NIST e CISA: cibersegurança no modelo Zero Trust

O CISA é a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos, que tem como missão proteger a infraestrutura crítica do país contra ameaças físicas e cibernéticas. O CISA oferece serviços e orientações para as agências federais, estaduais, locais, tribais e territoriais, o setor privado e outros parceiros. O NIST é o Instituto Nacional de Padrões e Tecnologia dos Estados Unidos, que tem como missão promover a inovação e a competitividade industrial por meio da medição da ciência, dos padrões e da tecnologia. O NIST desenvolve e publica padrões e diretrizes para a segurança da informação e da comunicação.
O modelo de segurança zero trust é uma forma moderna e eficaz de proteger os dados e os recursos de uma organização, assumindo que nenhum elemento da rede é confiável por padrão e que todos devem ser verificados continuamente antes de acessar ou compartilhar os dados. Esse modelo contrasta com os modelos de segurança tradicionais, baseados em perímetros e em credenciais, que confiam em firewalls e em senhas para proteger os dados dentro da rede corporativa, mas não conseguem impedir que invasores ou usuários mal-intencionados acessem os dados uma vez que eles estejam dentro do perímetro.

O modelo de segurança zero trust ganhou popularidade nos últimos anos, especialmente após a publicação do memorando M-19-17 pelo Escritório de Gestão e Orçamento (OMB) dos Estados Unidos em 2019, que orientou as agências federais a adotarem esse modelo como parte da sua estratégia de modernização de TI. Em 2020, o National Institute of Standards and Technology (NIST) publicou o documento SP 800-207, que define o conceito de arquitetura de zero trust (ZTA) e fornece orientações gerais para o seu planejamento e implantação. Em 2021, a Agência de Segurança Cibernética e de Infraestrutura (CISA) publicou o modelo de maturidade de zero trust (ZTMM), que visa auxiliar as agências federais no desenvolvimento de estratégias e planos de implantação de zero trust e apresentar formas pelas quais os serviços da CISA podem apoiar as soluções de zero trust nas agências.

Neste artigo, vamos analisar a abordagem do NIST e da CISA sobre o modelo de segurança zero trust, destacando as suas semelhanças, diferenças e complementaridades.

A abordagem do NIST sobre o modelo de segurança zero trust

O NIST define o modelo de segurança zero trust como “um conjunto de paradigmas e princípios cibernéticos que mudam as defesas estáticas baseadas na rede para se concentrar em usuários, ativos e recursos”. O NIST propõe o conceito de arquitetura de zero trust (ZTA) como uma forma de usar os princípios de zero trust para planejar a infraestrutura e os fluxos de trabalho industriais e empresariais. O NIST também afirma que não há uma solução única ou um produto específico para implementar uma ZTA, mas sim um conjunto de componentes lógicos que podem ser implementados usando diferentes tecnologias.

O NIST identifica três componentes principais em uma ZTA:

• Agente da política: é o componente responsável por comunicar a política ou as regras que determinam como os dados ou recursos podem ser acessados ou compartilhados.
• Sistema da política: é o componente responsável por armazenar as políticas ou regras definidas pelo proprietário dos dados ou recursos.
• Sistema controlador da política: é o componente responsável por aplicar as políticas ou regras aos pedidos dos usuários ou dispositivos.

O NIST também identifica sete princípios básicos para uma ZTA:

1. Todos os recursos são identificados como um recurso protegido independentemente da localização na rede.
2. Todos os pedidos são verificados dinamicamente antes do acesso aos recursos.
3. O acesso aos recursos é concedido com base no mínimo necessário.
4. Os dados são protegidos em repouso e em trânsito.
5. Todos os componentes são verificados quanto à integridade antes do uso.
6. A coleta e análise dos dados são realizadas para melhorar a postura geral da segurança.
7. A ZTA não depende exclusivamente das tecnologias existentes.

A abordagem da CISA sobre o modelo de segurança zero trust

A CISA define o modelo de segurança zero trust como “uma abordagem onde o acesso aos dados, redes e infraestrutura é mantido no que é minimamente necessário e a legitimidade desse acesso deve ser continuamente verificada”, com base na definição do NIST. A CISA propõe o modelo de maturidade de zero trust (ZTMM) como uma forma de auxiliar as agências federais na transição para uma arquitetura de zero trust. O ZTMM é baseado nas fundações de zero trust e fornece exemplos específicos de arquiteturas tradicionais, iniciais, avançadas e ótimas de zero trust.

