Introdução
O zero trust model, que em português seria algo como modelo de confiança zero, é um conceito de cibersegurança que parte do princípio que podem ocorrer invasões vindas de usuário de fora mas também de dentro da rede.
Ou seja, é uma estratégia que visa validação e autorização de todos os usuários, independente da sua função na empresa, para garantir o máximo de segurança da informação.
A Forrester, empresa norte-americana de pesquisa de mercado e criadora do conceito Zero Trust em 2010, sugere a linha de pensamento em que as empresas jamais devem confiar em qualquer usuário que entre no seu perímetro, portanto, deve estabelecer procedimentos de verificação e autorização a todos, sem distinção.
Então, vamos entender mais sobre o zero trust model e também as formas de aplicá-lo na sua empresa para otimizar a sua cibersegurança.
O que é Zero Trust?
O nome é bem adequado, pois já indica exatamente do que se trata esse modelo de segurança da informação, baseado na premissa de que não se pode confiar em ninguém, desde o dono até o estagiário de uma empresa.
Quando a gente pensa na estrutura de uma companhia, alguns cargos naturalmente têm mais acessos que outros, afinal, ninguém pensa que um dos sócios, por exemplo, pode vazar uma informação.
Porém, o modelo zero trust propõe a ideia de que as vulnerabilidades podem vir de qualquer lugar, se não houver as devidas autorizações e validações dos usuários constantemente.
Assumir que um usuário que está acessando de dentro da rede não seja um invasor, abre uma brecha muito grande para ataques hacker, então deve-se desconfiar de todo mundo.
Não entenda isso como algo negativo, porque o intuito é apenas ser cauteloso com as verificações, pois o que muitos empresários não se dão conta é que o hack social é uma das táticas mais utilizadas.
Ou seja, usando um email com anexo infectado aplicando um phishing, alguém de fora pode se passar por algum funcionário e conseguir acessar o sistema de dentro da sua rede.
Portanto, com uma validação constante, as chances de barrar a entrada do invasor são bem maiores.
Como funciona o Zero Trust?
Para entender, vamos pensar no mundo analógico para fazer um paralelo.
Imagine que você é o dono de uma empresa, e sempre que chega com seu carro na portaria, abre o vidro para o porteiro ver que é você antes de liberar sua entrada.
Com o passar do tempo, você passa a conhecer bem o porteiro e vice-versa, então muitas vezes, só de ver seu carro chegando ele já libera a cancela sem fazer as devidas conferências, afinal, não tem como ser outra pessoa não é mesmo?
Num cenário hipotético onde alguém roube seu carro, ou mesmo chegue com um veículo muito parecido, as chances são que o porteiro libera a cancela sem conferir.
No aspecto digital é exatamente a mesma coisa, então aquela ideia de “poxa, eu vou ter que fazer login todo dia mesmo?” no modelo zero trust a resposta é sim.
Pode variar de cada tipo de modelo, mas na prática são todos muito parecidos e consiste em fazer a validação do usuário em toda e qualquer solicitação de acesso, mitigando assim as chances de um invasor conseguir entrar na rede.
História do Zero Trust: como surgiu e por que se tornou tão importante
O termo foi cunhado em 1994 pelo Stephen Paul Marsh, na sua tese de doutorado em segurança da computação, e partindo da premissa de que a confiança era um recurso finito que poderia ser calculado matematicamente e transcendia aspectos da moralidade humana e da ética.
O conceito começou a ser aplicado nas arquiteturas de TI bem mais a frente, e um dos marcos foi em 2009, quando o Google implementou o conceito nos seus servidores.
A adoção do modelo zero por parte de grandes empresas foi fundamental
O fato do Google ter implementado foi um marco porque estimulou que grandes empresas fizessem o mesmo, e assim tanto o termo quanto as práticas de zero trust foram ganhando popularidade no mercado.
Algo parecido a esse tipo de prática já era aplicado em agências do Governo Americano, principalmente após escândalos de vazamento de informação, então não demorou até as grandes empresas entenderem o quanto seus dados são valiosos.
