Segurança da Confiança Zero: Um guia completo

"Confiança zero é uma coleção de conceitos e ideias que visam minimizar a incerteza na execução de decisões de acesso precisas e de privilégio mínimo por solicitação em sistemas e serviços de informação diante de uma rede considerada comprometida."

- Instituto Nacional de Padrões e Tecnologia (NIST)

Imagine um mundo sem ameaças cibernéticas.Não há hackers, pessoas internas mal-intencionadas ou vazamentos de dados - não há motivo para se preocupar. Talvez você nem tenha uma equipe de segurança a princípio.

Mas isso não está nem no campo da realidade atual, em que os vetores de ameaça são numerosos, sua superfície de ataque está se expandindo, seus dados confidenciais estão sendo visados e a próxima violação de dados está bem próxima.

A boa notícia é que o acesso seguro não é apenas um sonho impossível. Ao implementar os princípios de Confiança zero, você pode proteger com confiança seus ativos corporativos e atenuar os obstáculos do atual ambiente de negócios em rápida evolução.

Continue lendo para saber a importância da Confiança zero, como ele beneficia a segurança corporativa e o que a sua organização pode fazer para fazer uma transição bem-sucedida para uma arquitetura Confiança zero.

O ex-analista da Forrester, John Kindervag, desenvolveu o conceito de segurança Confiança zero em 2010. Ele definiu isso como um modelo de segurança que pressupõe que cada conexão, dispositivo e usuário é uma ameaça em potencial e deve ser tratada como tal.

Em contraste com a maioria das outras estratégias de segurança cibernética, ela elimina a confiança implícita e exige que todos os usuários, dentro ou fora da organização, sejam continuamente autenticados antes de receberem acesso à rede. Em poucas palavras, a Confiança zero é exatamente o que parece: uma política de segurança na qual ninguém - independentemente da função ou responsabilidade - é inerentemente considerado seguro.

Além disso, o modela Confiança zero rejeita a suposição de uma borda de rede. No cenário atual, o perímetro tradicional mudou para uma série de microperímetros. Redes, por exemplo, podem ser locais, na nuvem ou uma combinação dos dois. Além disso, com o aumento do acesso remoto, quase não há como saber onde um recurso pode estar localizado.

Portanto, a abordagem Confiança zero foi projetada especificamente para enfrentar os desafios modernos de segurança de dados, garantindo o acesso seguro a ativos essenciais a qualquer hora e lugar. Em termos gerais, uma rede Confiança zero fará o seguinte:

• Registrar e inspecionar todo o tráfego para identificar atividades suspeitas e possíveis vetores de ameaças
• Limitar e controlar o acesso do usuário, autorizando solicitações somente após a confirmação da identidade do usuário
• Verificar e proteger os ativos corporativos para evitar acesso e exposição não autorizados

As empresas estão enfrentando um volume sem precedentes de ameaças cibernéticas, tanto interna quanto externamente. Os criminosos cibernéticos aumentaram significativamente seus esforços, agora visando dados confidenciais em um ritmo incessante.

Até o final de 2023, houve uma média de mais de 1.000 ataques semanais por organização. Em 2023, 1 em cada 10 organizações no mundo todo foi atingida por tentativas de ataques de ransomware, um aumento de 33% em relação ao ano anterior.

Não é de surpreender que os criminosos cibernéticos não tenham desacelerado nem um pouco. De acordo com dados da PwC, 43% dos executivos classificam a mitigação de riscos cibernéticos como sua segunda maior prioridade de mitigação de riscos, atrás dos riscos digitais e tecnológicos.

Para complicar ainda mais a situação, as organizações adotaram rapidamente políticas de trabalho remoto e híbrido nos últimos anos. Isso levou a uma explosão de dispositivos pessoais não gerenciados que se conectam à rede corporativa, aumentando assim a superfície de ataque da empresa.

Sem a capacidade de proteger ou monitorar os dados confidenciais armazenados e acessados por essas extremidades, as organizações correm um risco maior de violação de dados do que nunca. Isso é especialmente significativo, considerando o preço surpreendente de uma proteção deficiente contra ameaças. Conforme relatado pela IBM, o custo médio de uma única violação de dados é de US$ 4,5 milhões. No entanto, aqueles que implementam um modelo de segurança Confiança zero economizam mais de US$ 1 milhão por incidente.

As empresas também devem considerar os riscos associados à transformação digital. Com a maior dependência de aplicativos baseados em nuvem e fora do local, as empresas precisam implementar estratégias novas e sofisticadas para controle de acesso e aplicação de políticas de segurança.

