O que é o Trusted Internet Connection (TIC) 3.0?

O Trusted Internet Connection (TIC) é uma iniciativa federal lançada em 2007 para melhorar os pontos de presença na Internet e as conexões de rede externas do governo. O TIC 3.0 é a última iteração dessa iniciativa, que moderniza a TI federal e permite que os órgãos governamentais acessem serviços em nuvem e trabalhem remotamente com segurança.

Então, o que é uma conexão de Internet confiável? Em termos simples, uma conexão confiável com a Internet faz parte do mandato do Office of Management and Budget, que tinha como objetivo limitar o número de gateways na rede do governo. A TIC exige que todo o tráfego federal da Internet seja roteado por uma agência aprovada pela TIC.

Tradicionalmente, as agências dependem de soluções de segurança baseadas em perímetro. Esses métodos funcionavam (até certo ponto) quando a maioria dos funcionários estava trabalhando dentro do perímetro e acessando aplicativos e dados por meio do data center.

Há grandes expectativas de que a TIC 3.0 melhore significativamente a segurança no atual ambiente de TI baseado em nuvem. Mas, para obter todos os benefícios, as agências estão reconhecendo que também precisam adotar um modelo de segurança Zero Trust para garantir a proteção dos dados nos aplicativos em rede.

O que é Zero Trust e como ele se relaciona com a TIC 3.0?

A Confiança Zero tem sido cada vez mais uma meta para as organizações desde sua introdução em 2010; a TIC 3.0 é um mandato federal. A TIC 1.0 e a TIC 2.0 se concentraram quase que exclusivamente na segurança do acesso à rede. A TIC 3.0 tem como foco principal os dados e o comportamento do usuário, refletindo a evolução das ameaças modernas e os pontos fracos inerentes à segurança somente de rede.

De acordo com a orientação mais recente do NIST publicada em agosto de 2020(Zero Trust Architecture - nist.go), Zero Trust (ZT) é o termo para um conjunto em evolução de paradigmas de segurança cibernética que move as defesas de perímetros estáticos e baseados em rede para se concentrar em usuários, ativos e recursos, como dados.

Especificamente, o Zero Trust pressupõe que não há confiança implícita concedida a ativos (como dados) ou contas de usuários com base apenas em sua localização física ou de rede (ou seja, redes locais versus a Internet) ou com base na propriedade do ativo (empresarial ou pessoal). A autenticação e a autorização (tanto do sujeito quanto do dispositivo) são funções distintas executadas antes do estabelecimento de uma sessão em um recurso corporativo. O Zero Trust é uma resposta às tendências de rede corporativa que incluem usuários remotos, BYOD (bring your own device, traga seu próprio dispositivo) e ativos baseados em nuvem que não estão localizados dentro de um limite de rede de propriedade da empresa.

O Zero Trust se concentra na proteção de recursos (ativos, serviços, fluxos de trabalho, contas de rede etc.), não de elementos de rede, pois a rede não é mais suficiente para garantir a postura de segurança do recurso. A seguir, descrevemos as dimensões do Zero Trust e apresentamos modelos gerais de implementação e casos de uso em que o Zero Trust pode melhorar a postura geral de segurança da tecnologia da informação de uma empresa.

Sara Mosley, arquiteta estratégica do Departamento de Estado, disse em um artigo recente que a TIC 3.0 e o Zero Trust são dimensões de uma nova filosofia de segurança acelerada e destacada pela pandemia.

Saiba mais sobre o Zero Trust.

Qual é a diferença entre a TIC 2.0 e a TIC 3.0?

Sabemos que o governo federal atualizou sua política de Conexão Confiável com a Internet (TIC), mas por que foi necessária uma mudança e quais melhorias foram feitas em relação à versão 2.0?

Um legado infeliz da segurança de perímetro, o único foco da TIC 1.0 e da TIC 2.0, é uma falsa sensação de segurança generalizada. Ao se concentrarem em manter os intrusos fora do muro de proteção, as empresas ficaram vulneráveis às ameaças internas. As violações de segurança geralmente não eram detectadas por muitos meses.

