BLOG

A orientação TIC 3.0 deve mudar sua abordagem de segurança?

Miniatura de Bill Church
Igreja de Bill
Publicado em 31 de agosto de 2020

Ataques cibernéticos contra agências federais são uma ameaça persistente e em constante evolução que exige uma resposta cada vez mais sofisticada. O uso crescente de ambientes de nuvem e móveis, juntamente com um aumento sem precedentes no número de trabalhadores remotos, tornou as agências mais vulneráveis à ameaça de hackers, fraudadores e agentes estatais mal-intencionados que têm como alvo a ampla presença online do governo federal. O lançamento de uma versão atualizada da política de Conexões Confiáveis à Internet (TIC 3.0) coloca as agências em melhor posição para enfrentar esses novos desafios de risco.

Um dos principais objetivos do TIC 3.0 é facilitar a mudança das agências em direção à modernização, incluindo a adoção mais ampla da nuvem e a acomodação de trabalhadores remotos usando vários dispositivos. Se sua agência está avançando fortemente nessas áreas, agora seria um excelente momento para considerar atualizar sua abordagem de segurança usando a orientação do TIC 3.0.

Atualizações do TIC 3.0

A iniciativa TIC, introduzida em 2007, foi um passo importante na segurança cibernética federal, estabelecendo uma estrutura de controles de segurança, análises, governança e práticas de aplicação de SDLC. O TIC 3.0 representa as diretrizes mais recentes para a implantação de arquiteturas seguras, flexíveis e escaláveis, levando em consideração aspectos além da tecnologia de infraestrutura.

As três agências que supervisionam a iniciativa — o Escritório de Gestão e Orçamento (OMB), a Agência de Segurança Cibernética e de Infraestrutura (CISA) do Departamento de Segurança Interna (DHS) e a Administração de Serviços Gerais (GSA) — citaram como meta do TIC 3.0 proteger dados, redes e limites federais, ao mesmo tempo em que fornecem visibilidade ao tráfego da agência, incluindo comunicações em nuvem. As principais atualizações incluem orientação mais flexível e casos de uso reais para cobrir a necessidade de abordagens alternativas à segurança de rede tradicional.

Atualmente, há quatro casos de uso — TIC tradicional, nuvem, filial e usuários remotos —, dando às agências a capacidade de facilitar novas soluções de tecnologia da informação adequadas ao ambiente de trabalho em constante mudança de hoje. Versões anteriores do TIC não abordavam efetivamente o trabalho remoto, embora ele tenha se tornado uma prática cada vez mais comum no local de trabalho. A pandemia da COVID-19 acelerou muito o ritmo do trabalho remoto, criando uma necessidade ainda mais urgente de uma estratégia que forneça acesso seguro e confiável para ambientes de trabalho não tradicionais. Com a implementação adequada das diretrizes do TIC 3.0, as agências poderão promover tráfego seguro de rede e perímetro dentro das zonas de confiança corporativas federais, expandindo-o para todo o tráfego da agência.

Avalie sua arquitetura

O Manual de Casos de Uso do TIC 3.0 aconselha as agências a avaliarem sua arquitetura para determinar quais casos de uso são aplicáveis e explica como elas podem proteger suas arquiteturas e cumprir com os requisitos do TIC. Acredito que esta seja uma ótima ferramenta para agências, especialmente para aquelas que não possuem os componentes arquitetônicos necessários para casos de uso específicos.

Espera-se que as agências protejam os limites da rede de acordo com o Memorando M-19-26 da OMB . No entanto, cada agência é diferente. É por isso que é importante que você tenha sua missão em mente ao determinar sua abordagem de segurança e também equilibrar as estratégias propostas pelo TIC 3.0 com seus próprios objetivos de missão.

A estrutura de segurança cibernética correta para agências é importante

A estrutura TIC 3.0 é baseada principalmente na Estrutura de Segurança Cibernética do Instituto Nacional de Padrões e Tecnologia (NIST), que consiste em cinco funções principais de importância crítica:

Identificar: Tenha uma compreensão completa de seus sistemas, pessoas, ativos, dados e capacidades para que você possa avaliar e gerenciar riscos.

Proteger: Desenvolver e implementar salvaguardas apropriadas para limitar ou conter o impacto de um potencial evento de segurança cibernética.

Detectar: Use soluções de monitoramento contínuo para que você possa detectar rapidamente a ocorrência de um evento de segurança cibernética.

Responder: Desenvolva um plano de resposta que lhe permitirá agir e conter o impacto de um evento de segurança cibernética detectado.

Recuperar: Desenvolver e implementar um plano eficaz para restaurar sistemas e/ou ativos que foram afetados pelo incidente de segurança cibernética. Incorpore lições aprendidas em uma estratégia revisada.

Talvez a parte mais importante dessa estrutura seja que cada uma dessas funções é mapeada para um Controle de Ponto de Aplicação de Política ou Segurança Universal dentro da estrutura TIC 3.0. Embora seja essencial usar a identidade para acesso como um único ponto de controle, foi esclarecedor saber — como fizemos em um relatório do F5 Labs — que 33% das violações inicialmente tinham como alvo identidades. Portanto, a necessidade de proteger o perímetro de identidade é crítica.

Os proxies de acesso são uma ferramenta eficaz para impor um único ponto de controle, fornecendo um método consistente de implementação dos controles de acesso e requisitos de autenticação necessários na frente dos aplicativos. Isso elimina a necessidade de confiar que todo desenvolvedor de aplicativos é um especialista em autenticação, o que é um cenário improvável.

Ao implementar seus padrões de segurança atualizados, recomendo que você tenha as soluções de aplicativos adaptáveis corretas para atender aos aspectos apropriados da orientação do TIC. Você deve seguir um continuum do código ao cliente que aborda os seis elementos principais a seguir que integram e satisfazem muitos dos princípios orientadores da estrutura TIC 3.0, especialmente no que se refere aos casos de uso relevantes para sua agência:

  • visão centrada na aplicação (versus focada na infraestrutura)
  • independência de plataforma como uma proposta multi-nuvem
  • código aberto no núcleo
  • Segurança integrada
  • análise integrada/habilitada para IA
  • API primeiro para desenvolvimento de aplicativos modernos

Hora de rever de perto a abordagem de segurança da sua agência

O TIC 3.0 é uma excelente oportunidade para revisar sua abordagem de segurança. Devido à evolução das ameaças, os especialistas em segurança das agências sabem que é importante permanecer vigilante. Embora a tecnologia mude, o objetivo final permanece o mesmo: proteger sua agência.

F5 pode ajudar : Praticamente todos os produtos e recursos da F5 atendem a algum aspecto da orientação do TIC, o que nos coloca em uma posição forte para atender a muitas das recomendações e controles descritos no TIC 3.0. Todas as agências e filiais do Departamento de Defesa contam com a F5 para fornecer aplicativos que cidadãos, funcionários e soldados podem acessar com segurança a qualquer momento, em qualquer dispositivo e de qualquer lugar. Na F5, damos aos nossos clientes a liberdade de entregar todos os aplicativos com segurança, em qualquer lugar, com confiança. Saiba mais em nossa página F5 para Soluções Federais dos EUA .


Igreja de Bill
Diretor de Tecnologia – F5 US Federal Solutions