As estratégias tradicionais adotam uma abordagem do tipo "confie, mas verifique". Em outras palavras, eles presumem que tudo que está por trás do firewall corporativo é inerentemente seguro e protegido.

A segurança Confiança zero, como o nome indica, faz o oposto. Ela enquadra as políticas de acesso na lente “nunca confie, sempre verifique”. Independentemente da origem de uma solicitação ou do recurso que ela pretende usar, os ambientes Confiança zero autenticam, autorizam e criptografam totalmente antes de conceder acesso à rede, nunca depois.

Portanto, os recursos corporativos são inacessíveis por padrão. Seus funcionários só podem usá-los nas circunstâncias certas, conforme determinado por vários fatores contextuais. Isso pode incluir a identidade do usuário, a função na organização, a sensibilidade do recurso solicitado, o dispositivo em uso e assim por diante.

Conforme descrito pelo National Institute of Standards and Technology (NIST) na Publicação Especial 800-207, a abordagem Confiança zero baseia-se em várias filosofias fundamentais. Basicamente, há três princípios de Confiança zero que fazem parte dessa política de segurança exclusiva:

• Autenticação contínua: Refere-se aos meios de conceder acesso seguro com base em níveis aceitáveis de risco. Em alinhamento com a abordagem de Confiança zero, é preciso autorizar os usuários com base na identidade, no local, no dispositivo, no serviço, na carga de trabalho, na classificação dos dados e assim por diante. Após esta análise contextual, o usuário pode ser simplesmente autorizado ou solicitado a fornecer informações adicionais através de outro desafio de autenticação, ou se o risco for muito alto, eles são bloqueados.
• Assuma a violação: As organizações devem sempre presumir uma violação de dados. Isso significa que eles precisam segmentar continuamente a rede em um nível granular para reduzir ou limitar a superfície de ataque, verificar o tráfego de ponta a ponta e maximizar a visibilidade da atividade do usuário/dispositivo. Isso permite que eles conduzam a detecção de ameaças, identifiquem anomalias e sempre aprimorem suas defesas.
• Acesso com privilégio mínimo: O acesso deve ser limitado com base em políticas de controle de acesso just-in-time e just-enough. Em outras palavras, os usuários e/ou dispositivos só devem ter permissão para usar os recursos de que precisam para fazer seu trabalho e concluir tarefas essenciais.

Em 2021, a Cybersecurity & Infrastructure Security Agency (CISA) criou um roteiro para orientar os órgãos federais que implementam a Confiança zero. Esse documento é conhecido como Modelo de Maturidade de Confiança zero e pode ser aproveitado pelas organizações como um dos muitos caminhos para projetar e implementar sua própria prática de Confiança zero em torno das seguintes áreas de risco:

• Identidade: Essa área se concentra na verificação e na autorização de usuários e dispositivos antes de conceder acesso à rede. Isso pode incluir a implementação de uma solução de gestão de identidade e acesso (IAM) ou autenticação multifatorial (MFA).
• Dispositivos: Qualquer dispositivo, desde a IoT até dispositivos móveis pessoais, conectado à rede corporativa pode ser explorado para comprometer dados confidenciais. Esse pilar envolve a criação de um inventário de todas as conexões e o monitoramento de sua integridade para a rápida detecção de ameaças.
• Redes: Uma rede Confiança zero protege todo o tráfego, independentemente do local ou do recurso, e se segmenta para limitar o movimento lateral.
• Aplicativos e cargas de trabalho: Esse pilar envolve a proteção de cargas de trabalho no local e baseadas na nuvem por meio de políticas de acesso em nível de aplicativo e outros mecanismos.
• Dados: Todos os dados em repouso, em uso ou em movimento são criptografados, monitorados e protegidos para evitar a divulgação não autorizada.

É importante observar que não existe uma solução ou fornecedor Confiança zero único. Confiança zero é uma mudança cultural e de mentalidade, além da tecnologia. E quando se trata de tecnologia, as empresas precisarão de uma variedade de ferramentas, muitas vezes dispostas em camadas para formar uma arquitetura de Confiança zero (ZTA).

