Segurança da Informação – O que é Confiança Zero? Proteja a Transformação Digital.
A confiança zero refere-se à noção de avaliar o risco de segurança de dispositivos e usuários dentro do contexto de um determinado momento, sem conferir acesso automaticamente com base em credenciais.
Dada à rápida e crescente ascensão da transformação digital, o conceito de “confiança zero” está rapidamente ganhando força como estratégia para garantir redes empresariais modernas.
A confiança zero refere-se à noção de alteração dos controles de acesso do perímetro para os usuários individuais e seus dispositivos. Assim, essas estruturas envolvem a avaliação do risco de segurança de dispositivos e usuários dentro do contexto em qualquer momento, sem a concessão automática de privilégios de rede ou o fornecimento de acesso padrão com base somente em credenciais.
A ideia aborda o fato de que os aplicativos e dados de negócios estão agora dispersos digitalmente, longe das instalações da empresa. E, no entanto, as organizações sentem-se, de alguma forma, compelidas a tornar o acesso a esses sistemas digitais o mais flexível e conveniente possível, a fim de atender a uma força de trabalho cada vez mais móvel.
Tornou-se axiomático que as defesas de rede legadas, focadas como estão em erigir um fosso e paredes de castelo em torno dos sistemas locais, simplesmente não podem preservar a integridade das operações em redes de negócios digitalmente avançadas.
Assim, a confiança zero está rapidamente se tornando um mantra nos círculos de segurança cibernética, com fornecedores de sistemas de gerenciamento de identidades e administração (IAM) e gerenciamento de acesso privilegiado (IAM) e gerenciamento de acesso privilegiado (PAM), todos integrando confiança zero.
Enquanto isso, as empresas de pesquisa de tecnologia Gartner e Forrester lançaram a cobertura total do espaço. O Gartner refere-se à disciplina como Risco Adaptativo Contínuo e Avaliação de Confiança, ou CARTA; e a Forrester chama isso de ecossistema Zero Trust Extended ou ZTX.
Em outro sinal de que a confiança zero está se movendo para o mainstream, a Cisco recentemente adquiriu a Duo Security, de Ann Arbor, Michigan , um fornecedor em rápido crescimento de sistemas de autenticação de múltiplos fatores baseados na nuvem, por US$ 2,3 bilhões.
Esse movimento tem sido amplamente visto como um esforço para adicionar potência zero confiável ao seu portfólio em expansão de serviços de segurança.
No entanto, a implementação de confiança zero não é isenta de desafios. À medida que a ideia ganha atenção, as empresas estão descobrindo que autenticar os usuários de maneira mais granular não é tão simples quanto parece.
É necessário levar em conta todos os sistemas internos e voltados para o público, revisar e atualizar as políticas de segurança existentes e, em seguida, discar apenas a quantidade certa de controles de segurança automatizados para restringir o acesso a sistemas essenciais, sem incomodar a força de trabalho.
“Definitivamente, esse não é um exercício de caixa de seleção”, disse Tapan Shah, diretor-gerente do Sila Solutions Group, uma empresa de consultoria em tecnologia e administração sediada em Washington. “Confiança zero é garantir que as pessoas certas tenham o acesso certo, para cada camada, incluindo usuário, aplicativo, dados e rede.”
Camadas de confiança
Como um conceito, a confiança zero pode ser rastreada até um grupo de profissionais de segurança de TI se autodenominando o Jericho Forum , que se reuniu pela primeira vez em 2003 para discutir a erosão das defesas tradicionais de rede – o que eles se referiam na época como “desperimetrização”.
Em 2010, John Kindervag, analista da Forrester Research, cunhou o termo “confiança zero” e definiu-o sucintamente como “nunca confie, sempre verifique”. O Kindervag continua sendo um defensor da confiança zero; hoje ele é o CTO de campo da Palo Alto Networks, fornecedora de plataformas de segurança com sede em Santa Clara, na Califórnia.
“Então [o sistema] pode dizer: ‘Se você é um funcionário olhando para o menu da cafeteria, não nos importamos com o dispositivo que você está usando, e não vamos nos esforçar muito para validá-lo, porque o as apostas não são altas ”, explicou Wendy Nather, estrategista de segurança da Duo, que escreveu um white paper sobre o assunto. “Mas se você for um administrador de planejamento de recursos corporativos fazendo login em um aplicativo, ele dirá: ‘Vamos ter certeza de que você está usando um dispositivo gerenciado corporativo e que está usando a autenticação de vários fatores sempre você faz o check-in.”
A ideia foi realmente empurrada para o primeiro plano pelo Google, que, de uma só vez em 2013, abandonou completamente o tradicional sistema de acesso remoto baseado em VPN que estava usando para seus aplicativos voltados para os funcionários. O gigante das buscas substituiu-o por algo chamado BeyondCorp.