Os princípios da arquitetura zero trust
Em tese, o modelo zero trust se baseia em 5 princípios:
- Todo usuário de uma rede sempre será considerado hostil
- Ameaças externas e internas estão atacando a rede o tempo todo
- A confiabilidade da rede não pode ser definida apenas por sua localidade
- Todos os dispositivo, fluxo de rede e usuário sempre serão autenticados e autorizados
- As políticas devem ser calculadas a partir de tantas fontes de dados possíveis e precisam ser dinâmicas
Esses princípios são a base do conceito zero trust, e aí vale para arquitetura de T.I ou qualquer outra aplicação que vise aumentar a segurança de um local ou sistema.
Fontes de dados e serviços de computação: todos são recursos
Toda informação produzida ou armazenada nos servidores da sua empresa, bem como os softwares utilizados, tudo isso é vulnerável e precisa de validação prévia dentro do modelo zero trust.
Quando pensamos em invasão de forma geral, imaginamos o hacker acessando o computador como um todo, mas muitas vezes, basta um acesso ao site da sua empresa para que ela consiga entrar na sua rede.
Por isso, mantenha softwares sempre atualizados e crie barreiras para dificultar a entrada não autorizada, e para isso, considerar o zero trust model pode ser uma solução e tanto.
Proteger toda a comunicação independente da localização
Aquele servidor secreto que só os gerentes conhecem, pode parecer seguro para você, mas considerando a metodologia de confiança zero, ele está tão vulnerável quanto qualquer outro sistema.
Isso vale para arquivos em nuvem, armazenados em HDs externos e até documentos físicos, pois considerando que o objetivo dos hackers é extrair informação, qualquer brecha pode ser explorada.
Por isso o zero trust é tão eficiente, pois trabalha com a ideia de que se algo pode dar errado, é exatamente ali que o erro vai acontecer, por mais improvável que pareça no primeiro momento.
É seguir uma política de que ninguém é confiável, nem você mesmo.
Conceder acessos somente para o que é necessário, sem privilégios
Sem essa ideia de acesso único, onde no primeiro login o usuário já pode usufruir de toda informação contida ali no sistema.
Quando falamos de confiança zero, é sem privilégios.
Imagine que você deixe a visita entrar na sua casa, e quando menos percebe ela já está no seu quarto, abrindo a geladeira, usando o banheiro e por aí vai.
Isso não seria nada agradável, certo? O mínimo que se espera é que a pessoa peça permissão para usar o banheiro ou mesmo para pegar algo de geladeira, e isso vale para os sistemas de uma empresa.
Portanto, se o usuário pediu acessos a X dados, e agora vai precisar de dados Y, terá que solicitar acesso mais uma vez.
Nunca confiar: sempre verificar os acessos
“Ele é o gerente, pode liberar.” É após frases como essas que um sistema é invadido, por isso que o zero trust model entende todos os usuários como iguais, sem distinção por cargos ou hierarquias.
Acredite, os hackers estão cada vez mais sofisticados, e se você der privilégios de acesso a um usuário, é justamente ele que será o alvo dos ataques.
Monitoramento contínuo
Esse é outro conceito do modelo zero confiança, não basta pedir autorização para entrar, tem que ter alguém ali de olho no que o usuário está fazendo.
Isso serve para notar quando há alguma irregularidade no comportamento, que se percebido pode ser removido da rede na hora.
Hoje em dia, com o aumento dos trabalhos em home office, nada impede que após autenticado o dispositivo do usuário, outra pessoa acesse a máquina, portanto, ao notar um padrão de comportamento não usual, o gestor do sistema pode remover os acessos por segurança.
Uso das informações monitoradas para melhoria da segurança
O monitoramento constante também ajuda para que sejam aplicadas melhorias na cibersegurança como um todo, pois observando os padrões dos usuários, é possível estabelecer rotinas de acesso mais adequadas a cada necessidade.
A segurança da informação está acima de tudo, porém, nada impede que seu time de T.I. consiga usar estratégias para que a produtividade não seja afetada por tantas verificações de autenticidade.
Nesse ponto, ter dados bem completos dos usuários é fundamental para que estratégias possam ser desenvolvidas sem que se comprometa a segurança.
