Embora grande parte da EO possa não ter conceitos novos ou ousados, o potencial de impacto de longo prazo para a cibersegurança federal é alto e imediato.
A Ordem Executiva de Cibersegurança (Cybersecurity Executive Order ou EO), como seus predecessores, atraiu grande atenção dentro e fora do governo.
Embora possa ser considerado questionável se as EOs historicamente causaram o impacto pretendido – já que os ataques bem-sucedidos às redes federais aumentaram apenas em número e gravidade – avaliaremos o impacto potencial do último pedido do presidente Biden.
Existem 11 seções, das quais três são administrativas, enquanto as demais disposições constituem o cerne da EO.
Vejamos as três seções e vamos avaliar seu potencial de serem “mudanças ousadas” que reduzem rapidamente o risco em toda a organização federal. Também vamos verificar o impacto potencial para os outros setores.
Remoção das barreiras para compartilhamento de informações de ameaças
Nesta seção, o caso é que as barreiras contratuais “podem” limitar o compartilhamento de informações de ameaças críticas por TI, TO e provedores de serviços em nuvem que têm “acesso exclusivo” e visibilidade da atividade de ameaça cibernética em Sistemas de Informação Federais para outras agências federais, como a Cybersecurity and Infrastructure Security Agency (CISA), o Federal Chest of drawers of Investigation (FBI) e outros elementos da Intelligence Community (IC).
Sem dúvida, compartilhar informações de ameaças oportunas e acionáveis para que os responsáveis pela resposta a incidentes detectem e respondam rapidamente a ataques cibernéticos é fundamental. No entanto, esta ordem afirma que a remoção dessas barreiras “são etapas necessárias para acelerar a dissuasão, prevenção e resposta a incidentes.”.
A necessidade de renovar e agilizar os processos de aquisição de ICT e eliminar as barreiras contratuais não é necessariamente ousada, mas é claramente necessária e terá um impacto de longo prazo. O que não ficou claro é como a remoção dessas barreiras para essas agências irá acelerar a prevenção de incidentes.
Os benefícios para a CISA, o FBI e a IC são óbvios, mas operacionalizar esse acesso para acelerar significativamente a dissuasão e a prevenção é uma proposição totalmente diferente.
O impacto para provedores de serviços de TI, TO e nuvem, por outro lado, será significativo, pois eles serão obrigados a coletar e preservar dados, informações e relatar eventos de cibersegurança relevantes em “todos os sistemas de informação sobre os quais eles têm controle”. Essa visibilidade governamental e a regulamentação subsequente podem aumentar o foco dos provedores e de seus clientes não governamentais para reforçar a segurança da nuvem.
Modernizando a cibersegurança do governo federal
Nesta seção, está bastante claro que o foco está no planejamento e implementação da Arquitetura Zero Trust e no uso acelerado de serviços de nuvem seguros que incluem Software como Serviço (SaaS), Infraestrutura como Serviço (IaaS) e Plataforma como Serviço (PaaS) com foco especial em análise de dados cibernéticos centralizada para gerenciar riscos de cibersegurança em toda a organização federal.
O destaque aqui é a modernização do Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP) e a exigência de que as agências federais adotem autenticação multifator e criptografia ponta a ponta.
Grande parte da modernização da cibersegurança descrita no pedido não é nova. O governo federal emitiu uma política de “cloud first” em 2010 para reformar o gerenciamento federal de tecnologia da informação. Em 2011, o Escritório de Gestão e Orçamento (OMB) estabeleceu o Programa Federal de Risco e Autorização. No entanto, outros setores, desde então, ultrapassaram o governo federal na adoção de tecnologia e serviços de nuvem seguros.
Como meu bom amigo e colega Greg Young defende, a Zero Trust também não é nova; é a evolução de muitos conceitos e controles de segurança que remontam 30 anos, desde o firewall Deny-All até o de privilégio mínimo. Embora esse esforço não seja ousado ou novo, o impacto da adoção de automação e análise de segurança em nuvem sob uma estrutura Zero Trust é alto e imediato.
Aprimorando a detecção de vulnerabilidades e incidentes de cibersegurança em redes do governo federal
A EO descreve explicitamente aqui uma abordagem dupla.
- As agências devem assinar ou atualizar seus Memorandos de Acordo (MOA) com o Programa de Mitigação e Diagnóstico Contínuo da CISA para melhorar sua visibilidade das vulnerabilidades de cibersegurança.
- O lançamento de um programa de Detecção e Resposta de Endpoint (EDR) para todo o governo, juntamente com um programa aprimorado de compartilhamento de informações.
Teoricamente, isso melhoraria a capacidade das agências de detectar atividades cibernéticas maliciosas em redes federais.
Essas abordagens não são, novamente, nem ousadas nem novas, mas podem reduzir rapidamente o risco cibernético em redes federais – embora não na escala que a EO espera abordar.
Historicamente, os desafios para os programas CISA e MDL não se limitaram a orçamentos e autoridades, mas sim à estratégia e execução. Centralizar e armazenar toda a lista.gov de ativos vulneráveis conhecidos a qualquer momento representa um grande risco e preocupação para muitos CISOs de agências. Isso tem sido uma preocupação desde o início do CDM – um que enfrentei como CISO do Serviço Secreto dos EUA.
A segunda abordagem é a noção de lançar um programa governamental de detecção e resposta de endpoint (EDR). Isso será uma impossibilidade logística e de aquisição, sem mencionar a abordagem do passado.
O Departamento de Segurança Interna sozinho tem 22 agências distintas com orçamentos variados e capital humano limitado com níveis variados de implantações de EDR e EPP. Isso, juntamente com o conhecimento de que algumas agências já evoluíram além de EDR para soluções de XDR, torna esse o resultado menos provável ou impactante da EO.
O XDR melhora significativamente os recursos de EDR, pois adiciona contexto em tempo real aos dados da rede, nuvem, endpoints e gateway de e-mail/web. Essa correlação e contextualização de dados acelera a detecção e a resposta. No entanto, limitar o mandato para exigir soluções EDR – muito menos uma que abranja todas as agências – é apenas meio passo na direção certa.
Embora ofereça mais exagero do que substância, esta EO de Cibersegurança ainda aborda muitos dos desafios enfrentados pelos defensores de redes federais. Embora muitas das ações tenham datas de suspensão entre 60 e 120 dias, aumentar o compartilhamento de ameaças, modernizar os sistemas de cibersegurança e melhorar a detecção de ameaças e vulnerabilidades terá um impacto maior em longo prazo.
Assim como esperar que a próxima temporada saia na Netflix, teremos que esperar para ver a extensão do impacto que a EO terá. Mas tenho esperança de que essas etapas estejam na direção certa para permitir que os recursos existentes protejam melhor o país.