Imagine restringir os acessos aos cômodos de sua residência, exigindo uma contínua comprovação de sua identidade através de chaves com características específicas para cada porta e senhas de acesso para cada um destes cômodos, como os quartos por exemplo, considerando a necessidade de cada pessoa em acessá-los e os classificando de acordo com os tipos de objetos existentes ali dentro. É assim que funciona o modelo Zero Trust (ZT) ou Confiança Zero. Um conjunto de paradigmas de segurança cibernética que têm como principal objetivo mover o foco das defesas dos perímetros organizacionais baseados em rede para usuários, ativos e recursos (dados, informações, etc.). Durante muito tempo, essa segurança foi baseada apenas nos perímetros de rede, principalmente no tráfego de entrada e saída, o que limitava a proteção a estes perímetros, pressupondo que dispositivos, ativos ou usuários presentes no ambiente interno (rede local) eram confiáveis, facilitando a movimentação lateral dos atacantes, que consiste no uso de técnicas para acessar e controlar novos sistemas da rede, além do(s) já explorado(s) para ganhar o acesso inicial.
De acordo com um recente documento especial (SP.800-207) publicado pelo NIST (National Institute of Standards and Technology), esse modelo, anteriormente conhecido como deperimetrização, foi iniciado em meados de 2004 no Fórum de Jericó, onde sua primeira divulgação foi realizada. Ao longo dos anos, os conceitos básicos foram evoluídos até que se chegasse em um conceito mais amplo de confiança zero, que fora cunhado por John Kindervag. Neste modelo, a organização assume que não há confiança implícita concedida a ativos ou contas de usuários com base exclusivamente em características desses ativos e sua localização física ou de rede (local ou Internet), isto é, exige que cada acesso a um recurso seja cuidadosamente avaliado de acordo com a sua necessidade e a criticidade do recurso pretendido, realizando autenticação e autorização contínua independentemente do ambiente em que os ativos ou usuários estão considerando que nem mesmo ambientes pertencentes e controlados pela organização, como as redes locais, são mais confiáveis do que outros que não pertencem ou não são controlados por ela, como a Internet por exemplo. Para isso, o modelo ZT lista alguns princípios básicos que devem ser considerados desde o primeiro momento, para planejamento e implantação da Zero Trust Architeture (ZTA) ou Arquitetura de confiança zero:
- Todas as fontes de dados e serviços de computação são consideradas recursos;
- Todas as comunicações são protegidas independentemente da localização da rede;
- O acesso aos recursos individuais da organização é concedido baseando-se na sessão;
- Os acessos aos recursos são determinados pela política dinâmica, incluindo o estado observado da identidade do cliente, aplicação ou serviço e dispositivo solicitante, podendo incluir outros atributos comportamentais ou de ambiente;
- A organização monitora e mede a integridade e postura de segurança de todos os ativos de sua propriedade ou associados a ela;
- Todas as autenticações e autorizações de recursos são dinâmicas e estritamente aplicadas antes da liberação do acesso;
- A empresa coleta o máximo de informações possíveis sobre estado dos ativos, infraestrutura de rede e comunicação, utilizando-as para melhorar sua postura de segurança.
Como dito anteriormente, o modelo Zero Trust exige autenticação e autorização contínua de dispositivos e usuários antes de conceder o acesso a qualquer recurso organizacional, e é considerado uma resposta à tendência das organizações em implementar políticas como BYOD (do Inglês Bring Your Own Device, que significa “traga seu próprio dispositivo”), usuários com acessos remotos e recursos em nuvem, evidenciados especialmente em época de pandemia devido ao COVID-19. Vale lembrar que a ZTA não é composta de um único fator, e sim de um conjunto de princípios usados para direcionar as rotinas de trabalho, desenho e desenvolvimento de sistemas e realização de operações, que quando equilibrada com políticas e orientações sobre segurança cibernética, gerenciamento de identidade, de acessos e monitoramento contínuo de acordo com as melhores práticas, pode proteger contra ameaças comuns e melhorar a segurança de uma organização.
Segundo o NIST SP.802-207, a visão de confiança zero de rede contém algumas suposições básicas que também devem ser consideradas em seu planejamento e implementação (além dos princípios básicos do modelo citados anteriormente), levando em conta infraestruturas internas e externas, ativos e recursos pertencentes ou não à organização, entre outros cenários.
- Toda a rede local corporativa não deve ser considerada uma implícita zona de confiança;
- Os dispositivos na rede corporativa podem não ser de propriedade ou manipuláveis pela organização;
- Nenhum recurso é inerentemente confiável;
- Nem todos os recursos da organização estão em infraestruturas de sua propriedade;
- Ativos e usuários remotos das organizações não podem confiar totalmente em sua rede local;
- Ativos e fluxos de trabalho que transitam entre infraestrutura organizacional e não-organizacional devem possuir políticas consistentes.