De acordo com a Agência de Segurança Cibernética e de Infraestrutura (CISA), na TIC 2.0, a segurança da TIC protegia o perímetro de uma agência, canalizando todos os dados de entrada e saída para um ponto de acesso. Na versão 3.0, as agências têm mais flexibilidade para escolher os planos de segurança que melhor se adaptam à sua própria rede e às suas necessidades específicas.

A última geração da Trusted Internet Connection (TIC 3.0) facilitará a modernização das agências à medida que elas atualizam suas infraestruturas de rede e de data center. "O TIC 3.0 oferece a agilidade de que precisamos para seguir em frente," disse Allen Hill, diretor do Office of Telecommunications Services do Federal Acquisition Services da GSA, durante a reunião pública de meados de novembro sobre o contrato de US$ 50 bilhões e 15 anos do Enterprise Infrastructure Solutions (EIS) da agência.

O esforço de TIC, que visa manter o tráfego federal da Web seguro, começou há mais de uma década, quando os órgãos protegiam o tráfego com dezenas de data centers dedicados, dispositivos de segurança e redes privadas virtuais. Desde então, os órgãos federais passaram a usar a tecnologia de nuvem com seus métodos de transmissão de dados mais eficientes, dimensionáveis e remotos, que tornam obsoletas essas proteções mais antigas.

O EIS incorpora serviços de rede definidos por software que também expandem drasticamente os parâmetros da rede. O TIC 2.0 oferece roteamento diversificado em torno de gargalos de rede que as redes definidas por software (SDN) e restringe as rotas que podem ser usadas, disse ele.

"Como a nuvem se tornou essencial para os esforços de modernização," TIC 2.0 "se tornou uma limitação," disse John Simms, vice-chefe da Seção de Garantia de Segurança Cibernética da Divisão de Resiliência de Rede Federal da CISA. Simms disse que sua agência está procurando ver como o TIC 3.0 pode proteger os ambientes de nuvem. "Não precisamos pensar apenas no perímetro da rede ou no tráfego da rede, mas nos próprios aplicativos e em como podemos ser inteligentes ao empregar tecnologias para proteger essas pilhas de aplicativos, dados e monitoramento."

A CISA, a GSA e o Conselho de Diretores de Segurança da Informação estão desenvolvendo programas piloto de TIC 3.0 e casos de uso para aplicativos específicos, disse Shawn Connelly, gerente do programa TIC e arquiteto sênior de segurança cibernética da CISA. Os casos de uso atuais abrangem infraestrutura como serviço (IaaS), software como serviço (SaaS), e-mail como serviço (EaaS) e plataforma como serviço, bem como aplicativos de filiais, mas, de acordo com Connelly, as agências podem sugerir mais.

"O TIC 3.0 dá às agências espaço para realizar pilotos de novas interpretações" para casos de uso, disse ele. A CISA trabalhará com a agência durante o período piloto para desenvolver as melhores práticas, tornar a interpretação do aplicativo mais independente do fornecedor e ver como ele pode ser usado em todo o governo federal, disse" Connelly.

A CISA, disse Connelly, está atualmente conversando com as agências sobre um caso de uso de confiança zero e um caso de uso de colaboração de parceiros.

Na TIC 3.0, os órgãos podem implementar medidas de segurança mais próximas de seus dados e estabelecer zonas de confiança e casos de uso, em vez de redirecionar os dados para pontos de acesso para inspeção. Essa flexibilidade é especialmente útil ao lidar com a tecnologia de software como serviço (SaaS) e quando os funcionários estão trabalhando remotamente.

A TIC 3.0 reconhece que a segurança baseada em perímetro não é mais suficiente. Isso se deve, em parte, ao fato de muitos usuários ou sistemas trabalharem fora do perímetro; além disso, os agentes mal-intencionados se tornaram muito mais proficientes em roubar credenciais e entrar no perímetro.

O que a TIC 3.0 exige?

