenaram como um jargão de marketing que é apenas uma nova embalagem de uma ideia antiga.

Mas para Kindervag, isso só mostra que eles não entendem o conceito. “O que era Zero Trust antes do Zero Trust? Não havia Zero Trust. Esse era o problema”, disse ele.

No^século XX, o foco estava na segurança baseada no perímetro. As redes foram projetadas de fora para dentro: o exterior não era confiável e o interior era confiável. Isso criou redes planas completamente abertas no interior. Com esse design, os invasores podem não apenas entrar na rede, mas também permanecer lá por dias, semanas, meses e até anos.  

“Você precisa redefinir sua mentalidade”, concordou Farnum. “Todas as interfaces não devem ser confiáveis. Só porque sua rede está funcionando não significa que ela seja segura.”

Parceria Illumio + Trace3 para aprimorar sua estratégia Zero Trust

Trace3 is a leading technology consulting firm helping clients build, innovate, and manage their entire IT sphere, including cybersecurity. They’ve partnered with Illumio to help clients build Zero Trust security with Zero Trust Segmentation.  

Juntas, a parceria oferece uma abordagem abrangente para criar e implementar uma arquitetura Zero Trust. Ao combinar a experiência estratégica da Trace3 com a avançada tecnologia de segmentação da Illumio, você pode encontrar uma abordagem personalizada para o Zero Trust que atenda às necessidades de segurança da sua organização.

Watch Kindervag’s and Farnum’s full conversation on demand. Contact us today to learn how Illumio + Trace3 can help your organization build Zero Trust.