Por Vasu Jakkal, Vice-Presidente Corporativo, Segurança, Conformidade e Identidade
Estamos operando no cenário de segurança cibernética mais complexo que já vimos. Embora nossa capacidade atual de detectar e responder a ataques tenha amadurecido incrivelmente rápido nos últimos anos, os malfeitores não estão parados. Ataques em grande escala, como os perseguidos pelo Nobelium[i] e Hafnium, juntamente com ataques de ransomware em infraestrutura crítica, indicam que os invasores estão cada vez mais sofisticados e coordenados. É perfeitamente claro que o trabalho dos departamentos de segurança cibernética e de TI é fundamental para nossa segurança nacional e global.
A Microsoft tem um nível exclusivo de acesso a dados sobre ameaças e ataques cibernéticos em todo o mundo e temos o compromisso de compartilhar essas informações e percepções para um bem maior. Conforme ilustrado por ataques recentes, colaboramos com os setores público e privado, bem como com nossos colegas e parceiros do setor, para criar uma comunidade de segurança cibernética mais forte e inteligente para a proteção de todos.
Esse relacionamento de colaboração inclui o governo dos Estados Unidos, e celebramos os marcos que se aproximam rapidamente da Ordem Executiva[ii] (EO – do inglês, Executive Order) de segurança cibernética dos EUA. O EO especifica ações concretas para fortalecer a segurança cibernética nacional e lidar com ameaças cada vez mais sofisticadas em agências federais e em todo o ecossistema digital. Esse pedido direciona as agências e seus fornecedores a melhorar os recursos e a coordenação no compartilhamento de informações, detecção de incidentes, resposta a incidentes, segurança da cadeia de suprimentos de software e modernização de TI, que apoiamos de todo o coração.
Com essas ações nacionais postas em movimento e uma convocação para que todas as empresas aprimorem as posturas de segurança cibernética, a Microsoft e o nosso amplo ecossistema de parceiros estão prontos para ajudar a proteger nosso mundo. A estrutura moderna para proteger a infraestrutura crítica, minimizando incidentes futuros e criando um mundo mais seguro já existe: Zero Trust. Temos ajudado muitas organizações públicas e privadas a estabelecer e implementar uma abordagem de Confiança Zero, especialmente após a onda de trabalho remoto e híbrido de 2020-2021. E a Microsoft continua comprometida em fornecer soluções de segurança abrangentes e integradas em escala e oferecer suporte aos clientes em cada etapa de sua jornada de segurança, incluindo orientações detalhadas para implantação da Confiança Zero.
O papel fundamental da Confiança Zero para ajudar a proteger nosso mundo
A evidência é clara – o antigo paradigma de segurança de construir uma fortaleza impenetrável em torno de seus recursos e dados simplesmente não é viável contra os desafios de hoje. Realidades de trabalho remotas e híbridas significam que as pessoas se movem com fluidez entre a vida pessoal e a profissional, em vários dispositivos e com maior colaboração dentro e fora dos limites organizacionais. Os pontos de entrada para ataques – identidades, dispositivos, aplicativos, redes, infraestrutura e dados – residem fora das proteções dos perímetros tradicionais. O moderno patrimônio digital é distribuído, diversificado e complexo.
Esta nova realidade requer uma abordagem de Confiança Zero.
A seção 3 do EO pede “etapas decisivas” para o governo federal “modernizar sua abordagem de segurança cibernética”, acelerando a mudança para serviços em nuvem seguros e implementação de Confiança Zero, incluindo um mandato de autenticação multifator e criptografia de dados de ponta a ponta. Aplaudimos este reconhecimento da estratégia de Confiança Zero como uma prática recomendada de cibersegurança, bem como o incentivo da Casa Branca ao setor privado para tomar “medidas ambiciosas” na mesma direção que as diretrizes EO.
De acordo com a Seção 3, os padrões e orientações federais para Confiança Zero são desenvolvidos pelo Instituto Nacional de Padrões e Tecnologia (NIST) do Departamento de Comércio dos EUA, semelhante a outras medidas de inovação científica e da indústria. O NIST definiu Confiança Zero em termos de vários princípios básicos:
- Toda autenticação e autorização de recursos são dinâmicas e estritamente aplicadas antes que o acesso seja permitido.
- O acesso à confiança no solicitante é avaliado antes que o acesso seja concedido. O acesso também deve ser concedido com o mínimo de privilégios necessários para concluir a tarefa.
- Os ativos sempre devem agir como se um invasor estivesse presente na rede corporativa.
