Confianza cero centrada en los datos para la ciberseguridad del gobierno federal


Como se explain en Orden ejecutiva sobre la mejora de la ciberseguridad de la nación (EO 14028), Sección 3: Modernización de la ciberseguridad del gobierno federal, a CISA se le ha encomendado la tarea de desarrollar una estrategia federal de seguridad en la nube para ayudar a las agencias en la adopción de una Confianza cero Arquitectura para cumplir con los requisitos de EO. Mientras el gobierno espera la finalización de ese esfuerzo, creo que es importante observar las dos arquitecturas de referencia gubernamentales que ya se han publicado, ya que sin duda se considerarán en el desarrollo de la estrategia de seguridad en la nube de CISA. Tanto NIST (800-207) como DoD (Versión 1.) han lanzado arquitecturas de referencia Zero Belief. Ambos definen una arquitectura de telemetría Zero Believe in informada por sensores de seguridad para evaluar dinámicamente la confianza del usuario y del dispositivo y cambiar automáticamente los permisos de acceso con cambios en la confianza de la entidad. Cada uno de ellos logra el mismo objetivo, incluso si toman caminos ligeramente diferentes para llegar allí.

Mientras que la arquitectura del Departamento de Defensa establece planos de regulate en los que cada uno tiene su propio punto de decisión, y los datos tienen su propio punto de decisión, NIST adopta un enfoque más amplio de Confianza cero y enfatiza Confianza cero en relación con todos los recursos, no solo con los datos. El plano de handle de datos dentro de la arquitectura del Departamento de Defensa abarca los recursos de procesamiento de datos y les aplica un contexto específico de datos. Dado que la mayoría de las redes, aplicaciones, almacenamiento y servicios existen para procesar y almacenar datos, tiene sentido que el acceso a estos recursos sea específico para los datos contenidos en ellos, y no solo el acceso a los recursos mismos. La protección de los datos es fundamental para Zero Trust, y la arquitectura del Departamento de Defensa lo reconoce.

Empresa centrada en datos

Hoy en día, la mayoría de los esfuerzos de Zero Have confidence in parecen centrarse en defender las aplicaciones, redes y servicios que contienen los datos, pero no llegan a crear protecciones específicas para los datos. Y aunque proteger los recursos de purple, aplicaciones y servicios es ciertamente importante y esencial para las protecciones en capas, mejorar la protección alrededor de los datos es imperativo para adoptar con éxito la arquitectura Zero Belief. Las personas con sistemas de alarma en sus hogares aún guardan sus objetos de valor en una caja fuerte para protegerse contra fallas en los controles, o huéspedes de la casa y trabajadores contratados que no son dignos de confianza.

El Departamento de Defensa coloca los datos en el centro de su arquitectura de referencia. La confianza del usuario y la entidad se evalúa en relación con los datos a los que se accede, y los niveles de permiso se cambian dinámicamente de forma específica para los recursos de datos individuales. Si Zero Trust opera bajo el supuesto de que las redes y aplicaciones ya están comprometidas, entonces la única forma lógica de implementar con éxito Zero Have confidence in es combinar tecnologías de acceso a redes, aplicaciones y servicios con una plataforma de protección de datos integral. En una arquitectura Zero Have faith in bien diseñada, una plataforma de protección de datos integral sirve no solo para proteger los datos, sino también como un medio para informar a la capa analítica de personas internas potencialmente malintencionadas o cuentas de usuario comprometidas con el fin de activar automáticamente cambios en los permisos de acceso.

Consider un escenario muy simple en el que una organización ha clasificado tipos específicos de datos e implementado controles para proteger los datos. Jane es una contratista que, debido a su función de contrato, fue examinada y autorizada para acceder a aplicaciones críticas y datos no clasificados controlados. Jane tiene una computadora portátil emitida por el gobierno con software program de protección de datos y tiene acceso a aplicaciones gubernamentales en la nube, como Business 365, que están protegidas y controladas por la solución CASB de las agencias. Desafortunadamente, Jane ha tenido problemas financieros bien disfrazados y no revelados, que la han puesto en una situación comprometida. Para tratar de salir de esto, ha aceptado actuar como información privilegiada. Jane inicialmente intenta enviarse datos confidenciales a sí misma a través de su correo electrónico de Workplace 365, pero el CASB bloquea el intento. Luego, intenta compartir los registros de SharePoint con un dominio de correo electrónico que no es de confianza y nuevamente es bloqueada por CASB y reportada a seguridad. Desesperada, intenta trasladar los datos a un disco duro externo y, una vez más, está bloqueada. En este punto, Jane se da por vencida y se da cuenta de que los datos están bien protegidos.