A BeyondCorp assume que nenhum tráfego na rede interna do Google é mais confiável, por padrão, do que o tráfego vindo de fora. Ele valida continuamente usuários e dispositivos e aplica criptografia de ponta a ponta entre os dispositivos e os recursos que eles buscam acessar.
Além disso, os usuários recebem o “mínimo privilégio” – ou seja, apenas acesso suficiente para realizar a tarefa em questão.
“A implantação de confiança zero do Google estabeleceu níveis definidos de sensibilidade e diferentes níveis de confiança”, disse Nather.
Não é por acaso que o Google intensificou o planejamento da BeyondCorp, não muito depois de a gigante de buscas divulgar publicamente detalhes da Operação Aurora, a invasão sistemática do Google e dezenas de corporações norte-americanas por atacantes ligados aos militares chineses.
Na Operação Aurora, como em inúmeras outras violações importantes, os invasores aproveitaram totalmente os controles de acesso fracos.
Para seu crédito, o Google reconheceu essa exposição pelo que era – e mudou drasticamente isso. O gigante das buscas, é claro, tinha o talento de engenharia e recursos para mudar de forma abrangente para substituir seus controles de acesso centrados em VPN pela arquitetura de confiança zero de ponta. Outras organizações podem precisar de uma abordagem mais incremental.
Implementando confiança zero
Muitas organizações têm utilizado as soluções IAM, IGA e PAM para atender a vários requisitos de conformidade, e os esquemas de confiança zero unem tudo isso – e envolvem a adoção de recursos avançados que cada vez mais se baseiam no aprendizado de máquina e na análise de comportamento.
Isso, por sua vez, significa que as empresas devem tomar decisões práticas sobre quais inovações podem reduzir materialmente as exposições de segurança, sem perturbar indevidamente a flexibilidade e a agilidade da força de trabalho que elas provavelmente estão se esforçando para promover.
Em outras palavras, abraçar a confiança zero envolverá planejamento metódico e uma abordagem comedida para adoção de tecnologia.
“Para a maioria das organizações, isso será uma jornada”, disse Shaila, da Sila. “Nós chamamos isso de continuação de verificação.”
Agora é possível, por exemplo, acumular históricos granulares dos dispositivos de computação usados por qualquer funcionário específico. As decisões de política podem ser definidas para disparar com base no fato de o funcionário estar usando um dispositivo corporativo de propriedade e gerenciado ou um dispositivo pessoal. Se o usuário decidir tentar usar um dispositivo pessoal para acessar um aplicativo ou banco de dados da empresa, uma política poderá ser imposta exigindo que o dispositivo de propriedade do funcionário atenda a certos padrões de higiene de segurança, por exemplo.
A SailPoint Technologies, uma fornecedora de sistemas IGA baseada em Austin, Texas, tem usado cada vez mais aprendizado de máquina dessa maneira. “Com qualquer uma dessas tecnologias, você está procurando os outliers“, disse Mike Kiser, defensor de segurança global da SailPoint. “Se todos os usuários de um grupo tiverem papéis semelhantes, todos eles devem ter níveis de acesso semelhantes. Mas se um dos meus engenheiros de repente tiver acesso a um banco de dados de marketing no Botswana, provavelmente vou dar uma olhada nisso e talvez remover esse acesso.”
Da mesma forma, a Centrify, um fornecedor de IAMs com sede em Santa Clara, Califórnia, está aprimorando sistemas analíticos de comportamento que podem monitorar de perto todas as solicitações de acesso e acompanhar muito de perto padrões e atividades de uso específico para cada usuário.
Se uma solicitação de acesso de qualquer usuário aparecer, o que está fora da norma, uma política pode ser aplicada automaticamente exigindo o uso de uma variedade de formas de autenticação multifator para fazer login.
“O aprendizado de máquina permite identificar essas coisas e agir em tempo real”, disse Andy Smith, vice-presidente de marketing de produto da Centrify. “Eu posso olhar para comandos que podem estar em execução e identificar coisas que nenhum humano procurando através de logs seria capaz de identificar.”
Ao mesmo tempo, ao migrar para implantar sistemas de confiança zero, as empresas não devem ignorar os aspectos de usabilidade de qualquer sistema; a maioria aprende rapidamente como é importante avaliar o que seus funcionários, parceiros e fornecedores vão tolerar, disse Nather, da Duo.
“Para os CISOs, trata-se de tentar encontrar o equilíbrio certo”, disse Nather. “Com que frequência, preciso solicitar esses fatores extras de autenticação? Por quanto tempo posso lembrar do dispositivo do meu empregado antes de ter que rastreá-lo novamente, porque o risco aumentou? A confiança zero permite que as empresas ofereçam uma experiência consistente aos seus usuários, o que é importante porque os impedirá de ficarem irritados ”.
Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso LinkedIn.
Leia também:
– Os principais golpes on-line de 2018 que você precisa evitar.
– Segurança da Informação – Como proteger uma rede corporativa, servidores e estações de trabalho.
– Práticas recomendadas de segurança física de um Data Center.