Segurança da Confiança Zero: Um guia completo

"Confiança zero é uma coleção de conceitos e ideias que visam minimizar a incerteza na execução de decisões de acesso precisas e de privilégio mínimo por solicitação em sistemas e serviços de informação diante de uma rede considerada comprometida." - National Institute of Standards and Technology (NIST)

Imagine um mundo sem ameaças cibernéticas.

Não há hackers, pessoas internas mal-intencionadas ou vazamentos de dados - não há motivo para se preocupar. Talvez você nem tenha uma equipe de segurança a princípio.

Infelizmente, não vivemos em um mundo perfeito, e seus dados confidenciais também não. Na realidade, os vetores de ameaças são numerosos, sua superfície de ataque está se expandindo e a próxima violação de dados está bem próxima.

A boa notícia é que o acesso seguro não é apenas um sonho impossível. Com uma estrutura Confiança zero, você pode proteger com confiança seus ativos corporativos e atenuar os obstáculos do atual ambiente de negócios em rápida evolução.

Continue lendo para saber a importância da Confiança zero, como ele beneficia a segurança corporativa e o que a sua organização pode fazer para fazer uma transição bem-sucedida para uma arquitetura Confiança zero.

O ex-analista da Forrester, John Kindervag, desenvolveu o conceito de segurança Confiança zero em 2010. Ele definiu isso como uma estrutura que pressupõe que cada conexão, dispositivo e usuário é uma ameaça em potencial e deve ser tratada como tal.

Em contraste com a maioria das outras estratégias de segurança cibernética, ela elimina a confiança implícita e exige que todos os usuários, dentro ou fora da organização, sejam continuamente autenticados antes de receberem acesso à rede. Em poucas palavras, a Confiança zero é exatamente o que parece: uma política de segurança na qual ninguém - independentemente da função ou responsabilidade - é inerentemente considerado seguro.

Além disso, o modela Confiança zero rejeita a suposição de uma borda de rede. No cenário pós-perímetro de hoje, as redes vão muito além de seus limites tradicionais e podem ser locais, na nuvem ou uma combinação dos dois. Além disso, com o aumento do acesso remoto, quase não há como saber onde um recurso pode estar localizado.

Portanto, a abordagem Confiança zero foi projetada especificamente para enfrentar os desafios modernos de segurança de dados, garantindo o acesso seguro a ativos essenciais a qualquer hora e lugar. Em termos gerais, uma rede Confiança zero fará o seguinte:

• Registrar e inspecionar todo o tráfego para identificar atividades suspeitas e possíveis vetores de ameaças
• Limitar e controlar o acesso do usuário, autorizando solicitações somente após a confirmação da identidade do usuário
• Verificar e proteger os ativos corporativos para evitar acesso e exposição não autorizados

Por que a Confiança zero é importante

As empresas estão enfrentando um volume sem precedentes de ameaças cibernéticas, tanto interna quanto externamente. Os criminosos cibernéticos aumentaram significativamente seus esforços, agora visando dados confidenciais em um ritmo incessante.

De fato, até o final de 2021, houve mais de 900 ataques por organização a cada semana. Pior ainda, os hackers atacaram redes corporativas 50% a mais em 2022 do que no ano anterior.

Não é de surpreender que os criminosos cibernéticos não tenham desacelerado nem um pouco. De acordo com dados da PwC, dois terços dos executivos consideram o crime cibernético sua ameaça mais significativa no futuro imediato. Quase metade (45%) prevê um novo aumento nos ataques de ransomware no futuro.

Para complicar ainda mais a situação, as organizações adotaram rapidamente políticas de trabalho remoto e híbrido nos últimos anos. Isso levou a uma explosão de dispositivos pessoais não gerenciados que se conectam à rede corporativa, aumentando assim a superfície de ataque da empresa.

Sem a capacidade de proteger ou monitorar os dados confidenciais armazenados e acessados por essas extremidades, as organizações correm um risco maior de violação de dados do que nunca. Isso é especialmente significativo, considerando o preço surpreendente de uma proteção deficiente contra ameaças. Conforme relatado pela IBM, o custo médio de uma única violação de dados é de US$ 4,5 milhões. No entanto, aqueles que implementam um modelo de segurança Confiança zero economizam mais de US$ 1 milhão por incidente.

