DoD pretende lançar Guia sobre Zero Trust em 2021

DoD pretende lançar Guia sobre Zero Trust em 2021. Parceria público-privado Americano trabalham no desenvolvimento do guia de referência para o uso e implementação de rede Zero Trust .

A Defense Information Systems Agency (DISA) planeja lançar um guia de referência de Zero Trust (confiança zero) no próximo ano, um passo para mover as redes do Departamento de Defesa para uma nova configuração de segurança.

O guia de referência fornecerá um plano para agências de defesa e empresas de TI fazerem a transição de redes para um modelo que trata todos os usuários com o mesmo nível elevado de segurança. Em essência, a rede literalmente oferece confiança zero a seus usuários.

O conceito não é novo para o DOD, com muitas configurações compartimentadas semelhantes já em vigor para certas informações confidenciais. Mas a maioria das arquiteturas de rede corporativa ainda depende da defesa do perímetro, como o uso de senhas fortes.

O guia de referência é o produto de uma colaboração contínua entre a DISA, a National Security Agency (NSA) , o US Cyber Command e o setor privado. Nancy Norton, vice-diretora-diretora da DISA, mencionou o guia de referência pela primeira vez no início de dezembro, na conferência Tech Net Cyber da AFCEA. A NSA também confirmou a notícia ao FedScoop.

“A NSA tem trabalhado em conjunto com a Defense Information Systems Agency e o US Cyber Command no desenvolvimento do Zero Trust como a nova estrutura de segurança cibernética para prevenir, detectar, responder e se recuperar de ataques cibernéticos a sistemas críticos”, Neal Ziring, diretor técnico da Diretoria de Segurança Cibernética da NSA , disse à FedScoop por e-mail.

Distribuir confiança zero entre os militares será diferente de outras iniciativas cibernéticas, disseram os líderes do DOD. É uma mudança geral na arquitetura das redes do DOD com as mudanças que devem acontecer ao longo do tempo, disse Norton.

“Não é um lançamento como seria para a maioria dos programas porque confiança zero não é um programa”, disse ela, acrescentando que o guia de referência fornecerá “uma maneira de pensar sobre as ferramentas que estamos usando”.

Parceria público-privada confiável

DreamPort, um laboratório privado de cibersegurança administrado pelo Instituto de Inovação e Segurança de Maryland (MISI), desempenhou um papel crítico nas colaborações entre agências e o setor privado no desenvolvimento do guia de referência. A organização ajudou a montar um laboratório de Zero Trust em seu local de trabalho em Columbia, Maryland. O laboratório foi instalado por meio de uma parceria com a NSA, Cyber Command e outras agências com foco em segurança.

A DreamPort disse que ajudou a testar a nova tecnologia e software do governo e forneceu um local para fornecedores e funcionários do governo se reunirem “sem burocracia“, disse Armando Seay, co-fundador da MISI, à FedScoop por e-mail.

“O laboratório foi e é uma base em constante evolução para experimentação perpétua, avaliação e prova de prototipagem de viabilidade”, disse Seay.

As colaborações incluíram “thought leaders” (líderes de pensamento) e pioneiros no movimento de confiança zero, acrescentou ele. O laboratório continuará funcionando como um local de colaboração em um espaço não classificado.

“A capacidade de se envolver com nossas partes interessadas no nível de classificação mais baixo possível permite um envolvimento mais amplo em toda a comunidade e um maior entendimento da segurança cibernética à medida que ela evolui”, disse Ziring. “Temos uma bancada de testes separada com a DISA que hospedará qualquer informação classificada antecipada.”

Zero Trust

Zero Trust Network (Redes de confiança zero, também, arquitetura de rede de confiança zero, modelo de segurança de confiança zero, ZTA, ZTNA), no campo de Tecnologia da Informação (TI) descreve uma abordagem para o projeto e implementação de redes de TI. O principal conceito por trás da confiança zero é que os dispositivos em rede, como laptops, não devem ser confiáveis por padrão, mesmo se estiverem conectados a uma rede corporativa gerenciada, como a LAN corporativa, e mesmo que tenham sido verificados anteriormente. Na maioria dos ambientes empresariais modernos, as redes corporativas consistem em muitos segmentos interconectados, serviços e infraestrutura baseados em nuvem , conexões para ambientes remotos e móveis e cada vez mais conexões com TI não convencional, como dispositivos IoT.