En el backend de este escenario, cada uno de estos intentos se registra como un incidente y se informa. Estos incidentes ahora informan a una capa de manage de acceso dinámico de Confianza cero, que determina que el nivel de confianza de Jane ha cambiado, lo que resulta en un cambio automático en sus políticas de acceso de usuario y una alerta de Operaciones de seguridad. Este es un ejemplo muy básico de cómo una plataforma de protección de datos puede informar y afectar la confianza del usuario.

¿Qué comprende una plataforma integral de protección de datos?

La arquitectura eficaz de una plataforma de protección de datos completa requiere un enfoque integrado y multivectorial. La plataforma debe ser una combinación de puntos de regulate que aprovechen un mecanismo de clasificación común y un flujo de trabajo de gestión de incidentes común. La aplicación de la protección de datos debe facilitar los controles de aplicación en los hosts administrados, las redes, los recursos SaaS y IaaS y, siempre que sea posible, restringir la ubicación de datos confidenciales en áreas donde no hay controles.

McAfee permite esto hoy a través de un enfoque de DLP unificado que combina:

  • Prevención de pérdida de datos del host (DLP)
  • Prevención de pérdida de datos de purple (DLP)
  • Agente de seguridad de acceso a la nube (CASB)
  • Puerta de enlace website híbrida: neighborhood y SaaS
  • Administracion de incidentes

Este enfoque integral permite que las políticas de protección de datos sigan los datos en todo el entorno administrado, lo que garantiza que los datos empresariales estén protegidos en reposo, en tránsito y en uso. Dentro de la plataforma, la confianza del usuario se evalúa de forma condicional en función de la política en cada punto de aplicación, y cualquier cambio en el grupo de un usuario a través de la arquitectura Zero Have faith in modifica automáticamente las políticas dentro de la plataforma de protección de datos.

¿Qué sigue?

La protección de datos ha sido durante mucho tiempo un desafío para todas las empresas. La implementación exitosa de las tecnologías de protección de datos requiere un esfuerzo programático que incluya a los propietarios de los datos para identificar y construir protecciones en torno a la información confidencial de manera precisa y exitosa. Si no se implementa correctamente, la protección de datos abre la puerta a interrupciones del usuario que muchas organizaciones tienen muy poca tolerancia. Es por eso que tantas organizaciones centran sus esfuerzos en mejorar las protecciones de acceso y perímetro. Los adversarios lo saben, por lo que comprometer las credenciales de usuario o la cadena de suministro para obtener acceso sigue siendo un punto de entrada muy aprovechado para los actores de amenazas, porque las protecciones de command de acceso y perímetro no protegen contra las personas que ya están dentro de la pink con el acceso adecuado. A medida que las empresas planifican arquitecturas Zero Believe in, la protección de datos debe ocupar un lugar central.

Al exigir que las agencias cuantifiquen el tipo y la sensibilidad de sus datos no clasificados, la OE parece estar guiando a las agencias de la Rama Ejecutiva por el camino de la centralización de datos. La Orden Ejecutiva se centra en mejorar la adopción de las mejores prácticas de cifrado en torno a los datos e implementar la autenticación multifactor en un esfuerzo por proteger el acceso a datos confidenciales de personas externas malintencionadas. Sin embargo, se queda corto en el fomento de la adopción generalizada de arquitecturas de prevención de pérdida de datos para proteger contra fugas de datos accidentales y maliciosas.

CISA tiene la oportunidad de priorizar los datos como el recurso central de una empresa en su próxima estrategia de seguridad en la nube, lo que impulsará la adopción de la arquitectura Zero Have confidence in por parte de las agencias. Deben aprovechar esta oportunidad para enfatizar la importancia de diseñar una plataforma integral de protección de datos que sirva como identificador de confianza y como mecanismo de protección.





Enlace a la noticia primary