Zero Trust: o modelo de segurança revolucionou a cibersegurança

O desenvolvimento da mentalidade Zero Trust vai muito além da aquisição de uma nova tecnologia ou da imposição de restrições de acesso para pessoas que não pertencem à sua equipe.

Antes do modelo, os colaboradores das empresas eram considerados enquanto pessoas de fora não.

Na atualidade, diante da compreensão de que os dados são um importante ativo organizacional e de que o cibercrime avança de maneira vertiginosa , tanto o setor privado quanto o público estão se esforçando para implementar o modelo Zero Trust.

Porém, muitos gestores compreendem erroneamente o conceito e consideram como simbólico a implementação de novas tecnologias que dificultam as ações de possíveis invasores.

Na verdade, a ideia de estabelecer uma política Zero Trust (ou de confiança zero) tem muito mais a ver com uma abordagem mais cuidadosa da segurança cibernética corporativa.

É claro que as tecnologias devem ser empregadas no sentido de apoiar o modelo Zero Trust, mas ele não se resume a essas tecnologias.

Seu principal orçamento é o de que nenhuma conexão com redes e sistemas corporativos é, a princípio, confiável.

Ou seja, ao adotar o modelo Zero Trust você vai exigir que usuários, dispositivos e sistemas sejam autenticados antes da primeira conexão.

Além disso, eles também devem ser verificados novamente em vários pontos antes de acessar redes, sistemas e dados.

Assim, eliminando a confiança implícita e implementando fortes controles de gerenciamento de identidade e acesso, pois as empresas têm mais chances de garantir a segurança de seus sistemas e dados.

O Zero Trust, portanto, limita os riscos de acesso não autorizado além dos ataques e das ameaças internacionais.

Por isso, a mentalidade Zero Trust tem ganho mais aprovação, conforme aprovado o relatório ” The State of Zero Trust Security 2022 “, desenvolvido pela empresa IAM Okta.

Se você pensa em usar essa abordagem em seu negócio, continue a leitura. Nos próximos apresentados vamos explicar o que é Zero Trust, sua história e como ele funciona.

O que é Zero Trust?

A abordagem Zero Trust deve ser compreendida como um modelo ou estrutura que exige que todo e qualquer usuário, permanecendo dentro ou fora da rede de uma organização, seja autenticado, autorizado e validado de maneira contínua antes de receber ou manter o acesso a sistemas e dados .

Ao adotar essa maternidade, sua empresa assume que não há borda de rede tradicional. As redes podem ser locais, na nuvem ou híbridas, com colaboradores trabalhando de qualquer local.

O Zero Trust visa proteger a infraestrutura e os dados da empresa , para que o processo de transformação digital não torne o seu negócio cada vez mais vulnerável a incidentes.

A abordagem engloba o tratamento dos desafios modernos relacionados à tecnologia a partir de uma nova perspectiva.

Nesse sentido, o Zero Trust te ajuda a garantir proteção para os trabalhadores remotos, ambientes de nuvem híbrida e ameaças de ransomware , entre outras possibilidades de incidentes.

Ao adotar o Zero Trust, você afasta sua empresa de uma estratégia de segurança baseada em restrição, que corresponde a uma abordagem que usa firewalls e outras tecnologias para construir uma restrição em torno do ambiente tecnológico de um empreendimento.

Esse tipo de estratégia estende a confiança a todos os usuários e dispositivos dentro do perímetro, permitindo acesso extenso ou mesmo ilimitado a todos os sistemas dentro da empresa.

Nas últimas décadas, o que se viu foi a desintegração deste perímetro, com a ascensão da internet comercial, da computação em nuvem, da comunicação móvel, da internet das coisas e do trabalho remoto.

A quantidade de colaboradores, parceiros, dispositivos e aplicativos fora do perímetro tradicional de tecnologia da informação que precisam acessar aplicativos e sistemas dentro do perímetro e vice-versa cresceu exponencialmente.

Paralelamente, os cibercriminosos estão explorando novas possibilidades de atuação e lançando ataques para se misturar com o crescente volume de tráfego nas redes das organizações.

O Zero Trust tem o objetivo de interromper esses ataques e limitar os danos causados, eliminando a confiança implícita

.

Por isso é que a abordagem Zero Trust é compreendida a partir da exigência de que usuários, dispositivos e sistemas provem que estão autorizados antes de obter o acesso .

Sendo assim, este modelo depende da tecnologia, mas não é uma tecnologia, e sim um princípio ao qual toda a estratégia de cibersegurança deve estar atrelada.

Para adotar o Zero Trust, você vai precisar se basear em políticas como o princípio do menor privilégio, projetos de arquitetura de TI como a microssegmentação, além das novas tecnologias.

Assim, você pode acompanhar, por exemplo, à autenticação multifator, à análise de comportamento de usuários e entidades e ao monitoramento de terminais.