Em um nível elevado, algumas dessas tecnologias incluem:

• Biometria comportamental
• Autenticação adaptativa baseada em risco
• Microssegmentação
• Conscientização contextual
• Autenticação única (SSO)
• Login sem senha

Embora o termo Confiança zero já exista há algum tempo, a direção real sobre como ele deve ser implementado ainda é relativamente nova. No entanto, muitas organizações estão se preparando para mergulhar de cabeça em seus princípios. Na verdade, o Estudo sobre o estado de Confiança zero e criptografia de 2024 mostrou que 61% das organizações pesquisadas pelo Ponemon Institute começaram sua própria jornada de Confiança zero. Além disso, a Gartner prevê que, até 2026, pelo menos 10% das grandes empresas terão uma arquitetura Confiança Zero madura e mensurável.

Quando você considera as vantagens, fica claro por que esse é o caso. Uma política robusta de segurança Confiança zero permite que você:

• Reduzir o risco organizacional, minimizando a confiança implícita e indo além da segurança de rede tradicional
• Apoiar a conformidade protegendo os dados confidenciais e atenuando os vetores de ameaças
• Proteger implantações de nuvens híbridas e múltiplas com controle de acesso no nível do aplicativo
• Substituir ou aumentar uma VPN para fortalecer o acesso remoto e a criptografia
• Integrar rapidamente os funcionários e expandir seus negócios com a confiança de que a superfície de ataque está bem protegida

De modo geral, o processo de implementação pode ser dividido em algumas etapas básicas:

1. Identificar a superfície de proteção: Em outras palavras, avalie todos os ativos essenciais - incluindo extremidades, usuários, aplicativos, servidores e data centers - que os hackers possam visar.
2. Mapeie onde seus dados residem e seus fluxos: Isso permite inspecionar e verificar as transações de rede para garantir que somente os usuários e aplicativos certos tenham acesso aos ativos certos.
3. Adote uma abordagem que priorize a identidade: Sem o perímetro de segurança tradicional, a identidade é o novo perímetro e agora está na vanguarda da segurança de dados. Portanto, as tecnologias baseadas em certificados e de gerenciamento de identificação e acesso são fundamentais para manter seus ativos essenciais longe das mãos erradas.
4. Monitorar, manter e melhorar: O monitoramento contínuo do seu ambiente não apenas agiliza a detecção de riscos, mas também permite que você identifique vulnerabilidades de forma proativa e as atenue em tempo real. Para credenciais como chaves, certificados e segredos, o gerenciamento do ciclo de vida e a automação são uma necessidade.

Vale ressaltar que a implementação da Confiança zero leva tempo e tem seus obstáculos. Com uma ampla variedade de políticas, procedimentos e tecnologias necessárias, o processo costuma ser um esforço de vários anos.

Além disso, os sistemas legados representam outro desafio assustador, pois muitas ferramentas mais antigas não funcionam ou não são compatíveis com alguns princípios da Confiança zero. Substituir os controles de segurança existentes e modernizar a tecnologia pode ser um processo caro, e as restrições financeiras podem introduzir barreiras adicionais.

Considerando esses fatores, é melhor adotar uma abordagem em fases e iterativa. Ao dedicar seu tempo e fazer mudanças incrementais, sua postura de segurança irá melhorar e se fortalecer ao longo do tempo.

Confira este guia para obter mais detalhes sobre como implementar a Confiança zero..

Na Entrust, sabemos que a Confiança zero é uma prática recomendada para a segurança cibernética empresarial. É por isso que desenvolvemos um portfólio de soluções que podem fornecer uma base sólida para desenvolver sua arquitetura de Confiança zero.

Coletivamente, nossa solução foi projetada para cobrir as bases e mantê-lo protegido em três componentes essenciais:

• Identidades resistentes a phishing: As credenciais roubadas e comprometidas são duas das causas mais comuns das violações de dados. Combinamos MFA, segurança sem senha, políticas de controle adaptáveis, biometria e outras ferramentas para reduzir o risco de ataques baseados em identidade.
• Proteja a infraestrutura crítica: Com os dados se movendo constantemente por redes públicas e privadas, e um número crescente de usuários e máquinas tentando obter acesso, essas conexões e entidades precisam ser protegidas. Os certificados digitais são um componente essencial para se obter uma prática de segurança madura e resiliente, fornecendo identidade, criptografia e assinatura fortes e aplicando o controle de acesso.
• Dados seguros: Nosso portfólio criptografa dados em repouso, em uso e em movimento, além de manter uma infraestrutura principal descentralizada. Isso garante confidencialidade, integridade e acesso seguro, além de atender a requisitos rigorosos de conformidade.

Mais do que um simples fornecedor, somos seu parceiro em todas as etapas do processo.