Confiança Zero: Chega de dar privilégios desnecessários para os seus usuários!
Postado por Tácito Santos, Solutions Architect Brazil da NTT em 20/01/2020 em ArtigosCompartilhar:
Entendo que o título desse artigo soe mal em um primeiro momento. Mas vamos deixar claro que o assunto traz à tona um conceito cada vez mais presente na estratégia de Segurança da Informação das companhias: Zero Trust.
Desde que foi introduzido por uma consultoria há uma década aproximadamente, o lema sofreu alterações à medida que o cenário de cibersegurança se tornou mais crítico. Surgiu com a expressão “Confie, mas verifique”. Agora é “Nunca confie, sempre verifique”. Ou seja, Confiança Zero!
Existe hoje uma série de fatores que contribui para esse modelo de proteção mais rigoroso: Por exemplo: crescimento do cibercrime, equipes de Segurança mais enxutas, orçamentos restritos, mudança do formato de trabalho (muitas vezes, em ambientes remotos), BYOD, entre tantas outras. Essas razões levaram as equipes de Segurança da Informação a adotar uma abordagem de proteção de dados que vá além do perímetro tradicional. É nesse contexto que o Zero Trust se destaca.
O Zero Trust parte do pressuposto que ninguém e nenhum sistema está imune às ameaças do mundo digital. Com o avanço do cibercrime, apostar em métodos tradicionais de segurança não é o caminho mais recomendado, já que as táticas dos cibercriminosos evoluem dia após dia. Como não existem tecnologias 100% seguras, nem usuários 100% impassíveis de erros, o conceito Zero Trust estabelece controles para os usuários, limitando-os a acessar somente aquilo que lhes são estritamente necessários.
Além de definir bem os acessos dos usuários, é necessário mapear todo o tráfego de conexões que passa através da rede a fim de rastrear, auditar e controlar toda porta de entrada e saída da rede. Assim, em caso de infecção, a ação maliciosa é identificada com mais velocidade e acuracidade, já que o conceito tem por finalidade barrar qualquer comportamento anômalo.
As tecnologias voltadas para esse conceito se tornam ainda mais eficientes quando bem associadas às estratégias de microssegmentação da rede. Essa prática mitiga os chamados “movimentos laterais”, um tipo de técnica bastante utilizada pelos atacantes para escanear o ambiente em busca de outras máquinas vulneráveis atrás de dados sigilosos. Esse processo de isolamento protege a empresa quando os mecanismos de defesa perimetral, como o Firewall e o IPS, se demostram insuficientes.
Em tempos de Lei Geral de Proteção de Dados, o vazamento de informações sigilosas pode custar muito caro às organizações quando estiver em vigência. Por isso, é imprescindível que os gestores tenham plena visibilidade do ambiente.
Identificar os usuários e saber quais aplicações eles podem utilizar é crucial, mas para isso é preciso ter uma radiografia clara da rede corporativa, o que nem sempre é priorizado numa companhia devido à sua complexidade. Quando se sabe quais são os ativos da empresa, os dados mais críticos e as aplicações que causariam mais impacto caso sejam comprometidas, fica mais fácil estabelecer sua estratégia de proteção e os controles necessários, isolando o ambiente e permitindo seu acesso somente aos usuários legítimos.
Sofrer um incidente de Segurança da Informação é uma questão de tempo (como dizem tantos especialistas no setor). A microssegmentação, em conjunto com o conceito Zero Trust, limita o dano de uma violação quando esta ocorrer.
Além disso, essas tecnologias oferecem registros de logs de tudo o que acontece na rede, permitindo que uma análise forense seja realizada em caso de incidente. Essa prática é fundamental para ajudar gestores a melhorar processos e aperfeiçoar seus controles de segurança para resposta a incidentes.
Portanto, para adotar essa estratégia, que já foi apontada pelo Gartner como uma das mais relevantes para a Segurança, é preciso que a empresa faça uma radiografia precisa de seu ambiente com um fornecedor agnóstico, experiente e com capacidade de desenhar essa arquitetura, estabelecendo as boas práticas para que a estratégia de segurança seja estabelecida definindo ações de curto, médio e longo prazo.