Como funciona o Zero Trust

A implementação do modelo Zero Trust deve combinar tecnologias, como login multifator baseado em risco, proteção de identidade, segurança de endpoint de última geração e tecnologia robusta de carga de trabalho em nuvem para verificar a identidade de um usuário ou sistema avançado, a consideração de acesso naquele momento e manutenção de segurança do sistema.

O Zero Trust também requer o uso de criptografia de dados, proteção de e-mail e verificação da higiene de ativos e endpoints antes da conexão aos aplicativos.

Tudo isso indica que, ao utilizar a abordagem Zero Trust, você estará se afastando da estratégia tradicional de segurança de rede, que seguirá o método de “confiar, porém verifique”.

Essa abordagem tradicional confiava automaticamente em usuários e endpoints dentro do perímetro da organização, colocando o negócio em risco.

Isso é seguro porque, obviamente, existem agentes internos mal-intencionados e não são raros os casos em que as credenciais legítimas são assumidas por agentes externos .

Isso torna a abordagem tradicional da cibersegurança obsoleta, pois ela possibilita o acesso indevido de amplo alcance a contas não autorizadas, que com frequência são comprometidas.

A partir da migração para a nuvem e da interferência de um ambiente de trabalho distribuído devido à pandemia iniciada em 2020, não fez mais sentido prender-se a esse tipo de abordagem.

A arquitetura Zero Trust ganhou força ao exigir que as organizações monitorem e validem continuamente se um usuário e seu dispositivo têm os privilégios e atributos corretos.

O modelo considerado a aplicação da política que incorpora o risco do usuário e do dispositivo , além da conformidade ou outros requisitos a serem considerados antes de permitir a transação.

Ele também exige que a empresa conheça todos os seus serviços e contas privilegiadas e possa estabelecer controle sobre o que e onde eles se conectam.

A validação única não é suficiente, porque as ameaças e os atributos do usuário estão sujeitos às alterações .

Portanto, para se considerar adepto do modelo Zero Trust, a empresa precisa garantir que todas as aprovação de acesso sejam continuamente verificadas antes de permitir o acesso a qualquer um de seus ativos corporativos ou de nuvem.

A aplicação das políticas Zero Trust depende da visibilidade em tempo real de centenas de atributos, como:

  • A identidade do usuário e o tipo de credencial;
  • A localização geográfica;
  • Os privilégios de credenciais em cada dispositivo;
  • Os padrões de comportamento em relação à credencial e ao dispositivo;
  • O tipo e a função do hardware do endpoint;
  • Os aplicativos instalados no endpoint;
  • O protocolo de autenticação e risco;
  • Como versões de firmware;
  • As versões do sistema operacional e níveis de patch;
  • As detecções de segurança ou incidentes, incluindo atividades suspeitas e reconhecimento de ataques.

Além dessa visibilidade, o uso de análises deve estar vinculado a trilhões de eventos, ampla telemetria corporativa e inteligência de estratégias.

As empresas precisam avaliar detalhadamente sua infraestrutura de TI e possíveis caminhos de ataque para evitá-los ou minimizar o impacto caso uma violação.

História do modelo Zero Trust

No início dos anos 2000, já era visível uma rachadura na abordagem de cibersegurança baseada em estrutura em razão do início da adoção corporativa da adoção em nuvem.

Essa transição transitória que as equipes de segurança corporativa repensam sua postura de defesa.

Nesse contexto, em 2004, o Jericho Forum, um consórcio internacional de segurança, apresentou o que seriam as raízes da ideia de Zero Trust.

Começou-se a desenvolver um novo conceito de abordagem de segurança, chamado, a princípio, de desperimetrização.

De modo geral, ele exigia vários níveis de controles de segurança, incluindo criptografia e autenticação em nível de dados.

A expressão Zero Trust só foi surgir em 2010, quando John Kindervag, analista da Forrester Research, apresentou a ideia de que uma organização não deve estender a confiança a nada dentro ou fora de seus perímetros.

Em 2011 o Google lançou o BeyondCorp, que partiu de uma iniciativa interna em resposta aos ataques cibernéticos da Operação Aurora.

O objetivo da BeyondCorp era permitir que os colaboradores trabalhassem remotamente sem o uso de uma VPN.

Já em 2014, o Google publicou um artigo detalhando a iniciativa e dando à ideia de confiança zero um impulso significativo.

Em 2018, foram introduzidos os principais pilares do Zero Trust por pesquisadores e fornecedores que continuaram a promover o conceito.

Também em 2018, o NIST lançou o SP 800-207, Zero Trust Architecture, que oferecia diretrizes sobre os principais componentes da confiança zero. Essa documentação foi atualizada em 2020.

Em 2019, a Gartner introduziu a expressão “zero-trust network access” (ZTNA) para descrever produtos e serviços que fornecem o conceito Zero Trust à rede.

A Gartner também introduziu um modelo de rede chamado Secure Access Service Edge (SASE).