Na Microsoft, dividimos esses princípios de Confiança Zero em três princípios: verificar explicitamente, usar o acesso com menos privilégios e assumir a violação. Usamos esses princípios para nossa orientação estratégica para clientes, desenvolvimento de software e postura de segurança global.
Organizações que operam com a mentalidade Confiança Zero são mais resilientes, consistentes e responsivas a novos ataques. Uma verdadeira estratégia de Confiança Zero de ponta a ponta não apenas torna mais difícil para os invasores entrarem na rede, mas também minimiza o raio de explosão potencial, evitando o movimento lateral.
Embora evitar que atores mal-intencionados obtenham acesso seja fundamental, é apenas parte da equação de Confiança Zero. Ser capaz de detectar um ator sofisticado dentro de seu ambiente é fundamental para minimizar o impacto de uma violação. Análise e inteligência de ameaças sofisticadas são essenciais para uma avaliação rápida do comportamento, despejo e remediação de um invasor.
Recursos para fortalecer a segurança nacional nos setores público e privado
Acreditamos que a EO do presidente Biden é uma frase de chamariz oportuna, não apenas para agências governamentais, mas como um modelo para todas as empresas que buscam se tornar resilientes diante das ameaças cibernéticas. O maior foco na resposta a incidentes, tratamento de dados, colaboração e implementação de Confiança Zero devem ser uma chamada à ação para todas as organizações – públicas e privadas – na missão de proteger melhor nossa cadeia de abastecimento global, recursos de infraestrutura, informações e progresso em direção a um futuro melhor.
A Microsoft está empenhada em apoiar as agências federais em responder ao apelo do país para fortalecer as capacidades inter e intra-agências, desbloqueando todas as capacidades cibernéticas do governo. As próximas etapas recomendadas para agências federais foram delineadas por meu colega Jason Payne, Diretor de Tecnologia da Microsoft Federal. Como parte dessa responsabilidade, fornecemos às agências federais as principais arquiteturas de cenário de confiança zero mapeadas para os padrões NIST, bem como um plano de modernização rápida de confiança zero.
A Microsoft também está comprometida em apoiar os clientes a se manterem atualizados com as últimas tendências de segurança e desenvolver a próxima geração de profissionais da área. Desenvolvemos um conjunto de recursos de qualificação para treinar equipes nas capacidades identificadas no EO e estar prontos para construir um ambiente mais seguro e ágil que dê suporte a todas as missões.
Além dos recursos de EO para agências governamentais federais, continuamos a publicar orientações, compartilhar aprendizados, desenvolver e investir em novos recursos para ajudar as organizações a acelerar a adoção da Confiança Zero e atender aos requisitos de segurança cibernética.
Aqui estão os nossos principais recursos de Confiança Zero recomendados:
- Para obter detalhes sobre como a Microsoft define Confiança Zero e divide soluções em identidades, endpoints, aplicativos, redes, infraestrutura e dados, baixe o Zero Trust Maturity Model.
- Para avaliar o progresso da sua organização na jornada Confiança Zero e receber sugestões para as próximas etapas técnicas, use nossa ferramenta Zero Trust Assessment.
- Para obter orientação técnica sobre implantação, integração e desenvolvimento, visite nosso Zero Trust Guidance Center para obter orientações com passo a passo sobre a implementação dos princípios de Confiança Zero.
- Se você gostaria de aprender com a nossa própria jornada de implantação de Confiança Zero na Microsoft, nosso diretor de segurança da informação, Bret Arsenault, e a equipe compartilham suas histórias no Microsoft Digital Inside Track.
Enfrentando ameaças cibernéticas sofisticadas juntos
O EO é uma oportunidade para todas as organizações melhorarem as posturas de segurança cibernética e agirem rapidamente para implementar a Confiança Zero, incluindo autenticação multifator e criptografia de ponta a ponta. A Casa Branca forneceu orientações claras sobre o que é necessário, e a estrutura de Confiança Zero também pode ser usada como um modelo para empresas do setor privado, governos estaduais e locais e organizações em todo o mundo.
Nós podemos vencer como equipe contra esses invasores mal-intencionados e desafios significativos. Cada passo que a sua organização dá no avanço de uma arquitetura de Confiança Zero não apenas protege seus ativos, mas também contribui para um mundo mais seguro para todos. Aplaudimos organizações de todos os tamanhos por abraçarem a Confiança Zero e estamos comprometidos em fazer parceria com todos vocês nesta jornada.
[i] Nobelium Resource Center, Microsoft Security Response Center. 04 de março de 2021.
[ii] Presidente assina ordem executiva traçando novo curso para melhorar a segurança cibernética da nação e proteger as redes do governo federal, Casa Branca, 12 de maio de 2021.
