Cómo las agencias federales pueden crear un proyecto piloto de confianza cero

Hablé con un jefe de la División de Operaciones de Seguridad Federal en una agencia civil la semana pasada. Zero Trust sigue llamando su atención, especialmente en el punto final. Quiere sumergir en los principios de Zero Trust cuando llegue el día inevitable de la oficina del CIO de que debe implementar una arquitectura de Zero Trust. También transmitió que su CIO tiene presiones de cumplimiento sobre los HVA (activos de alto valor) de la agencia. Incluso este jefe de sucursal tiene su propio subconjunto de HVA. Estoy seguro de que esta presión tiene algo que ver con querer mejorar su puntaje general de FISMA, ya que parte de la tarjeta de puntaje menciona específicamente a los HVA.

Si bien hay un "rumor" en torno a Zero Trust en esta agencia, poner en términos de seleccionar un evento o caso de uso claramente definido para iniciar un proyecto puede ser abrumador. Esto me recuerda a alguien que quiere escribir una novela y no sabe por dónde ni cómo empezar. Si bien aprender los principios de la escritura siempre es bueno, nunca será suficiente, al igual que solo conocer los principios de Zero Trust nunca será suficiente. Es en la escritura misma donde uno comienza a desarrollar el hábito y la consistencia de escribir. Si quieres escribir una novela, lleva un diario para mantener la coherencia y busca la oportunidad de escribir artículos o incluso cuentos para ampliar tus habilidades de escritura.

Si desea implementar Confianza cero en su organización, comience por averiguar las prioridades de seguridad críticas y las capacidades actuales de Confianza cero. Defina cómo sería el estado final de Confianza cero deseado. Cuando tiene un problema, objetivos y resultados deseados de Zero Trust de alcance limitado, es más fácil aplicar el apoyo de sus partes interesadas clave.

NIST 800-207 lo afirma cuando dice que Zero Trust es un viaje, y el objetivo debería ser implementar Zero Trust de forma incremental. No querrás sentirte abrumado más tarde tratando de escribir esa novela sin una o dos historias cortas en tu haber. ¿Por qué esperar a un evento externo convincente como una infracción, malware o un ataque de día cero? Comience su proyecto piloto de Zero Trust hoy.

Con el fin de recomendar un buen lugar para comenzar el proyecto piloto Zero Trust del jefe de la rama de la agencia, quería saber más sobre sus HVA, y la importancia de mejorar la visibilidad de los HVA, sus componentes y conexiones legítimas. Algunas preguntas clave son:

1. ¿Qué aplicaciones se consideran HVA?
2. ¿Cuáles son los componentes de aplicación de estos HVA?
3. ¿Cómo es el nivel de aplicación, las redes y la infraestructura informática?
4. ¿Está empleando aplicaciones en contenedores?
5. ¿Cuáles son las conexiones legítimas de aplicaciones/cargas de trabajo a HVA?
6. ¿Cuáles son las conexiones legítimas de usuario final y punto final a HVA?

La visibilidad y los datos precisos sobre los componentes y las conexiones a los HVA son esenciales. Las respuestas a estas preguntas ayudarán a responder la pregunta de "¿por dónde empezar?"

Una vez que redujeron las aplicaciones de HVA, el siguiente paso es medir las capacidades de Zero Trust existentes.

El enfoque actual de la agencia para cerciorar sus HVA revela sus puntos ciegos y apunta a oportunidades para habilitar Zero Trust.

Debido a la rápida transición al trabajo remoto, también era importante comprender cómo evolucionó su postura de seguridad de HVA.

Le pedí al jefe de la sucursal que me contara más sobre sus puntos finales. La sucursal está implementando actualmente Carbon Black EDR para la detección de amenazas. Como sabrá, Carbon Black registra y almacena continuamente datos de endpoints para que los profesionales de operaciones de seguridad puedan visualizar las amenazas en tiempo real para una "cadena de eliminación de ataques". En la mayoría de los casos, una vez que el ataque ya ocurrió, puede ser demasiado tarde. Su misión podría ver comprometida o sus datos ya exfiltrados.

Para implementar realmente Zero Trust en el endpoint, debe detener el malware antes de que se ejecute y, lo que es más importante, evitar que se propague lateralmente. La agencia puede aumentar sus inversiones en puntos finales y EDR controlando de forma proactiva las conexiones entrantes de igual a igual a los puntos finales mediante el uso de una "lista de permitidos" de conexiones legítimas y denegando todo lo demás. Este es el corazón de Zero Trust en el punto final. Sin duda, tiene la oportunidad de iniciar un proyecto piloto de Zero Trust en los puntos finales de la sucursal.

