Business

Nunca confie, sempre verifique: O modelo de segurança Zero Trust

O que é Zero Trust e por que é atraente para os negócios modernos?

Sergey Golubev
31 jul 2020

O modelo Zero Trust vem ganhando popularidade entre as organizações nos últimos anos. Em 2019, quase 80% das equipes de segurança da informação implementaram esse modelo ou pelo menos estavam planejando fazer a mudança. Aqui, detalhamos o conceito Zero Trust para ver o que o torna atraente para os negócios.

O perímetro não basta

A Segurança de perímetro, termo comum quando falamos de proteção de infraestrutura corporativa, engloba o uso de verificações completas para toda e qualquer tentativa de conexão com recursos corporativos de fora dessa infraestrutura. Essencialmente, estabelece uma fronteira entre a rede corporativa e o resto do mundo. Dentro do perímetro – dentro da rede corporativa – no entanto, torna-se uma zona confiável na qual usuários, dispositivos e aplicativos desfrutam de uma certa liberdade.

A segurança do perímetro funcionava — desde que a zona confiável fosse limitada à rede de acesso local e aos dispositivos estacionários conectados a ela. Mas o conceito de “perímetro” ficou turvo à medida que o número de dispositivos móveis e serviços em nuvem em uso pelos funcionários aumentou. Atualmente, pelo menos uma parte dos recursos corporativos está localizada fora do escritório ou mesmo no exterior. Tentar escondê-los mesmo atrás das paredes mais altas é impraticável. Penetrar na zona confiável e movimentar-se sem obstáculos tornou-se muito mais fácil.

Em 2010, o analista principal da Forrester Research, John Kindervag, apresentou o conceito de Zero Trust como uma alternativa à segurança de perímetro. Ele propôs renunciar à distinção externa versus interna e concentrar-se nos recursos. Zero Trust é, em essência, uma ausência de zonas de confiança de qualquer tipo. Nesse modelo, usuários, dispositivos e aplicativos estão sujeitos a verificações sempre que solicitam acesso a um recurso corporativo.

Zero Trust na prática

Não existe uma abordagem única para implantar um sistema de segurança baseado no Zero Trust. Apesar disso, é possível identificar vários princípios fundamentais que podem ajudar a construir um sistema como esse.

Superfície de proteção em vez da superfície de ataque

O conceito Zero Trust normalmente envolve uma “superfície de proteção”, que inclui tudo o que a organização deve proteger contra acesso não autorizado: dados confidenciais, componentes de infraestrutura e assim por diante. A superfície de proteção é significativamente menor que a superfície de ataque, que inclui todos os ativos, processos e atores de infraestrutura potencialmente vulneráveis. Portanto, é mais fácil garantir que a superfície de proteção esteja segura do que reduzir a superfície de ataque a zero.

Microssegmentação

Diferentemente da abordagem clássica, que fornece proteção de perímetro externa, o modelo Zero Trust divide a infraestrutura corporativa e outros recursos em pequenos nós, que podem consistir em apenas um dispositivo ou aplicativo. O resultado são muitos perímetros microscópicos, cada um com suas próprias políticas de segurança e permissões de acesso, permitindo flexibilidade no gerenciamento do acesso e permitindo às empresas bloquear a propagação incontrolável de uma ameaça na rede.

Princípio dos privilégios mínimos

Cada usuário recebe apenas os privilégios necessários para executar suas próprias tarefas. Portanto, uma conta de usuário individual sendo invadida compromete apenas parte da infraestrutura.

Autenticação

A doutrina da Zero Trust diz que é preciso tratar qualquer tentativa de obter acesso às informações corporativas como uma ameaça em potencial até que se prove o contrário. Portanto, para cada sessão, todo usuário, dispositivo e aplicativo deve passar no procedimento de autenticação e provar que tem o direito de acessar os dados disponíveis.

Controle total

Para que uma implementação do Zero Trust seja eficaz, a equipe de TI deve ter a capacidade de controlar todos os dispositivos e aplicativos de trabalho. Também é essencial registrar e analisar informações sobre todos os eventos nos terminais e outros componentes da infraestrutura.

