A abordagem Zero Trust, caracterizada por sua natureza proativa, está ganhando espaço no cenário da segurança digital, impulsionada pelas crescentes preocupações com a proteção de dados e sistemas.
Nesse contexto, o conceito de confiança assumiu um papel central nas discussões sobre segurança cibernética. Tradicionalmente, a segurança se baseava em elementos como infraestruturas de rede consideradas “confiáveis”, usuários, dispositivos, fornecedores e outros componentes.
Essa estratégia, embora tenha sido crucial na proteção de empresas e indivíduos, tornou-se alvo de exploração por ciberataques devido a algumas vulnerabilidades, tais como:
- O modelo de segurança “castelo e fosso”, que realiza a triagem de segurança apenas no perímetro da organização. Se um invasor ou malware conseguir ultrapassar essa barreira, pode causar danos significativos.
- Controles de acesso desatualizados, como firewalls de rede sem visibilidade sobre os aplicativos e serviços utilizados pelos usuários. Isso permite que invasores acessem esses aplicativos com facilidade caso comprometam a rede.
- A tecnologia VPN, embora eficaz na proteção da comunicação de dados, ainda apresenta lacunas na autorização e autenticação.
- Mudanças nos fluxos de trabalho, como o uso de dispositivos pessoais (BYOD) e o trabalho remoto, que podem levar a vazamentos de dados se não forem acompanhadas de medidas de segurança adequadas.
Esses desafios levaram à necessidade de um sistema de segurança mais flexível, dinâmico, simples e capaz de oferecer proteção de alto nível: o modelo Zero Trust.
Este artigo tem como objetivo apresentar o conceito de Zero Trust Security, seus princípios, como implementá-lo e outros aspectos relevantes.
Vamos explorar este tema!
O que significa Zero Trust?
Zero Trust é uma estratégia de segurança avançada que exige que todos os usuários, tanto internos quanto externos à rede de uma organização, sejam continuamente autorizados, autenticados e validados em relação à sua postura e configuração de segurança antes de obterem acesso à rede, dados e aplicativos.
Essa abordagem utiliza tecnologias de segurança de ponta, como autenticação multifatorial, segurança de endpoint avançada e gerenciamento de identidade e acesso (IAM) para verificar a identidade do usuário, mantendo um alto nível de segurança.
Além da verificação rigorosa de identidade, o modelo Zero Trust protege usuários e aplicativos contra ameaças cibernéticas sofisticadas.
Embora a expressão “Zero Trust” tenha sido popularizada por John Kindervag da Forrester, o termo foi cunhado por Stephen Paul Marsh em 1994, em sua tese sobre segurança computacional na Universidade de Stirling.
Na verdade, muitos dos conceitos do Zero Trust não são novos. Baseando-se no trabalho de Marsh, a confiança é um recurso finito, que transcende aspectos humanos como ética e moralidade. Para ele, a confiança pode ser representada como uma construção matemática.
O Zero Trust propõe que as organizações não devem confiar automaticamente em dispositivos ou usuários, mesmo que estejam conectados à LAN corporativa ou tenham sido verificados anteriormente. A estratégia se baseia em uma visibilidade clara e em tempo real dos atributos do usuário, como identidade, versões de firmware, tipo de hardware, versões de sistema operacional, vulnerabilidades, níveis de patch, logins, aplicativos instalados e detecções de incidentes.
Devido a seus recursos de segurança robustos, o Zero Trust está se tornando cada vez mais popular, e muitas organizações, incluindo o Google com seu projeto BeyondCorp, estão adotando essa abordagem.
O aumento da frequência de ataques cibernéticos, que visam endpoints, dispositivos locais, redes, dados, aplicativos em nuvem e outras infraestruturas de TI, é um dos principais fatores que impulsionam essa adoção. A pandemia de COVID-19, ao forçar muitas pessoas a trabalhar remotamente, também contribuiu para o aumento dos ataques online.
Diante desse cenário, práticas de segurança como o Zero Trust surgem como uma opção viável.
Um relatório indica que o mercado global de segurança Zero Trust deverá crescer a uma taxa de crescimento anual composta (CAGR) de 17,4% e atingir US$ 51,6 bilhões até 2026, partindo de US$ 19,6 bilhões em 2020.