As empresas também devem considerar os riscos associados à transformação digital. Com a maior dependência de aplicativos baseados em nuvem e fora do local, as empresas precisam implementar estratégias novas e sofisticadas para controle de acesso e aplicação de políticas de segurança.

Como a Confiança zero se compara à segurança cibernética tradicional?

As estratégias tradicionais adotam uma abordagem do tipo "confie, mas verifique". Em outras palavras, eles presumem que tudo que está por trás do firewall corporativo é inerentemente seguro e protegido.

A segurança Confiança zero, como o nome indica, faz o oposto. Ele enquadra as políticas de acesso por meio de uma lente "nunca confie, sempre verifique". Independentemente da origem de uma solicitação ou do recurso que ela pretende usar, os ambientes Confiança zero autenticam, autorizam e criptografam totalmente antes de conceder acesso à rede, nunca depois.

Portanto, os recursos corporativos são inacessíveis por padrão. Seus funcionários só podem usá-los nas circunstâncias certas, conforme determinado por vários fatores contextuais. Isso pode incluir a identidade do usuário, a função na organização, a sensibilidade do recurso solicitado, o dispositivo em uso e assim por diante.

Conforme descrito pelo National Institute of Standards and Technology (NIST) na Publicação Especial 800-207, a abordagem Confiança zero baseia-se em várias filosofias fundamentais. Basicamente, há três princípios de Confiança zero que fazem parte dessa política de segurança exclusiva:

• Autenticação contínua: Refere-se aos meios de conceder acesso seguro com base em níveis aceitáveis de risco. Em alinhamento com a abordagem Confiança zero, é preciso autorizar os usuários com base na identidade, no local, no dispositivo, no serviço, na carga de trabalho, na classificação dos dados e assim por diante. Após esta análise contextual, o usuário pode ser simplesmente autorizado ou solicitado a fornecer informações adicionais através de outro desafio de autenticação, ou se o risco for muito alto, eles são bloqueados.
• Limite o raio da explosão: As organizações devem sempre presumir uma violação de dados. Isso significa que eles precisam segmentar continuamente a rede em um nível granular, verificando o tráfego de ponta a ponta e maximizando a visibilidade da atividade do usuário. Isso permite que eles conduzam a detecção de ameaças, identifiquem anomalias e sempre aprimorem suas defesas.
• Acesso com privilégio mínimo: O acesso do usuário deve ser limitado com base em políticas de controle de acesso just-in-time e just-enough. Em outras palavras, os usuários só devem ter permissão para usar os recursos de que precisam para fazer seu trabalho e concluir tarefas essenciais.

5 pilares do modelo de maturidade Confiança zero

Em 2021, a Cybersecurity & Infrastructure Security Agency (CISA) criou um roteiro para a implementação da Confiança zero. Esse documento é conhecido como Modelo de Maturidade Confiança zero e descreve como as organizações podem aplicar melhor os princípios da Confiança zero em cinco pilares principais:

• Identidade: Essa área se concentra na verificação e na autorização de usuários e dispositivos antes de conceder acesso à rede. Isso pode incluir a implementação de uma solução de gestão de identidade e acesso (IAM) ou autenticação multifatorial (MFA).
• Dispositivos: Todos os dispositivos de IoT e outros dispositivos conectados à rede corporativa podem ser explorados para comprometer dados confidenciais. Esse pilar envolve a criação de um inventário de todas as conexões e o monitoramento de sua integridade para a rápida detecção de ameaças.
• Redes: Uma rede Confiança zero protege todo o tráfego, independentemente do local ou do recurso, e se segmenta para limitar o movimento lateral.
• Aplicativos e cargas de trabalho: Esse pilar envolve a proteção de cargas de trabalho no local e baseadas na nuvem por meio de políticas de acesso em nível de aplicativo e outros mecanismos.
• Dados: Todos os dados em repouso, em uso ou em movimento são criptografados, monitorados e protegidos para evitar a divulgação não autorizada.

É importante observar que não existe uma soluçãa Confiança zero única. Mais precisamente, as empresas exigem uma variedade de ferramentas e tecnologias em camadas. Quando usados em conjunto, esses recursos formam uma arquitetura Confiança zero (ZTA).