Benefícios do Zero Trust

Além de eliminar a necessidade de proteger o perímetro, que fica cada vez mais indefinido à medida que os negócios se tornam cada vez mais móveis, o Zero Trust resolve alguns outros problemas. Em particular, com cada ator de processo sendo verificado e reverificado continuamente, as empresas podem se adaptar mais facilmente às mudanças, por exemplo, removendo os privilégios de acesso dos funcionários que estão saindo ou ajustando os privilégios daqueles cujas responsabilidades foram alteradas.

Desafios ao implementar Zero Trust

A transição para o Zero Trust pode ser demorada e cheia de dificuldades para algumas organizações. Se seus funcionários usarem equipamentos de escritório e dispositivos pessoais para o trabalho, todos os equipamentos deverão ser inventariados; as políticas corporativas precisam ser configuradas nos dispositivos necessários para o trabalho; e outros precisam ser impedidos de acessar recursos corporativos. Para grandes empresas com filiais em várias cidades e países, o processo pode levar algum tempo.

Nem todos os sistemas estão igualmente bem adaptados a uma transição para o Zero Trust. Se sua empresa possui uma infraestrutura complexa, por exemplo, pode incluir dispositivos ou software obsoletos que não suportam os padrões de segurança atuais. A substituição desses sistemas levará tempo e dinheiro.

Seus funcionários, incluindo membros de suas equipes de TI e de segurança da informação, também podem não estar preparados para a mudança de estrutura. Afinal, eles serão os responsáveis pelo controle de acesso e gerenciamento de sua infraestrutura.

Isso significa que, em muitos casos, as empresas podem precisar de um plano de transição gradual para o Zero Trust. Por exemplo, o Google precisou de sete anos para construir a estrutura BeyondCorp baseada no Zero Trust. O tempo de implementação pode ser substancialmente mais curto para organizações corporativas menos ramificadas, mas você não deve esperar que o processo seja compactado em algumas semanas – ou até meses.

Zero Trust, segurança do futuro

Assim, a transição da segurança de perímetro tradicional para garantir uma superfície de proteção sob a estrutura Zero Trust, embora assumindo o uso da tecnologia disponível, ainda pode ser um projeto pouco simples ou rápido, tanto em termos de engenharia quanto em termos de mudança de mentalidade dos funcionários. No entanto, garantirá que a empresa se beneficie com menores despesas com segurança da informação, bem como com um número reduzido de incidentes e seus danos associados.

Recorde mundial de Doom Eternal com Kaspersky

Um novo recorde mundial de Speedrunning – feito com o Kaspersky Internet Security trabalhando em segundo plano.

Dicas

Olha o passarinho (verificado) ou as novas maneiras de reconhecer falsificações

Como diferenciar uma foto ou vídeo real de uma falsificação e rastrear sua procedência.

Como mudar para a Kaspersky: um guia de migração passo a passo

Como mudar a proteção cibernética de seu computador ou smartphone para a solução de segurança mais premiada da Kaspersky.

Chefe ou fraudador? Golpe disfarçado de ordens do seu chefe

Recebeu uma mensagem de seu chefe ou colega de trabalho pedindo para você “resolver um problema” de uma forma inesperada? Cuidado com golpistas! Como proteger a si mesmo e sua empresa contra um possível ataque?

Como proteger a segurança doméstica

As empresas de segurança oferecem tecnologias inteligentes, principalmente câmeras, para proteger a casa contra roubos, incêndios e outros incidentes. Mas que tal proteger esses sistemas de segurança contra intrusos? É o que faremos para preencher essa lacuna.

FERRAMENTAS GRATUITAS

Soluções de segurança direcionadas

Soluções Corporativas

Nunca confie, sempre verifique: O modelo de segurança Zero Trust

O perímetro não basta

Zero Trust na prática

Benefícios do Zero Trust

Desafios ao implementar Zero Trust

Zero Trust, segurança do futuro

Cinco lições importantes de cibersegurança para CEO

Cibercrime usa ferramentas legítimas para ciberataques

Recorde mundial de Doom Eternal com Kaspersky

Dicas

Olha o passarinho (verificado) ou as novas maneiras de reconhecer falsificações

Como mudar para a Kaspersky: um guia de migração passo a passo

Chefe ou fraudador? Golpe disfarçado de ordens do seu chefe

Como proteger a segurança doméstica

Inscreva-se para receber nossos destaques em seu e-mail

Soluções domésticas

Produtos para pequenas empresas

Produtos para empresas médias

Soluções corporativas

Securelist

Eugene Personal Blog