Alguns termos comuns associados ao Zero Trust são Zero Trust Application Access (ZTAA), Zero Trust Network Access (ZTNA) e Zero Trust Identity Protection (ZTIP).
Quais são os princípios fundamentais do Zero Trust?
O modelo Zero Trust Security é baseado nos princípios descritos abaixo, que ajudam a proteger a rede de uma organização.
Acesso com Privilégio Mínimo 🔐
Este princípio estabelece que os usuários devem receber apenas o nível de acesso necessário para realizar suas tarefas e funções. Isso reduz a exposição do usuário a componentes sensíveis da rede.
Identificação do Usuário ✔️
É fundamental saber quem acessa a rede, aplicativos, dados, entre outros. A verificação da autenticação e autorização em cada solicitação de acesso garante uma segurança mais robusta para a organização.
Microssegmentação 🍱
Esta prática divide o perímetro de segurança em zonas menores. Esse processo, também conhecido como zoneamento, garante o fornecimento de acesso individualizado para diferentes partes da rede.
Além disso, o gerenciamento e o monitoramento contínuo dos dados entre essas zonas e o controle de acesso granular evitam o excesso de privilégios.
Utilização de Técnicas Preventivas Avançadas 🛑
O Zero Trust recomenda a adoção de técnicas preventivas avançadas que podem impedir violações online e minimizar seus danos.
A autenticação multifatorial (MFA) é uma técnica para confirmar a identidade do usuário e fortalecer a segurança da rede. Ela utiliza perguntas de segurança, mensagens de texto/e-mail de confirmação ou exercícios baseados em lógica para autenticar os usuários. Quanto mais pontos de autenticação forem implementados na rede, maior será a segurança da organização.
Monitoramento do Acesso ao Dispositivo em Tempo Real 👁️
Além do controle de acesso do usuário, é necessário monitorar e controlar o acesso do dispositivo em tempo real, verificando quantos dispositivos tentam acessar a rede. Todos esses dispositivos devem ser autorizados para minimizar a possibilidade de ataques.
Quais são os seus benefícios?
O Zero Trust oferece uma estratégia robusta para a segurança organizacional e a resiliência da rede, com diversos benefícios para os negócios:
Proteção contra Ameaças Externas e Internas
O Zero Trust estabelece políticas rigorosas para interromper ameaças externas, proteger os negócios e resguardá-los de agentes internos maliciosos. As ameaças internas, em particular, são um risco significativo, pois exploram a confiança depositada neles.
Um relatório da Verizon indica que aproximadamente 30% de todas as violações de dados envolvem atores internos.
Por isso, o Zero Trust se concentra no princípio “nunca confie, sempre verifique”.
Ao implementar autenticação estendida e explícita e monitorar e verificar cada acesso a dados, dispositivos, servidores e aplicativos, impede-se que agentes internos façam mau uso de seus privilégios.
Proteção de Dados
O Zero Trust impede que malware ou funcionários acessem grandes partes da rede. Limitar o acesso e sua duração ajuda a reduzir ataques e, mesmo que ocorra uma violação, o impacto pode ser minimizado para evitar danos maiores.
Como resultado, os dados comerciais são protegidos contra invasores. E, quando um malware consegue ultrapassar o firewall, seu acesso aos dados é limitado.
O Zero Trust não protege apenas dados, mas também propriedade intelectual e dados de clientes. Ao evitar ataques, a reputação da empresa é preservada e a confiança dos clientes mantida. Além disso, evita-se perdas financeiras e outras repercussões.
Maior Visibilidade da Rede
Como o Zero Trust não permite confiar em nada nem em ninguém, é possível determinar quais atividades e recursos serão monitorados. O monitoramento intensivo em toda a organização, incluindo fontes e dados de computação, garante a visibilidade total dos dispositivos e usuários que acessam a rede.
Assim, tem-se pleno conhecimento dos aplicativos, usuários, localização e horário associados a cada solicitação de acesso. Em caso de comportamento incomum, a infraestrutura de segurança sinaliza imediatamente a ameaça e rastreia todas as atividades em tempo real para uma proteção abrangente.