A TIC 3.0 inclui cinco objetivos de segurança que permitem que os órgãos federais façam a transição para o modelo de confiança zero:

1. Gerenciamento de tráfego - Validação de conexões de Internet confiáveis e garantia de que as atividades autorizadas sejam seguras. Monitorar quem tem acesso a dados específicos, por que o acesso foi concedido e se o acesso ainda é necessário.

2. Confidencialidade do tráfego - manter privadas e seguras as informações sobre quais dados estão sendo acessados, quem os está enviando e quem os está recebendo. Verificar se apenas o pessoal autorizado tem acesso aos dados de tráfego.

3. Integridade do tráfego - manter a integridade dos dados durante o trânsito. Impedir que os dados sejam alterados e/ou detectar qualquer alteração.

4. Resiliência do serviço - Garantir a operação contínua dos sistemas de segurança. As ameaças estão crescendo e evoluindo constantemente, e a continuidade do sistema em face de novas ameaças e tecnologias é vital.

5. Respostas oportunas e eficazes - Quando as ameaças são detectadas, o tempo de reação é essencial. A TIC 3.0 promove reações eficazes, a adaptação de respostas futuras, a implementação de novas políticas e a adoção de novas contramedidas quando um sistema é violado.

O que é tráfego gerenciado no TIC 3.0?

O gerenciamento de tráfego no TIC 3.0 "observará, validará e filtrará as conexões de dados para alinhar-se às atividades autorizadas, ao privilégio mínimo e à negação padrão".

O desafio de gerenciar efetivamente o tráfego é saber onde os dados estão e quem ou o que deve ter acesso a eles em todos os momentos - em repouso e em trânsito. Para obter esse conhecimento, as agências precisam de ferramentas que desenvolvam uma visão consistente e abrangente das identidades dentro e fora das organizações. Uma ferramenta eficaz coleta e organiza os dados de governança de identidade, fornecendo informações sobre quem tem acesso, por que o acesso foi concedido e se esse acesso ainda é necessário. O monitoramento e as atualizações contínuas fornecem uma única fonte de verdade para identidade e acesso.

As agências podem começar avaliando onde estão na matriz de segurança em relação ao Gerenciamento de Identidade e Acesso (IAM). O IAM é um modelo de várias camadas no qual cada nível de segurança fornece uma base para os níveis seguintes.

• A segurança de nível um tem quatro componentes. O primeiro é o logon único e talvez algum nível de federação em nível de departamento.
• O nível dois é a capacidade de fazer o provisionamento de usuários de forma automatizada e auditável, em vez de um possível usuário receber um pedaço de papel ou um e-mail para criar um formulário de usuário.
• O nível três é o autoatendimento do usuário para garantir que os usuários sejam autenticados para acesso, permissões recentes, uso anterior etc., de forma auditável.
• O nível quatro é a administração delegada.

Como você protege a integridade do tráfego no TIC 3.0?

A TIC 3.0 exige que somente as partes autorizadas possam discernir o conteúdo dos dados em trânsito, a identificação do remetente e do destinatário e a aplicação.

O desafio de proteger a confidencialidade do tráfego está centrado na criptografia de dados em trânsito, incluindo dados não estruturados, e na confirmação das identidades de remetentes e receptores. Uma solução é a tecnologia que incorpora drivers do kernel à pilha do sistema de arquivos dos sistemas Windows e não Microsoft, operando de forma transparente para o usuário final. Um driver intercepta arquivos, criptografando e descriptografando dados em tempo real, e funciona com todos os aplicativos e tipos de arquivos.

As organizações podem usar regras de política para garantir a criptografia automática de dados em tempo real, sem atrasar o fluxo de trabalho. Essas soluções também permitem o monitoramento de dados em tempo de execução, incluindo a captura e a análise de informações como quando e onde um arquivo foi aberto e como ele foi usado.

A proteção da confidencialidade do tráfego envolve a criptografia que preserva o formato, e o nível dois do gerenciamento de acesso à identidade abrange cerca de meia dúzia de recursos.