Em um nível elevado, algumas dessas tecnologias incluem:

• Biometria comportamental
• Autenticação adaptativa baseada em risco
• Microssegmentação
• Conscientização contextual
• Autenticação única (SSO)
• Login sem senha

Embora a Confiança Zero ainda esteja dando seus primeiros passos, muitas organizações estão se preparando para mergulhar de cabeça em seus princípios. Na verdade, 36% dos CISOs afirmam que já começaram a implementar a Confiança Zero, e outros 25% planejam fazê-lo em um futuro próximo. Além disso, a Gartner prevê que, até 2026, pelo menos 10% das grandes empresas terão uma arquitetura Confiança Zero madura e mensurável.

Quando você considera as vantagens, fica claro por que esse é o caso. Uma política robusta de segurança Confiança zero permite que você:

• Reduzir o risco organizacional, minimizando a confiança implícita e indo além da segurança de rede tradicional
• Apoiar a conformidade protegendo os dados confidenciais e atenuando os vetores de ameaças
• Proteger implantações de nuvens híbridas e múltiplas com controle de acesso no nível do aplicativo
• Substituir ou aumentar uma VPN para fortalecer o acesso remoto e a criptografia
• Integrar rapidamente os funcionários e expandir seus negócios com a confiança de que a superfície de ataque está bem protegida

De modo geral, o processo de implementação pode ser dividido em algumas etapas básicas:

1. Identificar a superfície de proteção: Em outras palavras, avalie todos os ativos essenciais - incluindo extremidades, usuários, aplicativos, servidores e data centers - que os hackers possam visar.
2. Mapear fluxos de tráfego: Isso permite inspecionar e verificar as transações de rede para garantir que somente os usuários e aplicativos certos tenham acesso aos ativos certos.
3. Investir em um portfólio de IAM: A identidade do usuário está agora na vanguarda da segurança de dados. Portanto, as tecnologias de gestão de identidade e acesso são fundamentais para manter as credenciais longe das mãos erradas.
4. Monitorar, manter e melhorar: O monitoramento contínuo do seu ambiente não apenas agiliza a detecção de riscos, mas também permite que você identifique vulnerabilidades de forma proativa e as atenue em tempo real.

Deve-se observar que as organizações que desejam embarcar em uma jornada de Confiança zero precisam primeiro superar uma série de obstáculos. Com uma ampla variedade de políticas, procedimentos e tecnologias necessárias, o processo costuma ser um esforço de vários anos.

Além disso, os sistemas legados representam outro desafio assustador, pois muitas ferramentas mais antigas não funcionam ou não suportam alguns princípios da Confiança zero. Substituir os controles de segurança existentes e modernizar a tecnologia pode ser um processo caro, e as restrições financeiras podem introduzir barreiras adicionais.

Considerando esses fatores, é melhor adotar uma abordagem em fases. A adoção da estrutura em etapas pode aliviar o ônus da introdução de novas ferramentas (ou a possível revisão de sistemas antigos).

Confira este guia para obter mais detalhes sobre como implementar a Confiança zero..

Na Entrust, sabemos que a Confiança zero é a próxima evolução da segurança cibernética empresarial. É por isso que desenvolvemos um portfólio de soluções de IAM que podem estabelecer a base para sua arquitetura Confiança zero.

Coletivamente, nossa solução foi projetada para cobrir as bases e mantê-lo protegido em três componentes essenciais:

• Identidades resistentes a phishing: As credenciais roubadas e comprometidas são duas das causas mais comuns das violações de dados. Combinamos MFA, segurança sem senha, políticas de controle adaptáveis, biometria e outras ferramentas para reduzir o risco de ataques baseados em identidade.
• Conexões seguras: Os dados estão em constante movimento em redes públicas e privadas, por meio de extremidades não gerenciados e nas mãos de usuários que podem não estar autorizados a acessá-los. Protegemos essas conexões com certificados digitais para garantir que somente as pessoas certas acessem as informações certas - nem mais, nem menos.
• Dados seguros: Nosso portfólio criptografa dados em repouso, em uso e em movimento, além de manter uma infraestrutura principal descentralizada. Isso garante confidencialidade, integridade e acesso seguro, além de atender a requisitos rigorosos de conformidade.

Mais do que um simples fornecedor, somos seu parceiro em todas as etapas do processo.