Proteção da Força de Trabalho Remota
O trabalho remoto ganhou ampla aceitação em diversos setores e empresas, especialmente após a pandemia de COVID-19. No entanto, essa prática também aumentou os riscos e vulnerabilidades cibernéticas devido a práticas de segurança deficientes em dispositivos e redes de funcionários que trabalham em qualquer lugar do mundo. Os firewalls também estão se tornando ineficazes na proteção de dados armazenados na nuvem.
Ao utilizar o Zero Trust, a identificação e verificação do usuário em cada nível substitui o conceito de perímetro ou abordagem de castelo e fosso. A identidade é associada a todos os dispositivos, usuários e aplicativos que tentam acessar a rede.
Dessa forma, o Zero Trust oferece proteção robusta para toda a força de trabalho, independentemente de sua localização ou do local onde os dados estão armazenados.
Facilita o Gerenciamento de TI
Como a segurança Zero Trust se baseia no monitoramento, controle e análise contínuos, a automação pode facilitar o processo de avaliação das solicitações de acesso. A aprovação manual de cada solicitação consumiria muito tempo e reduziria o fluxo de trabalho, impactando as metas e a receita da empresa.
O uso de ferramentas de automação, como o Privileged Access Management (PAM), pode avaliar as solicitações de acesso com base em identificadores de segurança e conceder o acesso automaticamente. Isso evita que a equipe de TI precise aprovar todas as solicitações e reduz erros humanos.
Quando o sistema sinaliza uma solicitação como suspeita, os administradores podem assumir o controle. Dessa forma, a automação libera a equipe para se dedicar à melhoria e inovação em vez de tarefas rotineiras.
Garante a Conformidade
Como cada solicitação de acesso é avaliada e registrada com detalhes, o Zero Trust ajuda a manter a conformidade. O sistema rastreia o tempo, aplicativos e local de cada solicitação para criar um histórico de auditoria que serve como uma cadeia de evidências.
Com isso, não é necessário se esforçar para manter ou produzir evidências, tornando a governança eficiente e ágil, além de proteger a empresa de riscos de compliance.
Como implementar o Zero Trust?
Cada organização possui necessidades e desafios únicos, mas alguns aspectos são comuns a todas. Por isso, o Zero Trust pode ser implementado em qualquer organização, independentemente do setor ou tipo de negócio.
A seguir, veja como implementar a segurança Zero Trust em sua organização.
Identificar Dados Confidenciais
Saber quais dados confidenciais a empresa possui, para onde eles vão e como são utilizados ajuda a definir a melhor estratégia de segurança.
Além disso, é necessário identificar ativos, serviços e aplicativos e analisar as ferramentas atuais e as lacunas na infraestrutura que possam representar brechas de segurança.
- Os dados e ativos mais críticos devem receber o nível mais alto de proteção para evitar que sejam comprometidos.
- É possível classificar os dados em: confidenciais, internos e públicos. Além disso, a microssegmentação ou zoneamento pode ser utilizado para criar pequenos blocos de dados para diferentes zonas conectadas em um ecossistema de redes estendido.
Mapear Fluxos de Dados
Avalie como os dados fluem pela rede, incluindo fluxos transacionais, que podem ser multidirecionais. Isso ajuda a otimizar o fluxo de dados e criar microrredes.
Lembre-se também da localização dos dados confidenciais e de quem pode acessá-los para implementar práticas de segurança mais rigorosas.
Estabelecer Microrredes Zero Trust
Após obter informações sobre como os dados confidenciais fluem pela rede, crie microrredes para cada fluxo de dados. Elas devem ser projetadas para que apenas as melhores práticas de segurança sejam utilizadas em cada caso.
Nessa etapa, utilize controles de segurança virtuais e físicos, tais como:
- Impor o microperímetro para evitar movimentos laterais não autorizados. É possível segmentar a organização com base em locais, grupos de usuários, aplicativos, etc.
- Introduzir autenticação multifatorial, como a autenticação de dois fatores (2FA) ou de três fatores (3FA). Esses controles de segurança oferecem uma camada extra de segurança e verificação para todos os usuários, tanto internos quanto externos à organização.