Atendidas as suposições básicas acima, a ZTA possui aplicação variada nos fluxos de trabalho, baseada nos componentes lógicos usados e na principal fonte de política de regras da organização. Cada aplicação implementa todos os princípios de confiança zero, citados anteriormente, mas pode utilizar um ou dois como principais para definição de suas políticas. Vale ressaltar que cada cenário possui particularidades que devem ser elencadas desde o planejamento de adequação a este modelo de arquitetura e com o objetivo de atender às respectivas necessidades da organização. Tema da RSA Conference em 2020, o elemento humano continua sendo muito relevante também neste modelo de confiança zero. Apesar da mitigação de movimentação lateral presente nessa arquitetura, credenciais roubadas através de golpes como Phishing ou engenharia social ainda poderão realizar os acessos para que foram devidamente autorizadas, o que pode representar um risco às respectivas informações ou recursos acessíveis por tais credenciais. Entretanto, vale lembrar que neste modelo, a identificação e resposta à um possível ataque poderá ser mais rápida, uma vez que há uma análise do comportamento dos acessos (como local, hora e recursos pretendidos) e caso seja necessário, a negação imediata de acesso a estes recursos.
PRINCIPAIS DESAFIOS NO BRASIL
Ao longo das últimas décadas, a Segurança da Informação foi culturalmente classificada pelas empresas brasileiras como “desnecessária”, seja pela falta de uma regulamentação apropriada ou porque caso essas empresas não possuíssem obrigações regulamentares (como PCI DSS e a resolução nº 4658 do BACEN) ou contratuais específicas de acordo com sua área de atuação, entendiam que não deveriam ter um “gasto” com algo considerado não essencial, que demandaria profissionais especializados e tecnologias apropriadas para garantir essa segurança em um nível aceitável. Nos últimos anos, porém com diversos tipos de ataques cibernéticos – como o WannaCry em 2017 – e agora com o iminente estabelecimento da LGPD (Lei Geral de Proteção de Dados Pessoais), muitas empresas voltaram suas atenções para a proteção de suas informações, buscando arquiteturas, processos e soluções tecnológicas mais apropriadas para suas respectivas áreas e atividades, considerando a segurança da informação como um requisito crucial de seus negócios. A implementação do modelo Zero Trust exige uma alta maturidade organizacional, com uma cultura sólida, políticas efetivas e engajamento de todos os times que compõem a corporação, principalmente de líderes técnicos e executivos.
CONTE COM A TRIPLA
Uma arquitetura de confiança zero não está atrelada a específicas soluções tecnológicas, e sim aos controles, políticas e processos de segurança da informação, que são aplicados para reduzir a um nível aceitável os riscos de uma ameaça se concretizar. A Tripla conta com um time de especialistas em Segurança da Informação que podem auxiliar no planejamento e implantação desses controles e políticas, além de parceiros tecnológicos que possibilitam a construção de uma robusta arquitetura de confiança zero, como Centrify, que oferece solução de Gestão de Acessos Privilegiados (Privileged Access Management, PAM), capaz de combinar armazenamento seguro de senhas, múltiplo fator de autenticação e monitoramento de sessões privilegiadas; a Forcepoint que possui soluções de Prevenção de Perda de Dados (Data Loss Prevention, DLP), capaz de monitorar e restringir a exfiltração de informações e Next Generation Firewall (NGFW) que, diferentemente dos Firewalls tradicionais, é capaz de filtrar o conteúdo acessado e inspecionar os pacotes trafegados pela rede.
CONCLUSÃO
O modelo de confiança zero depende de uma combinação de fatores para ser efetivo na segurança cibernética, que ainda é um desafio para as empresas brasileiras. Um planejamento adequado é fundamental para que cada necessidade organizacional seja atendida e os riscos eliminados ou minimizados, principalmente com a definição e estabelecimento de processos de segurança da informação alinhados com tecnologias e controles de segurança apropriados para cada necessidade e características das organizações. Estes processos e controles devem ser revisados regularmente pela área de Segurança da Informação, atendendo as melhores práticas em governança de SI.
Mais do que nunca, uma organização que entende a necessidade de Segurança da Informação como parceira do negócio, estará apta não só a manter as atuais, mas a buscar novas parcerias e contratos comerciais, uma vez que empresas que não possuem uma maturidade mínima nesta área estão cada vez mais perdendo espaço e deixando de ser elegíveis para estes contratos. Por isso, uma organização com maturidade de Segurança da Informação, além de proteger o seu negócio, também será capaz de expandir suas relações comerciais e almejar novos objetivos.
Gostou deste artigo? Temos mais de 100 só em Segurança da Informação! Não deixe de acompanhar nosso blog e compartilhe com seus amigos!
Comments