A CISA identifica cinco pilares em um ZTMM:

1. Identidade: refere-se à verificação da identidade dos usuários e dos dispositivos que tentam acessar os dados ou recursos.
2. Dispositivo: refere-se à verificação da integridade dos dispositivos usados pelos usuários para acessar os dados ou recursos.
3. Rede: refere-se à segmentação da rede em microperímetros isolados que restringem o movimento lateral dos invasores ou dos usuários mal-intencionados.
4. Dados: refere-se à proteção dos dados em repouso ou em trânsito por meio de criptografia, classificação, rotulagem e controle granular do acesso aos dados.
5. Aplicação: refere-se à proteção das aplicações usadas pelos usuários para acessar os dados ou recursos por meio de firewall, monitoramento, análise e teste.

A CISA também identifica três capacidades transversais em um ZTMM:

• Visibilidade: refere-se à capacidade de coletar, armazenar e analisar os dados de eventos e telemetria relacionados às atividades dos usuários, dispositivos, redes, dados e aplicações.
• Automação: refere-se à capacidade de automatizar os processos de verificação, proteção e monitoramento dos usuários, dispositivos, redes, dados e aplicações.
• Orquestração: refere-se à capacidade de integrar e coordenar as soluções e ferramentas usadas para implementar o modelo de segurança zero trust.

Análise comparativa das abordagens do NIST e da CISA

As abordagens do NIST e da CISA sobre o modelo de segurança zero trust apresentam semelhanças, diferenças e complementaridades..

As semelhanças incluem:

• Ambas as abordagens se baseiam na definição do NIST sobre o modelo de segurança zero trust.
• Ambas as abordagens reconhecem que não há uma solução única ou um produto específico para implementar uma arquitetura de zero trust, mas sim um conjunto de componentes lógicos que podem ser implementados usando diferentes tecnologias.
• Ambas as abordagens enfatizam a importância da verificação contínua dos usuários, dispositivos, redes, dados e aplicações antes do acesso aos recursos.
• Ambas as abordagens destacam a necessidade da coleta e análise dos dados para melhorar a postura geral da segurança.

As diferenças incluem:

• A abordagem do NIST é mais conceitual e genérica, enquanto a abordagem da CISA é mais prática e específica para as agências federais.
• A abordagem do NIST se concentra nos componentes lógicos da arquitetura (agente da política, sistema da política e sistema controlador da política), enquanto a abordagem da CISA se concentra nos pilares funcionais do modelo (identidade, dispositivo, rede, dados e aplicação).
• A abordagem do NIST se baseia em sete princípios básicos para uma ZTA, enquanto a abordagem da CISA se baseia em três capacidades transversais para um ZTMM (visibilidade, automação e orquestração).

As complementaridades incluem:

• A abordagem do NIST fornece uma definição clara e consistente do modelo de segurança zero trust e da arquitetura de zero trust, que serve como referência para outras organizações.
• A abordagem da CISA fornece um modelo prático e aplicável para implementar o modelo de segurança zero trust nas agências federais

Alguns links de referência para você consultar sobre o tema: 

• https://www.cisa.gov/zero-trust-maturity-model : Este é o link para o Modelo de Maturidade de Confiança Zero publicado pelo CISA, que fornece orientação e soluções para as agências federais implementarem arquiteturas de confiança zero.
• https://www.cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model : Este é o link para o comunicado de imprensa sobre a versão atualizada do Modelo de Maturidade de Confiança Zero publicado pelo CISA em abril de 2023.
• https://www.cisa.gov/sites/default/files/2023-04/zero_trust_maturity_model_response_comments_508.pdf : Este é o link para a Resposta aos Comentários para o Modelo de Maturidade de Confiança Zero que resume o feedback e as modificações em resposta à versão 1.0 do Modelo de Maturidade de Confiança Zero publicado pelo CISA.
• https://www.sdxcentral.com/articles/news/cisa-enhances-zero-trust-maturity-model/2023/04/ : Este é o link para um artigo que explica como o CISA aprimorou seu Modelo de Maturidade de Confiança Zero com base na definição de confiança zero do NIST.
• https://www.cisa.gov/news-events/alerts/2021/02/26/nsa-releases-guidance-zero-trust-security-model : Este é o link para um alerta que informa sobre a orientação da NSA sobre Abraçando um Modelo de Segurança de Confiança Zero, que se baseia na definição de confiança zero do NIST.