O que é Zero Trust?

Ao longo da última década, as empresas tornaram-se cada vez mais digitalizadas. Eles agora incluem arquitetura em nuvem, incorporam trabalho mais remoto e adicionaram soluções como serviço entre outras mudanças transformadoras. As equipes de segurança escalaram a segurança da rede de acordo, muitas vezes fortalecendo as salvaguardas ao segmentar a rede em zonas menores.

Essa estratégia, infelizmente, criou mais oportunidades para os atacantes. Quando os invasores acessam as informações de login de um usuário, eles podem se mover lateralmente pela rede, espalhando ransomware e adicionando privilégios conforme avançam.

A autenticação multifator (MFA) melhorou a força da credencial, mas adicionou apenas uma camada extra de autenticação. Uma vez dentro, os criminosos ainda têm acesso contínuo até que façam o logout ou o sistema os desconecte.

Novas formas de trabalhar, incluindo bring-your-own-device (BYOD), trabalho remoto e arquitetura em nuvem adicionaram um novo conjunto de vulnerabilidades. Mas mesmo as proteções de cibersegurança novas e mais fortes com maior visibilidade terminam na borda da rede corporativa e são cegas além desse ponto.

A abordagem ZT para a cibersegurança vira o velho paradigma de cabeça para baixo. A segurança cibernética não é mais definida por segmentos de rede ou dentro dos limites de uma rede corporativa. A confiança não é concedida com base no fato de uma conexão ou ativo pertencer a uma empresa ou a um indivíduo. Também não é concedido com base na localização física ou de rede – Internet ou rede local.

Em vez disso, ZT se concentra em recursos, usuários e ativos individualmente, não importa quem os possui e onde estão localizados. A autenticação é executada individualmente para um recurso corporativo antes que um usuário receba acesso.

O objetivo final é obter zero trust em qualquer elemento da rede até que seja verificado.

A resposta curta para certificação e padrões de zero trust é que não há nenhum. O National Institute of Standards and Technology (NIST), fundado em 1901 e agora parte do Departamento de Comércio dos EUA, fornece informações sobre tecnologia, medição e padrões para os EUA. Seu objetivo é aumentar a competitividade da tecnologia.

O NIST cria padrões para comunicações, tecnologia e práticas de cibersegurança. O grupo ainda não criou padrões ou certificação para zero trust, mas criou uma Publicação Especial (SP) discutindo os objetivos de arquitetura do ZT.

O resumo do artigo descreve a confiança zero desta forma: “Zero trust é um termo para um conjunto em evolução de paradigmas de cibersegurança que movem as defesas de perímetros estáticos baseados em rede para enfocar usuários, ativos e recursos.” O documento segue descrevendo a abordagem de zero-trust em profundidade.

Existe alguma confusão no mundo da segurança cibernética sobre o que é ZT. Alguns fornecedores estão aproveitando a confusão para vender produtos marcados como produtos ZT. Para os desinformados, isso pode levar ao mal-entendido de que o ZT é baseado no produto.

ZT não trata de produtos específicos, embora produtos novos e legados possam ser blocos de construção para a arquitetura ZT. ZT é uma abordagem revolucionária à segurança cibernética. Está firmemente na realidade de como as organizações e os trabalhadores se conectam e trabalham juntos hoje.

Caminhando em direção à zero trust

Se uma empresa está construindo sua infraestrutura do zero, é possível, e talvez mais simples, identificar workflows e componentes essenciais e construir uma arquitetura puramente ZT. À medida que os negócios e a infraestrutura mudam, o crescimento pode continuar a aderir aos princípios da ZT a longo prazo.

Na prática, a maioria das implementações de ZT será um processo. As organizações permanecerão em algum equilíbrio entre ZT e segurança baseada em perímetro ao longo do tempo, implementando gradualmente as iniciativas de modernização.