A abordagem tradicional de confiar em dispositivos dentro de um perímetro corporativo imaginário, ou dispositivos conectados a ele por meio de uma VPN , faz menos sentido em ambientes tão diversos e distribuídos. Em vez disso, a abordagem de rede de confiança zero defende a verificação da identidade e integridade dos dispositivos independentemente da localização, e fornecer acesso a aplicativos e serviços com base na confiança da identidade do dispositivo e integridade do dispositivo em combinação com a autenticação do usuário.

Muitos dos conceitos que apoiam a confiança zero não são novos. Os desafios de definir o perímetro dos sistemas informáticos de uma organização foram destacados pelo Fórum de Jericho em 2003, discutindo a tendência do então denominado desperimiterização. Em 2009, o Google implementou uma arquitetura de confiança zero conhecida como BeyondCorp , parte influenciada por um projeto de controle de acesso de código aberto. O termo confiança zero foi atribuído a John Kindervag, analista da indústria da Forrester, cujos relatórios e análises ajudaram a cristalizar conceitos de confiança zero nas comunidades de TI. No entanto, levaria quase uma década para que as arquiteturas de confiança zero se tornassem predominantes, impulsionadas em parte pela maior adoção de serviços móveis e em nuvem.

Em meados de 2014, Gianclaudio Moresi, um engenheiro de segurança suíço, projetou o primeiro sistema usando o princípio de conexão anti-série de firewall para proteger qualquer cliente de novos vírus perigosos (Zero Day Protection com Zero Trust Network). A nova arquitetura baseada na Rede Untrust-Untrust foi publicada no Instituto Federal Suíço de Propriedade Intelectual em 20 de fevereiro de 2015.

Em 2019, a Autoridade Técnica Nacional do Reino Unido e o Centro Nacional de Segurança Cibernética estavam recomendando que os arquitetos de rede considerassem uma abordagem de confiança zero para novas implantações de TI, particularmente onde o uso significativo de serviços em nuvem está planejado. Em 2020, a maioria dos fornecedores líderes de plataforma de TI, bem como provedores de segurança cibernética, já exemplos bem documentados de arquiteturas ou soluções de confiança zero. Essa crescente popularização, por sua vez, criou uma série de definições de confiança zero, exigindo um nível de padronização por autoridades reconhecidas, como NCSC e NIST.

Desde o final de 2018, trabalho realizado pelo National Institute of Standards and Technology (NIST) e National Cyber Security Center of Excellence (NCCoE) pesquisadores de segurança cibernética levou à publicação do NIST Especial (SP) 800-207, Zero Confiança Architecture. A publicação define confiança zero (ZT) como uma coleção de conceitos e ideias projetadas para reduzir a incerteza na aplicação de decisões de acesso precisas e por solicitação em sistemas e serviços de informação em face de uma rede vista como comprometida. Uma arquitetura de confiança zero (ZTA) é um plano de segurança cibernética de uma empresa que utiliza conceitos de confiança zero e abrange relacionamentos de componentes, planejamento de fluxo de trabalho e políticas de acesso. Portanto, uma empresa de confiança zero é a infraestrutura de rede (física e virtual) e as políticas operacionais que estão em vigor para uma empresa como um produto de um plano de arquitetura de confiança zero.

Uma abordagem alternativa, mas consistente é adotada pelo NCSC , na identificação dos princípios-chave por trás das arquiteturas de confiança zero:

Única fonte forte de identidade do usuário
Autenticação de usuário
Autenticação de máquina
Contexto adicional, como conformidade com políticas e integridade do dispositivo
Políticas de autorização para acessar um aplicativo
Políticas de controle de acesso em um aplicativo

Unisys Stealth

Stealth é um pacote de software confiável por organizações governamentais e comerciais para proteger sistemas sensíveis de ameaças cibernéticas com microssegmentação definida por software e orientada por identidade.

Stealth cria comunidades de interesse (COI) que estabelecem canais de comunicação exclusivos entre os membros com base em identidades confiáveis. Os membros da comunidade não podem iniciar ou aceitar a comunicação de não membros e a criptografia restringe os não membros de interceptar comunicações intracomunitárias.

O que você pode fazer com Stealth?

*Conheça sua rede* Visualize, modele e projetar segurança informada	Microssegmentação fácil Isole ativos, independentemente do ambiente, rede ou dispositivo	*Criptografar dados em movimento* Impedir a detecção de pacotes com criptografia AES-256
*Encobrir ativos críticos* Esconder criptograficamente crítico ativos de adversários	*Ativar segurança adaptativa* Integre as ferramentas de segurança existentes para correlacionar, detectar e responder	*Prevenir fraude* Verifique as identidades com biometria física e comportamental