A popularização do Zero Trust já era bem mais visível em 2021, quando o “Relatório de adoção de Zero Trust” da Microsoft apontou que 96% dos 1.200 tomadores de decisão de segurança que responderam sua pesquisa disseram que a confiança zero é fundamental para o sucesso de suas organizações.

Além disso, cabe citar que a expansão do trabalho remoto que ocorreu durante a pandemia da Covid-19 também levou a uma maior adoção de Zero Trust, de acordo com o relatório.

No mesmo ano, o governo dos Estados Unidos mobilizou esforços para levar adiante a adoção do Zero Trust por suas agências.

Paralelamente, a Agência de Segurança Cibernética e Infraestrutura (CISA) lançou sua Arquitetura de Referência Técnica de Segurança em Nuvem e Modelo de Maturidade Zero Trust para comentários públicos.

As agências federais norte-americanas têm até o final de setembro de 2024 para cumprir cinco metas de confiança zero: identidade, dispositivos, redes, aplicativos e dados.

No intervalo de cerca de uma década, o Zero Trust passou de um conceito discutido para uma abordagem amplamente implementada para aumentar a proteção de organizações em todo o mundo.

A expectativa é de que a quantidade de empresas empenhadas em adotar o Zero Trust continue crescendo à medida em que se compreende que a abordagem não é uma tecnologia que pode ser adquirida de um fornecedor.

O Zero Trust e o NIST

Para implementar o Zero Trust, você pode se alinhar a padrões ou frameworks de cibersegurança, como, por exemplo, o NIST.

Este padrão garante compatibilidade e proteção contra ataques modernos para um modelo de trabalho em nuvem em qualquer lugar que a maioria das empresas precisa alcançar.

Diante do número crescente de violações de segurança de alto perfil, em 2021, o governo dos Estados Unidos emitiu uma ordem executiva obrigando as agências federais a aderirem ao NIST 800-207 como uma etapa necessária para a implementação do Zero Trust.

Por isso, o padrão passou por uma pesada validação e foi adotado por uma grande variedade de clientes comerciais, fornecedores e partes interessadas de agências governamentais.

O Zero Trust procura abordar os seguintes princípios-chave com base nas diretrizes do NIST:

  • Verificação contínua: sempre verifique o acesso, o tempo inteiro, para todos os recursos;
  • Limitação do raio de explosão: caso ocorra uma violação externa ou interna, o impacto deve ser minimizado;
  • Automatização da coleta e resposta de contexto: incorpore dados comportamentais e obtenha contexto de toda a pilha de TI (identidade, endpoint, carga de trabalho, entre outros) para obter uma resposta mais precisa.

Sobre os princípios fundamentais do modelo Zero Trust

Com base no Nist 800-207, podemos destacar os três princípios citados acima como pontos fundamentais da implementação da abordagem Zero Trust.

Vamos falar em seguida um pouco mais sobre cada um deles.

Verificação contínua

A verificação contínua significa que não há zonas, credenciais ou dispositivos confiáveis ​​a qualquer momento. Daí a expressão comum associada ao Zero Trust “nunca confie, sempre verifique”.

Assim, a verificação deve ser aplicada a um conjunto tão amplo de ativos continuamente com a utilização de diversos elementos-chave para que a estratégia funcione com eficácia.

O acesso condicional baseado em risco garante que o fluxo de trabalho seja interrompido apenas quando os níveis de risco mudam, permitindo a verificação contínua, sem comprometer a experiência do usuário.

A verificação contínua deve ser realizada com base em um modelo de política dinâmica rápida e escalável que não leve em conta apenas o risco, mas também inclua a conformidade e os requisitos de TI.

Limitação do raio de explosão

Quando ocorre uma violação, é importante minimizar seu impacto. Por isso, o Zero Trust limita o escopo de credenciais ou caminhos de acesso para um invasor. Assim, os sistemas e as pessoas envolvidas ganham tempo para responder e mitigar o ataque.

Limitar o raio significa usar a segmentação baseada em identidade e o princípio do menor privilégio, ou seja, a capacidade mínima necessária para a execução de uma tarefa.

Automatização da coleta e resposta de contexto

Para tomar as decisões mais eficazes e precisas, o acesso a uma quantidade maior de dados ajuda desde que eles possam ser processados ​​e executados em tempo real.

O NIST oferece orientação sobre o uso de informações das seguintes fontes:

  • Credenciais de usuário;
  • Cargas de trabalho;
  • Endpoint – qualquer dispositivo sendo usado para acessar dados;
  • Rede;
  • Dados;
  • Outras fontes (normalmente via APIs, como SIEM, SSO, Provedores de identidade e Inteligência de Ameaças). Para seguir estes princípios e adotar uma abordagem de confiança zero em sua empresa, você pode contar com a ajuda do EcoTrust, plataforma de inteligência em riscos cibernéticos que, por concepção, utiliza o conceito de Zero Trust. Acesse o site e conheça melhor a tecnologia.
Compartilhe a postagem:

Posts relacionados

Assine nossa newsletter