- Implementar o acesso com privilégio mínimo aos usuários que precisam concluir suas tarefas e funções. Essa medida deve ser baseada no local onde os dados confidenciais estão armazenados e em como eles são utilizados.
Monitorar o Sistema Zero Trust Continuamente
Monitore toda a rede e ecossistemas de microperímetro continuamente para inspecionar, registrar e analisar dados, tráfego e atividades. Esses dados permitem descobrir atividades maliciosas e sua origem para fortalecer a segurança.
Isso fornece uma visão abrangente de como a segurança está sendo mantida e se o Zero Trust está funcionando adequadamente na rede.
Utilizar Ferramentas de Automação e Sistemas de Orquestração
Automatize processos com ferramentas de automação e sistemas de orquestração para otimizar a implementação do Zero Trust. Isso ajuda a economizar tempo e reduz o risco de falhas organizacionais ou erros humanos.
Agora que você tem uma visão geral do Zero Trust, de como ele funciona, de como implementá-lo e de seus benefícios, vamos explorar algumas ferramentas que podem facilitar sua implementação.
Quais são as soluções de segurança Zero Trust?
Diversos fornecedores oferecem soluções Zero Trust, como Akamai, Palo Alto, Cisco, Illumio, Okta, Unisys, Symantec e Appgate SDP.
Uma solução ou software de Zero Trust Networking é uma solução de gerenciamento de identidade e segurança de rede que auxilia na implementação do modelo Zero Trust. O software permite monitorar continuamente a atividade da rede e o comportamento do usuário e autenticar cada solicitação.
Se um usuário tentar violar permissões ou tiver um comportamento anormal, o sistema solicitará mais autenticação. Ao mesmo tempo, o software coleta dados de logs de tráfego, comportamentos do usuário e pontos de acesso para fornecer análises detalhadas.
O software pode usar autenticação baseada em risco, especialmente para controlar o acesso à rede. Veja alguns softwares de Zero Trust Networking:
- okta: utiliza a nuvem e aplica políticas de segurança mais robustas. O software se integra aos sistemas de identidade e diretórios existentes na organização, além de mais de 4.000 aplicativos.
- Perímetro 81: Utiliza uma arquitetura robusta de perímetro definido por software, oferecendo maior visibilidade da rede, total compatibilidade, integração perfeita e criptografia de nível bancário de 256 bits.
- Gerenciamento de Identidade SecureAuth: conhecido por oferecer uma experiência de autenticação flexível e segura aos usuários, funciona em todos os ambientes.
Outras soluções notáveis de software Zero Trust Networking incluem BetterCloud, Centrify Zero Trust Privilege, DuoSecurity e NetMotion.
Quais são os desafios na implementação do Zero Trust?
Existem muitos motivos que tornam a implementação do Zero Trust um desafio para as organizações, incluindo:
- Sistemas Legados: muitos sistemas legados, como ferramentas, aplicativos, recursos de rede e protocolos, são utilizados nas operações comerciais. A verificação de identidade não pode proteger todos eles, e recriá-los seria extremamente caro.
- Controles e Visibilidade Limitados: muitas organizações não têm visibilidade abrangente de suas redes e usuários ou não conseguem definir protocolos rigorosos em torno deles por algum motivo.
- Regulamentações: Os órgãos reguladores ainda não adotaram o Zero Trust, o que dificulta a aprovação em auditorias de segurança para conformidade.
Por exemplo, o PCI-DSS exige a segmentação e o uso de firewalls para proteger dados confidenciais. No modelo Zero Trust não há firewall, o que pode gerar riscos de conformidade. Portanto, mudanças significativas nas regulamentações são necessárias para a adoção da segurança Zero Trust.
Conclusão
Embora ainda em fase de crescimento, o Zero Trust está ganhando destaque no setor de segurança. Diante do aumento de ataques cibernéticos em todo o mundo, um sistema robusto como o Zero Trust é fundamental.
O Zero Trust oferece uma arquitetura de segurança mais forte com identidade e controles de acesso a dados e transações, verificando todos os dispositivos e usuários em cada ponto de acesso. Ele pode proteger as organizações contra todos os tipos de ameaças online, sejam elas de origem humana ou de programas, externas ou internas à rede.