1. A primeira é a autenticação multifatorial, incluindo uma série de novos recursos de login introduzidos durante a pandemia, em resposta ao aumento do trabalho remoto.
2. O segundo é o aumento da visibilidade da governança, com relação a quem tem acesso a vários ativos.
3. O terceiro é o gerenciamento de acesso privilegiado, que trata dos diferentes níveis de segurança que os administradores do sistema podem acessar e proteger.
4. O quarto é um diretório virtual de usuários e recursos que é atualizado regularmente e nunca é estático.
5. Em quinto lugar, estão a segurança do serviço e o monitoramento de alterações e, em seguida, a segurança e a criptografia de dados.

Como o TIC 3.0 garante a resiliência do serviço?

A resiliência de serviços promove aplicativos resilientes e serviços de segurança para operações contínuas à medida que a tecnologia e o cenário de ameaças evoluem. A eficácia da missão exige a continuidade e a confiabilidade do sistema. Garantir o tempo de atividade pode ser um desafio quando as demandas de um sistema aumentam ou quando uma rede está sob ataque, especialmente se a equipe de TI estiver sobrecarregada. A automação de tarefas mundanas e repetitivas e a inclusão de processos de fluxo de trabalho podem aliviar a carga dos funcionários humanos e manter as operações em funcionamento. Um software especializado tem a capacidade de lidar com metade ou mais das tarefas de resposta a incidentes. A automação do fluxo de trabalho e a IA podem interrogar endpoints, configurar firewalls, isolar computadores em uma rede e bloquear contas de usuários.

Essas tecnologias também auxiliam os analistas humanos, coletando dados para acelerar a análise e realizar a correção. Em estudos de casos de uso, a IA e o aprendizado de máquina integrados podem acelerar a investigação e a resposta a incidentes por um fator de 10. Quando se trata de detecção e resposta a ameaças, cada segundo conta. Uma plataforma avançada de gerenciamento de eventos e informações de segurança (SIEM) detectará, analisará e priorizará essas ameaças em tempo real. Plataformas eficazes também oferecem suporte aos centros de operações de segurança (SOCs) com gerenciamento de fluxo de trabalho, resposta e conformidade. Um mecanismo de correlação de ameaças líder do setor promoverá uma análise de segurança eficaz em um SOC.

Como a TIC 3.0 garante uma resposta eficaz a incidentes?

A TIC 3.0 promove a reação em tempo hábil e adapta respostas futuras para descobrir ameaças, define e implementa políticas e simplifica a adoção de novas contramedidas, o que é o principal objetivo da resposta a incidentes.

Atualmente, a ameaça interna existe em grande parte na forma de código de aplicativo e segurança de aplicativo. Em média, os aplicativos usados por órgãos governamentais são 80% código personalizado ou código-fonte aberto. Eles não são de um fornecedor que tenha recursos de teste de software de nível empresarial, nem mesmo responsabilidade. Incidentes e violações cibernéticas são, 85% do tempo, o resultado de código personalizado ou de código aberto. Esse código é a oportunidade real para problemas de segurança.

Atualmente, as organizações respondem rotineiramente a grandes volumes de alertas e dados sobre ameaças que exigem atenção imediata. Para gerenciar o fluxo incessante de dados críticos, as agências no futuro aproveitarão mais atividades automatizadas orientadas por máquinas. As agências que estão migrando para a TIC 3.0 se beneficiarão das tecnologias que ajudam as organizações a ter um local central para coletar alertas e feeds de ameaças, além de responder e corrigir incidentes na velocidade da máquina.

Quais ferramentas e abordagens podem ser usadas para atender à TIC 3.0?

A autenticação multifatorial (MFA) possibilita a centralização do gerenciamento de autenticação e autorização. O gerenciamento simplificado de uma única solução reduz os custos e reforça a segurança. As soluções que podem aproveitar os padrões abertos permitem uma rápida integração e protegem contra violações de segurança e o risco de dependência do fornecedor. A flexibilidade integrada de uma estrutura de autenticação avançada permite a personalização de protocolos e métodos de segurança, além do aprimoramento da experiência geral do usuário.