O estabelecimento completo da arquitetura ZT provavelmente levará vários anos e abrangerá uma série de projetos discretos antes de atingir o objetivo final de confiança zero. No entanto, nunca há uma “chegada” à ZT. Trata-se de continuar a implementar e aplicar a estratégia ZT ao longo do tempo, levando em consideração as mudanças futuras nos negócios e na infraestrutura.

O desenvolvimento de um plano antes da ação pode quebrar o processo em partes menores e demonstrar o sucesso ao longo do tempo. Começar com um catálogo completo de assuntos, processos de negócios, fluxos de tráfego e mapas de dependências prepara você para abordar assuntos, ativos e processos de negócios direcionados.

A arquitetura ZT é um objetivo e uma abordagem que leva tempo e atenção para ser implementada. Não é uma instalação única que você pode implantar e passar para a próxima. É uma filosofia de cibersegurança apoiada em quatro princípios básicos. Um princípio específico pode depender de uma técnica de segurança específica, como MFA para identidade, mas a técnica usada com o tempo pode mudar.

Existem três funções básicas subjacentes à abordagem ZT.

• Postura – na segurança baseada em perímetro pré-ZT, a verificação de identidade raramente acontecia em preto e branco, segura ou insegura. A abordagem ZT significa avaliar identidades, dispositivos, aplicativos e uso de dados para riscos possíveis e agudos. A postura é qualitativa e analisa a imagem inteira.
• Avaliação contínua – a abordagem ZT é avaliar constantemente todas as transações. Uma abordagem anterior, o controle de admissão de rede (NAC) tinha um grau dessa qualidade, mas era um único ponto de gargalo, verificou um número menor de critérios e, em seguida, concedeu confiança. A arquitetura ZT considera cada tentativa de acesso como um gargalo.
• Compromisso assumido - as equipes do centro de operações de segurança (SOC) geralmente operam com uma política de "verificar e confiar". Supõe-se que tudo está bem até que um sistema de segurança emita um alerta. ZT parte do pressuposto de que nada é seguro e nada deve prosseguir até que tudo esteja claro.

ZT deve ser implementado progressivamente e continuamente aplicado. Não é uma substituição completa ou uma implantação única que fica em vigor durante toda a vida da rede. É um processo incremental de vários anos e vários projetos que envolve vários aspectos da rede e precisará de avaliação constante conforme os hábitos de trabalho, a tecnologia e as ameaças mudam.

Como sua organização implementa a abordagem ZT depende de sua operação. Seus ativos de maior valor são um bom lugar para começar.

A jornada ZT inclui quatro componentes:

• – Gerenciamento de identidade e acesso (IAM) – os usuários desejam logon único e os administradores desejam uma administração de usuário consolidada. Para que um projeto de IAM seja bem-sucedido, ele deve equilibrar a necessidade de segurança da organização com disponibilidade, usabilidade e economia. Ele começa mapeando quais usuários precisam de acesso a quais recursos e adicionando MFA se o recurso for particularmente sensível.
• Gerenciamento de acesso privilegiado (PAM)- Para os recursos mais confidenciais, uma ferramenta PAM como CyberArk, BeyondTrust ou Thycotic adiciona um nível adicional de segurança. Isso aumenta a segurança e adiciona visibilidade.
• Senhas - A filosofia da senha muda com o tempo, e o NIST emitiu recentemente uma nova orientação. Com base em sua análise, eles recomendam senhas longas usando palavras familiares em vez de um grupo de caracteres aleatórios que são difíceis de lembrar. Além disso, os malfeitores usam senhas comprometidas rapidamente, e a opinião do NIST é que mudar as senhas a cada 90 dias não diminui o risco, mas o MFA sim.
• Monitoramento contínuo – Defina as políticas de acesso da sua organização, seja com base no tempo, novas solicitações de recursos, modificações de recursos ou anomalias. A autenticação e a autorização devem ser rigorosamente aplicadas antes que o acesso seja concedido.