O que a nova política de segurança do presidente Biden significa para o futuro da cibersegurança

Este artigo foi publicado originalmente em LinkedIn de Andrew Rubin.

O governo Biden acaba de consolidar seu legado na política de segurança cibernética com uma ordem executiva abrangente que visa melhorar a resiliência e reduzir o risco do governo dos Estados Unidos. É a primeira vez que nosso governo tenta reescrever seu plano de segurança cibernética em quase duas décadas, e isso não acontece nem um dia tão cedo. Agora, mais do que nunca, os adversários têm tempo, pessoal e recursos para buscar novos métodos de intrusão e, conforme demonstrado pelos recentes ataques da Colonial Pipeline e da SolarWinds, eles estão obtendo sucesso em grande escala em seus esforços de exploração.

Isso não é apenas um problema americano, federal ou político — um contágio de complacência se infiltrou no sistema. É por isso que eu saúdo esta Ordem Executiva de braços abertos — porque é um chamado à ação de que precisamos mudar a forma como nos protegemos.

Ficando à frente da curva

O governo federal dos EUA está lamentavelmente atrasado na modernização da tecnologia da informação e da segurança cibernética há algum tempo. O secretário do Departamento de Segurança Interna dos EUA, Alejandro Mayorkas, descreveu melhor o estado atual da segurança cibernética federal nos Estados Unidos quando compartilhou sua visão sobre a resiliência cibernética nacional em 31 de março: “Nosso governo foi hackeado no ano passado e não soubemos disso por meses. Foi só quando uma das melhores empresas de segurança cibernética do mundo foi hackeada e alertou o governo que descobrimos. Esse incidente é um dos muitos que ressaltam a necessidade de o governo federal modernizar as defesas de segurança cibernética e aprofundar nossas parcerias.”

Como é possível que um dos países mais ricos e inovadores do mundo esteja historicamente atrasado quando se trata de garantir a infraestrutura nacional? Alguém poderia pensar que os bilhões de dólares federais destinados à proteção de ativos do governo mitigariam o impacto de ameaças externas.

Mas o problema não é que nos faltem os recursos, o talento ou o acesso às melhores tecnologias de defesa cibernética da categoria — afinal de contas, os EUA são o lar orgulhoso de muitos líderes globais de segurança cibernética. Em vez disso, o que acredito que o secretário Mayorkas estava apresentando é uma acusação contra todo o modelo de segurança cibernética — se não fosse para o mundo, pelo menos para o governo federal.

Globalmente, gastamos 173 bilhões de dólares em segurança cibernética no ano passado, mas temos mais violações do que em qualquer outro momento da história — e elas são as violações mais catastróficas de todos os tempos. Apesar de nossa estratégia fracassada e dos resultados terríveis, continuamos adotando hoje a mesma abordagem de segurança cibernética de 20 anos atrás. As organizações tentam evitar que os ataques se infiltrem no perímetro, depois detectam os ataques quando eles escapam e confiam na resposta a incidentes para limpar a bagunça.

Os dias em que a prevenção e a detecção por si só salvaram sua agência, empresa ou organização acabaram. No momento, ataques estão em sua infraestrutura e você não sabe que existem. Eles estão se escondendo. Eles estão se disfarçando. Eles estão tentando roubar seu IP, dados de clientes e segredos do governo ou guardar tudo como resgate. E, infelizmente, nossa abordagem atual de segurança cibernética faz pouco para impedir que esses ataques se tornem desastres cibernéticos em grande escala.

Mudando para o Marco Zero

Esta Ordem Executiva finalmente reconhece que o modelo federal de segurança cibernética está desatualizado ao apresentar o primeiro rascunho do novo design de segurança. A nova abordagem pode ser resumida em duas palavras: Zero Trust.

Escolha um fornecedor e você encontrará um milhão de definições de Zero Trust. A Forrester divulgou o termo há mais de uma década, e um blog recente do analista Steve Turner, da Forrester, disse o seguinte: “O Zero Trust não é um produto ou plataforma; é uma estrutura de segurança construída com base no conceito de 'nunca confie, sempre verifique' e 'presumindo uma violação'”.

Em termos da aparência do Zero Trust em nível federal, haverá vários componentes principais para a implementação e realização bem-sucedidas de uma estratégia de Zero Trust. Acesso, identidade e segmentação são as três principais tecnologias que acredito que serão necessárias em grande escala. Se você já usou o Google Authenticator, o Authy ou qualquer outro aplicativo de autenticação multifator, deu um passo em direção ao Zero Trust, por exemplo. Mas existem princípios fundamentais de design que são necessários, independentemente da definição que você siga.

Como princípio inicial, o governo federal deve operar sob a mentalidade de “presumir violação”, que é a mentalidade de que os ataques já estão na infraestrutura e que novos ataques ocorrerão novamente no futuro. A partir desse ponto de partida estratégico, as defesas cibernéticas federais podem então se preparar melhor para impedir o movimento adverso de ataques em uma nuvem, rede ou data center. Aprendemos da maneira mais difícil que 99,9% de eficácia não é suficiente quando 0,1% das violações custam bilhões de dólares aos contribuintes ou forçam o fechamento de infraestruturas críticas, como dutos de combustível estratégicos. Em vez disso, trata-se de se preparar para violações de forma proativa, para que as organizações possam mitigar seu alcance e impacto.

Para expandir um pouco mais, o governo deve seguir os princípios de menor privilégio e confiança explícita. Isso significa que todas as comunicações em sua infraestrutura (entre aplicativos, redes, nuvens, data centers ou dispositivos) devem ter o mínimo de privilégios possível em todos os momentos, e as agências devem confiar explicitamente nas comunicações antes que elas ocorram entre esses sistemas. Esses princípios, por exemplo, poderiam ter impedido que o ataque da SolarWinds causasse tantos danos. O malware estaria na infraestrutura, mas isolado e incapaz de causar danos tão generalizados.

O novo normal cibernético

Como explicou o secretário Mayorkas, “Devemos mudar fundamentalmente nossa mentalidade e reconhecer que a defesa deve andar de mãos dadas com a resiliência. Inovações ousadas e imediatas, investimentos em larga escala e o aumento do nível essencial de higiene cibernética são urgentemente necessários para melhorar nossas defesas cibernéticas. Precisamos priorizar adequadamente os investimentos dentro e fora do governo.”

O Zero Trust é mais do que apenas uma estrutura nacional de segurança cibernética — é algo que qualquer corporação, organização ou indivíduo pode adotar para alcançar a verdadeira resiliência cibernética. O que o governo Biden está defendendo não é a derrubada das ferramentas e tecnologias de segurança que alimentam e protegem o mundo de hoje, mas uma mentalidade estratégica para complementar essas soluções, a fim de reforçar ainda mais nossas defesas de segurança cibernética e ampliar nossa preparação.

Obviamente, a modernização federal da segurança cibernética não pode acontecer de uma só vez, mas precisa começar com controles projetados para isolar atividades maliciosas, uma vez que elas já tenham penetrado nas redes federais. É preciso começar com uma mentalidade presunçosa de violação, em todas as agências. E precisa começar com a adoção de estratégias de Zero Trust em grande escala.