Zero Trust é um termo cada vez mais usado e recomendado pelos especialistas de cibersegurança e com cada ano que passa a sugestão é que este conceito ou metodologia seja aplicada nos ambientes de TI corporativos. Algumas marcas como BlackBerry, já usam este termo com frequência dentro das suas comunicações para explicar soluções.
O conceito de Zero Trust como modelo de segurança
O termo vem com a necessidade das empresas de se proteger mais e após a eliminação do perímetro com as políticas de Home Office. Sendo a tradução literal “Nunca confie”, o conceito de Zero Trust se fundamenta na base de que as ameaças podem vir tanto do exterior quanto do interior, motivo pelo qual a segurança deve desconfiar de tudo e de todos, até dos próprios funcionários de uma empresa.
Isto não porque necessariamente exista uma desconfiança como tal contra os funcionários, mas porque cibercriminosos podem usar a identidade digital de um funcionário com suas respectivas permissões para obter acesso a informações classificadas e sensíveis. Por esse motivo, procuram-se realizar autenticações contínuas que visem a verificação da identidade, além de outras atividades.
O mais importante em relação a esta filosofia é que para ela ser colocada na prática, não depende de apenas mudanças tecnológicas, mas também de mudanças culturais dentro da empresa, pois implica que as pessoas se comprometam com as novas formas de acesso e entendam que mais do que aumentar a burocracia ou desconfiança com os colaboradores, trata-se de um modelo de segurança que trará benefícios a longo prazo.
As caraterísticas do modelo Zero Trust
Políticas simples
As políticas devem ser entendíveis por humanos e seus requisitos devem ser facilmente mapeados para serem implementados. Isto facilitará as auditorias no momento de revisar a conformidade.
Menores privilégios, menores acessos
Poderia se dizer que a filosofia Zero Trust trabalha sob a premissa de que unicamente pessoas e dispositivos autenticados e autorizados poderão acessar dados e aplicações. Manter os privilégios de forma “minimalista” ajudará você a evitar possíveis ameaças e a minimizar a superfície de ataque. Uma recomendação neste sentido são os recursos corporativos que trabalham com um único propósito: não hospedar o serviço de Active Directory. Além disso, como resultado, a solução ideal deve ter mecanismos fortes para definir políticas de whitelist.
Analisa o comportamento dos aplicativos
Uma vez que você implementar novas políticas com base no modelo de segurança Zero Trust na empresa, aplicativos podem começar a ter um comportamento diferente e não documentado. Aqui seria interessante olhar as ferramentas Zero Trust para ajudá-lo a entender aquele comportamento indocumentado e sugerir ações.
Também analisa o comportamento dos usuários
Como já mencionamos, parte da filosofia Zero Trust é desconfiar dos usuários para evitar possíveis simulações de identidade por parte dos criminosos. Assim, um ambiente corporativo regido por este modelo de segurança deve manter autenticações contínuas baseadas no comportamento dos usuários.
Todas as pessoas têm padrões de uso e comportamento na internet, ainda mais no trabalho. Quando isto é identificado, é possível detectar uma situação fora do comum, como por exemplo, uma pessoa que não deveria acessar alguns dados, tentando acessar eles repetidamente. Isto deveria levantar os alarmes para o sistema autenticar e fazer uma análise da pessoa em questão.
Não deve depender de Firewalls. Deve ser portátil.
Pela sua caraterística de estar localizado em ambientes híbridos, o modelo Zero Trust deve ser capaz de mudar sua arquitetura de nível de rede para nível de aplicativo, operando em todos os ambientes e através dos limites de segurança tradicionais.
Coexiste com redes e aplicativos existentes
As empresas não podem mudar para uma segurança Zero Trust da noite para o dia, motivo pelo qual uma solução deste tipo deve ser possível de ser implementada em ambientes que previamente estejam conformados por outras soluções, sem a necessidade de uma atualização de empilhadeira, não apenas por razões de custo, mas também para evitar interromper a infraestrutura e as operações da empresa.
Tenha uma estrutura baseada em “Confiança zero”
Como toda estrutura de cibersegurança, há muitos caminhos, muitos detalhes e muitos aspectos que precisam ser estudados, mas poderíamos resumir a implementação de um modelo Zero Trust na sua empresa em quatro passos:
Passo 1: Identifique seus dados
Identifique todos os dados que conformam sua empresa e classifique-os em várias categorias como dados públicos, dados pessoais e dados sensíveis. Também categorize seus dados dependendo da área, pois com certeza sua empresa terá dados de todos os segmentos: financeiros, de marketing, legais, etc. Identifique o local onde esses dados estão armazenados e depois quem são as pessoas com acesso a eles, quais são as permissões e por quê.
Passo 2: Verifique que esses acessos sejam coerentes
Talvez pessoas que precisam dos dados não possuem acesso total a eles e pessoas que não precisam de acesso àqueles dados tenham permissões sem necessidade. Este é um aspecto que deve ser revisado, para evitar possíveis imprevistos futuros. Limite-se a compartilhar o acesso apenas com as pessoas que realmente precisam deles para seu trabalho.
Aqui é importante estabelecer políticas para situações atípicas. Por exemplo: O que acontecerá se em algum momento uma pessoa que não deveria ter acesso a algum tipo de dado, realmente precisa dele para resolver uma situação pontual? É bom ter uma política de ação pré estabelecida que indique como atuar em aqueles momentos.
Passo 3: Proteja-se e detecte ameaças
Sua estrutura de segurança deve estar configurada e deve ser monitorada constantemente para poder detectar qualquer situação anormal. Isto será possível com uma prévia e completa definição das políticas de segurança, que, em se tratando de Zero Trust deveria cumprir com aquelas características básicas que expusemos anteriormente. Só assim será possível diferenciar uma situação normal de uma situação anômala.
Logo, a detecção das ameaças só será possível através de soluções otimizadas com essas mesmas políticas que procurem proteger o ambiente completo.
Passo 4: Treine seus funcionários
Seus funcionários precisam estar cientes dessas políticas, além de, obviamente, ter conhecimento dos princípios básicos de segurança cibernética, como não abrir e-mails suspeitos, não compartilhar informações fora da rede corporativa, etc.
Treinar os funcionários é um passo que não só deve ser aplicado por aquelas empresas com interesse em implementar um modelo de segurança Zero Trust, mas por todas as empresas do mundo todo. O treinamento dos funcionários é fundamental para a sobrevivência de uma organização, porém, mesmo assim, é esquecido ou colocado em segundo plano por muitos dos gestores de TI.
Saiba mais sobre os nossos treinamentos para funcionários aqui.
Conheça as melhores soluções fundamentadas na filosofia Zero Trust. Preencha o formulário abaixo!