O que é o modelo de segurança Zero Trust e por que sua adoção está crescendo?

Seguinte
Nicolás Raggi

Zero Trust promove o conceito de que as organizações não devem confiar em nenhuma entidade dentro ou fora de seus perímetros de rede de uma forma predeterminada.

A adoção do modelo de segurança Zero Trust está finalmente ganhando força. Em fevereiro de 2020 - antes que a pandemia assolasse o mundo - uma pesquisa com mais de 400 tomadores de decisão de segurança de TI conduzida pela Cybersecurity Insiders e a Pulse Secure revelou que 72% das organizações estavam planejando avaliar ou implementar Zero Trust em sua estratégia de segurança durante o decorrer do ano. Então, em maio de 2021, a Ordem Executiva do Presidente Biden sobre a Melhoria da Cibersegurança da Nação lançou o desafio ao reconhecer o falho modelo federal de segurança cibernética dos EUA e a necessidade de implementar uma Arquitetura de Zero Trust (confiança zero).

Neste artigo, explicamos brevemente o Zero Trust, o que é necessário para implementá-lo e por que o interesse nele está crescendo.

O que é o Zero Trust?

De acordo com a Forrester, que criou esse conceito em 2010, em contraste com o modelo de segurança tradicional baseado em perímetro que se baseia na premissa de “confiar, mas verificar”, o Zero Trust diz que as organizações nunca devem confiar em nenhuma entidade, seja interna ou externa. Em outras palavras, “nunca confie, sempre verifique”. O modelo Zero Trust constrói segurança em torno de cada um dos principais recursos e entidades de uma organização: dados, redes, dispositivos, cargas de trabalho e pessoas.

Figura 1. O modelo Zero Trust constrói segurança em torno de cada um dos principais recursos de uma organização.

No modelo tradicional de segurança de TI, a postura de segurança de uma organização deve ser como um castelo guardado por um fosso, que representa a rede. Em tal configuração, é difícil obter acesso aos recursos de uma organização de fora da rede. Ao mesmo tempo, todos os que estão dentro da rede são considerados confiáveis por padrão. O problema com essa abordagem, no entanto, é que uma vez que um invasor obtém acesso à rede e, portanto, torna-se confiável por padrão, todos os recursos da organização estão disponíveis.

Do contrário, o modelo Zero Trust assume que os invasores estão tanto dentro quanto fora da rede. Por esse motivo, a confiança não pode ser dada indiscriminadamente aos usuários e dispositivos por padrão.

Figura 2. Gráfico animado que exemplifica o modelo de segurança tradicional baseado em perímetro

Figura 3. Gráfico animado que exemplifica o modelo de segurança Zero Trust

O que uma organização precisa fazer para implementar o modelo Zero Trust?

Existem três áreas principais de capacidade que uma organização deve desenvolver à medida que implementa o modelo Zero Trust:

1.       Visibilidade: Identifique os dispositivos e recursos que devem ser monitorados e protegidos. Não é possível proteger um recurso que você não conhece. Ter visibilidade de todos os seus recursos e pontos de acesso é indispensável.

 2.       Políticas: Estabelecem controles que permitem que apenas pessoas específicas tenham acesso a recursos específicos sob condições específicas. Em outras palavras, um nível granular de controles de política é necessário

3.       Automação: Automatizar processos para garantir a aplicação correta das políticas e permitir que a organização se adapte rapidamente a quaisquer desvios dos procedimentos padrão.

Com base nos recursos básicos descritos aqui, podemos definir Zero Trust como um modelo de segurança que constrói defesas em torno de cada uma das seguintes entidades: dados, redes, dispositivos, workloads e pessoas.

 O que está impulsionando o interesse e a adoção do modelo Zero Trust?

Com um ambiente Zero Trust, você não apenas tem controle e conhecimento de todos os seus dados (o tempo todo), mas no caso de uma violação de segurança, você pode detectar rapidamente quando e onde os invasores podem ter furtado seus dados, como explica a Forrester. Considerando o Cost of a Data Breach, relatório de 2020 da IBM e do Ponemon Institute, revelou-se que o custo médio de uma violação de dados, globalmente pode ser de US$ 3,86 milhões, e o tempo médio para identificar e conter uma violação é de 280 dias. Sendo assim, o modelo Zero Trust parece bastante atraente.

Por outro lado, com o crescimento contínuo do fenômeno traga seu próprio dispositivo (BYOD) e do trabalho remoto, cada vez mais funcionários precisam ter acesso aos recursos internos de suas organizações de qualquer lugar e a qualquer momento. Vale ressaltar que a pandemia viu um aumento gigantesco nas tentativas de ataques de força bruta contra o protocolo de desktop remoto (RDP), demonstrando o alto interesse dos cibercriminosos em tirar proveito da atual situação de trabalho remoto. 

Outro componente que impulsiona a Zero Trust é a crescente adoção e uso de serviços de armazenamento na nuvem. A nuvem geralmente hospeda os dados, recursos e até mesmo os serviços essenciais das organizações.

Outros vetores que se mostraram fatais para o modelo de segurança baseado em perímetro são os ataques à cadeia de suprimentos - como foi o caso com NoxPlayer, um emulador Android usado por gamers para jogar jogos de mobile em seus PCs e Macs – terceirização de serviços, rotatividade de funcionários, entre outros