A criptografia com preservação de formato (FPE) é um novo tipo de criptografia usado para cifrar um texto simples, preservando seu comprimento e formato originais, descrito pelo padrão NIST (SP 800-38G), que é amplamente examinado e validado pela comunidade criptográfica e garante que todos os dados exfiltrados sejam inúteis. Esse tipo de solução de segurança, como o Voltage, pode ser implementado facilmente em aplicativos existentes.

O software SOAR (Security Orchestration, Automation and Response) pode automatizar três categorias principais de atividades, todas tradicionalmente executadas manualmente pelos analistas:

• Triagem automatizada: Em vez de um analista de nível 1 revisar o alerta e fazer a triagem manual, o Arcsight SOAR pode fazer uma triagem automatizada. Isso poderia ser a execução de determinadas verificações para eliminar falsos positivos básicos, a busca de ativos, IPs etc. para ajustar os níveis de gravidade, talvez para consolidar vários alertas diferentes em um único caso de incidente e até mesmo enviar automaticamente o tíquete para o membro ou grupo certo dentro das equipes de SecOps. A meta com esse tipo de automação é eliminar o trabalho de Nível 1 o máximo possível ao longo do tempo.
• A coleta e a correlação de dados ajudam a colorir o incidente com dados relevantes para entender melhor um incidente. Procurar um usuário no Active Directory, verificar se alguém passou o crachá no prédio, coletar hashes de todos os programas em execução em um determinado computador e buscar todos os logs de navegação na Web de um usuário no Arcsight Logger são exemplos dessas atividades de coleta de dados e gerenciamento de logs do SIEM. No jargão do SOAR, isso é chamado de enriquecimento; dados que ajudam a entender melhor a situação. A coleta automatizada de dados em geral tem benefícios incríveis; assim que você vê um incidente na sua tela, todos os dados relevantes já podem ter sido coletados e apresentados a você na mesma tela. Não há necessidade de ir a lugares e coletar dados manualmente. Normalmente, o ArcSight SOAR by OpenText™ pode consolidar 5.000 alertas em 250 incidentes individuais gerenciáveis, diminuindo assim a carga de trabalho do analista de SOC antes mesmo de começarmos a trabalhar.
• Contenção automatizada: Você pode realizar ações na infraestrutura e nos dispositivos de segurança para conter um ataque em andamento; o bloqueio de um IP no firewall, de um URL em um gateway da Web e o isolamento de um computador no NAC são exemplos dessas ações.

O poder desse tipo de automação é que você pode misturar e combinar todas essas categorias e criar manuais de ponta a ponta com automação completa, se desejar.

Como a segurança das TICs evoluirá no governo?

A resiliência do sistema e o gerenciamento de riscos também podem se beneficiar da implementação da TIC 3.0.

Espera-se que casos de uso envolvendo confiança zero, Internet das Coisas (IoT), comunicação entre agências e SaaS sejam publicados à medida que a TIC continua a evoluir. Esses casos de uso fornecerão orientação às agências à medida que elas configurarem plataformas e serviços para estarem de acordo com a versão 3.0.

Também foram feitas sobreposições para usar plataformas fornecidas por fornecedores externos para garantir que os recursos de segurança de TIC sejam totalmente funcionais em todas as plataformas.

As agências podem participar de pilotos de TIC para cenários que ainda não estão cobertos pelos casos de uso. Esse processo colaborativo é apoiado por líderes como a CISA e a OMB e pode produzir novos casos de uso para a tecnologia utilizada pelo governo federal.

A OpenText tem o compromisso de ser uma parceira na transformação digital de empresas, negócios e órgãos federais. Nosso software aberto e flexível ajuda as empresas a fazer a transição para adotar a tecnologia do futuro, incluindo o fornecimento de serviços e soluções de TIC 3.0. Saiba mais sobre as soluções governamentais da OpenText, que podem ajudá-lo a modernizar e proteger suas infraestruturas de rede e de data center com TIC 3.0 e Zero Trust.