Cuando profundicé un poco más sobre los HVA en el contexto de los ataques de movimiento lateral dentro de su centro de datos y entorno de nube, el jefe de la sucursal señaló que la pérdida o la corrupción tendrían un impacto grave en la capacidad de la sucursal para realizar su misión. Los HVA son una combinación de años de datos acumulados. Las aplicaciones involucradas tienen que ver con el análisis y visualización de estos datos. Hasta la fecha, la mayoría de sus inversiones en Zero Trust se centraron en la segmentación de la red perimetral y en la identidad del usuario y la gobernanza del acceso. Estas soluciones no abordan las debilidades de una red interna abierta y plana.

Si se adhiere a una verdadera arquitectura de Confianza cero, debe asumir que ya se produjo una infracción. Una vez que el paquete esté dentro del perímetro de su red, los actores maliciosos se dirigirán directamente a sus HVA sin que nada se interponga en su camino. Claramente, cerciorar el tráfico este-oeste de HVA es otra área en la que un proyecto piloto de Zero Trust puede comenzar ahora.

Identificamos los puntos finales y los HVA de su sucursal como dos áreas para iniciar un proyecto piloto de Zero Trust.

El siguiente paso es contar el número de puntos finales y el número de cargas de trabajo y aplicaciones que formarán parte del proyecto piloto. Un pequeño proyecto piloto puede tener tan solo 50 cargas de trabajo y puntos finales o hasta unos pocos cientos, y el piloto implicará la segmentación y microsegmentación de estos elementos. La clave es no sentir abrumado por ninguna complejidad potencial.

Siguiente paso: microsegmentación basada en host

El siguiente paso es cargar lo que NIST 800-207, sección 3.1.2 se denomina "microsegmentación basada en host mediante agentes de software". Con la solución de Illumio, carga un agente de software liviano en cada carga de trabajo, aplicación o servidor. El agente simplemente informa el contexto y la telemetría de su red a un "cerebro central" que crea un mapa de dependencia de aplicaciones en tiempo real de referencia. Este mapa es de vital importancia desde el punto de vista del monitoreo, ya que se asigna al NIST 800-53 y al RMF (marco de gestión de riesgos). El primer "cubo" de RMF es identify, que proporciona un mapeo de dependencias de aplicaciones en tiempo real para aplicar la política de microsegmentación . Necesita ver lo que está sucediendo en su red, desde una perspectiva de aplicaciones y cargas de trabajo, antes de poder mejorar o aplicar una política de Confianza cero.

Puede llevar menos de cinco días implementar un proyecto piloto de Zero Trust empleando la microsegmentación basada en host, especialmente si el alcance y los resultados deseados están bien definidos y hay capacitación para mostrar a la persona encargada de este piloto las formas más eficientes de proceder.

La única vacilación del jefe de la sucursal se debió a las limitaciones de recursos. No tenía una persona a quien dedicar a este esfuerzo. ¿Vale la pena una inversión de tres a cinco días para expandir su escritura a un hábito, para expandir su conocimiento de Zero Trust desde el estudio hasta la implementación real?

Además de un alcance bien definido, tener un resultado claramente definido y medible es importante para vender su proyecto piloto de Zero Trust internamente. Las mejoras en áreas específicas de los puntajes de FISMA CIO son solo uno de los resultados deseados y las medidas de éxito del proyecto que la agencia puede considerar. Por ejemplo, la rama de la agencia puede usar los reportes de tráfico de Illumio para validar la identidad y el alcance de los componentes y conexiones de la aplicación HVA y usar la microsegmentación como control de compensación, mejorando sus puntajes de protección. También puede usar los mapas de vulnerabilidad de Illumio para validar si un sistema vulnerable se puede usar como una vía de ataque lateral, mejorando aún más sus puntajes FISMA. Estas métricas y visibilidad son aún más importantes con los recientes hackeos a las redes del gobierno de EE. UU.

Una vez que implemente su proyecto piloto de Zero Trust y demuestre los resultados deseados medibles, expandirlo es muy sencillo: agregar aplicaciones, cargas de trabajo y puntos finales adicionales hasta que escribió su novela: una arquitectura Zero Trust para toda la agencia.

Para obtener más información sobre cómo Illumio puede ayudar a las agencias federales a proteger activos de alto valor y acelerar Zero Trust, visite la página de soluciones federales.