Zero Trust Security: Nunca confie, sempre verifique!

Texto de Sergey Golubev - Traduzido do blog da Kaspersky

O modelo Zero Trust Security vem ganhando popularidade entre as organizações nos últimos anos. Segundo dados de 2019, 78% das equipes de segurança da informação implementaram esse modelo ou pelo menos estavam planejando fazer a mudança. Recentemente, a Kaspersky publicou um interessante e detalhado artigo que destrincha o conceito Zero Trust e revela como ele se torna atraente para os negócios. Trazemos abaixo uma versão traduzida da matéria. Confira!

Segurança de perímetro não é mais eficiente

A segurança de perímetro, um termo comum em proteção de infraestrutura corporativa, engloba o uso de verificações completas para toda e qualquer tentativa de conexão com recursos corporativos de fora dessa infraestrutura. Essencialmente, ele estabelece uma fronteira entre a rede corporativa e o resto do mundo. Dentro do perímetro – dentro da rede corporativa – no entanto, torna-se uma zona confiável na qual usuários, dispositivos e aplicativos desfrutam de uma certa liberdade.

A segurança do perímetro funcionou – desde que a zona confiável fosse limitada à rede de acesso local e aos dispositivos estacionários conectados a ela. Mas o conceito de “perímetro” ficou turvo à medida que o número de dispositivos móveis e serviços em nuvem em uso pelos funcionários aumentou. Atualmente, pelo menos uma parte dos recursos corporativos está localizada fora do escritório ou mesmo no exterior. Tentar escondê-los atrás das paredes mais altas é impraticável. Penetrar na zona confiável e movimentar-se sem obstáculos se tornou muito mais fácil.

Em 2010, o analista principal da Forrester Research, John Kindervag, apresentou o conceito de Zero Trust como uma alternativa à segurança de perímetro. Ele propôs renunciar à distinção externa versus interna e concentrar-se nos recursos. Zero Trust é, em essência, uma ausência de zonas de confiança de qualquer tipo. Nesse modelo, usuários, dispositivos e aplicativos estão sujeitos a verificações sempre que solicitam acesso a um recurso corporativo.

Zero Trust na prática

Não existe uma abordagem única para implantar um sistema de segurança baseado no Zero Trust. Apesar disso, é possível identificar vários princípios fundamentais que podem ajudar a construir um sistema como esse.

Proteger a superfície em vez da superfície de ataque

O conceito Zero Trust normalmente envolve uma “superfície de proteção”, que inclui tudo o que a organização deve proteger contra acesso não autorizado: dados confidenciais, componentes de infraestrutura e assim por diante. A superfície de proteção é significativamente menor que a superfície de ataque, que inclui todos os ativos, processos e atores de infraestrutura potencialmente vulneráveis. Portanto, é mais fácil garantir que a superfície de proteção esteja segura do que reduzir a superfície de ataque a zero.

Microssegmentação

Diferentemente da abordagem clássica, que fornece proteção de perímetro externo, o modelo Zero Trust divide a infraestrutura corporativa e outros recursos em pequenos nós, que podem consistir em apenas um dispositivo ou aplicativo. O resultado são muitos perímetros microscópicos, cada um com suas próprias políticas de segurança e permissões de acesso, permitindo flexibilidade no gerenciamento do acesso e permitindo às empresas bloquear a propagação incontrolável de uma ameaça na rede.

Princípio dos privilégios mínimos

Cada usuário recebe apenas os privilégios necessários para executar suas próprias tarefas. Portanto, uma conta de usuário individual sendo invadida compromete apenas parte da infraestrutura.

Autenticação

A doutrina da Zero Trust diz que é preciso tratar qualquer tentativa de obter acesso às informações corporativas como uma ameaça em potencial até que se prove o contrário. Portanto, para cada sessão, todo usuário, dispositivo e aplicativo deve passar no procedimento de autenticação e provar que tem o direito de acessar os dados disponíveis.

Controle total

Para que uma implementação do Zero Trust seja eficaz, a equipe de TI deve ter a capacidade de controlar todos os dispositivos e aplicativos de trabalho. Também é essencial registrar e analisar informações sobre todos os eventos nos terminais e outros componentes da infraestrutura.

Benefícios do Zero Trust

Além de eliminar a necessidade de proteger o perímetro, que fica cada vez mais embaçado à medida que os negócios se tornam cada vez mais móveis, o Zero Trust resolve alguns outros problemas. Em particular, com cada ator de processo sendo verificado e verificado novamente continuamente, as empresas podem se adaptar mais facilmente às mudanças, por exemplo, removendo os privilégios de acesso dos funcionários que estão saindo ou ajustando os privilégios daqueles cujas responsabilidades foram alteradas.

Desafios na implementação do Zero Trust

A transição para o Zero Trust pode ser demorada e cheia de dificuldades para algumas organizações. Se seus funcionários usarem equipamentos de escritório e dispositivos pessoais para o trabalho, todos os equipamentos deverão ser inventariados; as políticas corporativas precisam ser configuradas nos dispositivos necessários para o trabalho; e outros precisam ser impedidos de acessar recursos corporativos. Para grandes empresas com filiais em várias cidades e países, o processo levará algum tempo.

Nem todos os sistemas estão igualmente bem adaptados a uma transição Zero Trust. Se sua empresa possui uma infraestrutura complexa, por exemplo, ela pode incluir dispositivos ou software obsoletos que não suportam os padrões de segurança atuais. A substituição desses sistemas levará tempo e dinheiro.

Seus funcionários, incluindo membros de suas equipes de TI e infosec, podem não estar prontos para a mudança de estrutura. Afinal, eles serão os responsáveis pelo controle de acesso e gerenciamento de sua infraestrutura.

Isso significa que, em muitos casos, as empresas podem precisar de um plano de transição gradual do Zero Trust. Por exemplo, o Google precisou de sete anos para construir a estrutura BeyondCorp baseada no Zero Trust. O tempo de implementação pode ser substancialmente menor para organizações corporativas menos ramificadas, mas você não deve esperar que o processo seja compactado em algumas semanas – ou até meses.

Zero Trust, segurança do futuro

Assim, a transição da segurança tradicional de perímetro para garantir uma superfície de proteção sob a estrutura Zero Trust, embora assumindo o uso da tecnologia disponível, ainda pode ser um projeto pouco simples ou rápido, tanto em termos de engenharia quanto em termos de mudança de mentalidade dos funcionários . No entanto, garantirá que a empresa se beneficie com menores despesas com informações, bem como com um número reduzido de incidentes e seus danos associados.