NSA recomenda adoção de princípios zero trust para melhorar gestão de identidades, credenciais e acesso

A NSA publicou esta orientações para ajudar os operadores de sistemas a amadurecerem as capacidades de gestão de identidade, credenciais e acesso (ICAM, na sigla em inglês). Desta forma, a agência norte-americana pretende melhorar a proteção contra as ciberameaças.

Segundo os peritos, poucas capacidades de ICAM podem se revelar um risco para as infraestruturas críticas, a segurança nacional e sistemas de base industrial (DIB, na sigla em inglês), mas podem ser melhoradas integrando princípios de zero trust nas redes corporativas. Assim, uma estrutura madura de zero trust requer a adoção de competências nos seguintes pilares: aplicação/workload; automação e orquestração, dispositivos, dados, redes/ambiente, utilizador, visibilidade e analítica.

Enquanto parte da estratégia nacional de cibersegurança, a adoção do zero trust é obrigatória pela ordem executiva 14028 e pelo National Security Memorandum 8 (NSM-8), que se aplica às agências do Federal Civilian Executive Branch (FCEB) e aos proprietários e operadores do National Security System (NSS). 

Seguindo as orientações de 2021 sobre a adoção de um modelo de segurança zero trust, a NSA está agora a fornecer recomendações sobre os níveis de capacidade e maturidade para o pilar do utilizador zero trust – que se refere à gestão do acesso num ambiente de risco dinâmico. Este pilar refina as capacidades associadas com a framework Federal Identity, Credential, and Access Management (FICAM), criada em 2009 para fornecer uma arquitetura de segmento ICAM comum para as agências federais utilizarem. Essas capacidades incluem gestão de identidades, de credenciais, de acessos, federação e governance. 

Segundo a NSA, a amadurecimento da gestão de identidades inclui a criação de um inventário de utilizadores com acesso a recursos críticos, o uso de inventários padronizados que são acessíveis de forma central, a realização de verificação de identidades, a definição de padrões de atributos corporativos e a definição de atributos baseados em risco.

A NSA recomenda o estabelecimento de credenciais seguras e autenticação multifator forte para utilizadores pessoas, assim como proteções baseadas em hardware para outros autenticadores.
Para um modelo mais maduro, a NSA recomenda fazer inventários dos direitos dos utilizadores e políticas de acesso, tendo em vista garantir que têm o mínimo de privilégios. 

“Expandir e refinar o roadmap do FICAM sob os princípios de um modelo de segurança zero trust vai fornecer à organização ferramentas e processos para resistir, detetar e responder a ameaças cada vez maiores que exploram fraquezas ou lacunas em seus programas ICAM. As ferramentas e os processos apoiam uma mentalidade operacional de que as ameaças existem dentro dos limites nominais de seus sistemas. A vigilância é necessária para garantir que os riscos sejam continuamente avaliados e que as respostas apropriadas sejam adotadas em tempo útil”, conclui a NSA.