Componentes da arquitetura zero trust
A metodologia zero trust não é algo simples, e na verdade compete em vários princípios como já mencionamos e deve ser aplicada de ponta a ponta dos sistemas na empresa.
Como falamos no exemplo lá em cima, não basta uma estratégia de zero trust nas suas redes, se a entrada de qualquer pessoa no servidor é facilitada, é preciso que o conceito seja aplicado em toda estrutura
Falando dos sistemas digitais em si, a arquitetura deve ser pensada para dar a você o controle e gestão de todos os acessos.
ZTNA: explicamos melhor para você
Zero Trust Network Access é um dos modelos mais utilizados na cibersegurança baseada em confiança zero.
Com ele, é possível controlar os fluxos de rede entre todos os ativos, verificar identidade e conceder acesso à nuvem, e até conceder permissão para aplicações específicas e não a rede toda.
Outro recurso do ZTNA é a autenticação multifator (MFA) que cria mais uma camada de segurança para o acesso.
Além disso, tem muitas outras vantagens a oferecer que sua empresa precisa conhecer.
Vantagens de adotar o modelo zero trust
Com algumas tecnologias de ZTNA, você pode conceder aos usuários privilégios mínimos a todas as aplicações, eliminar VPN e ainda melhorar o desempenho das aplicações.
E tudo isso pode ser feito também aos funcionários remotos, pois há sistemas que aplicam o conceito também a segurança em nuvem, dando bastante liberdade aos seus funcionários e tranquilidade a você gestor.
Acesso seguro para funcionários e parceiros
No modelo confiança zero, você é quem tem o controle de todos os acessos e em vários níveis de permissão, portanto, pode conceder aos funcionários e até parceiros, somente as informações pertinentes.
Isso ajuda a manter o ambiente da sua rede bem mais seguro, e permite que colaboradores possam trabalhar de forma remota, sem que isso represente qualquer risco para a empresa.
Mais segurança, menos ataques mal-intencionados
Com esse recurso de conceder acesso somente a partes específicas do seu sistema, mesmo na hipótese de um ataque mal-intencionado, o usuário não conseguirá fazer um grande estrago, pois está limitado aquele acesso mínimo.
Arquitetura menos complexa: economia de tempo e recursos de TI
Toda a implementação de uma arquitetura zero trust é bem mais simples, pois cada acesso é validado, então é um trabalho ativo e automatizado por um bom software, que vai economizar tempo e recursos do seu time de TI.
Uma solução robusta de ZTNA vai garantir uma ótima proteção para os dados da sua empresa, com muito menos esforço empregado.
O que uma organização precisa para implementar Zero Trust?
Se você entender o conceito de zero trust model, é possível aplicá-lo em todas as áreas da sua empresa, pois acredito que você não faça grandes acordos sem antes a elaboração de um contrato, e isso não quer dizer que você desconfie da outra parte, mas é um protocolo que garante segurança jurídica.
Na cibersegurança o princípio é o mesmo, então, não é porque o CEO está na empresa há décadas que não deva ser autenticado, afinal, é um procedimento de segurança que nada tem a ver com confiar ou não na pessoa.
E a melhor forma de ter essa segurança nos seus sistemas é implementando uma solução de ZTNA eficiente para o seu negócio.
Aqui mesmo na Vantix, oferecemos uma solução de segurança da informação que visa proteger e corrigir todas as brechas que possam existir nos seus sistemas, sem falar na nossa ferramenta de pentest que simula ataques a fim de encontrar vulnerabilidades que passam despercebidas à primeira olhada.
Mas quando o assunto é o modelo de confiança zero, temos o que você precisa.
Conclusão
A segurança das informações da sua empresa é algo extremamente valioso, então não dá para tratar isso de qualquer jeito, é preciso se resguardar em todos os pontos.
Aplicando um modelo zero trust nos seus sistemas, você garante várias camadas de segurança nos acessos dos usuários e ainda pode controlar o quanto cada um terá de informações disponíveis.
De fato é uma forma bem eficiente de aprimorar a sua cibersegurança, por isso, vale a pena conhecer o que a Vantix pode fazer por você.
Deixe um comentário