0
0
Por Neil Thacker
Qual é a relação entre zero trust e identidade do usuário? Não há dúvida de que a identidade é um componente fundamental de uma abordagem de zero trust eficaz, mas também há o perigo de que as organizações se concentrem demais neste único elemento e esqueçam que existem outros.
Acreditar que alcançar o zero trust é tudo sobre a identidade do usuário é, na minha opinião, uma incompreensão fundamental do conceito. Essa concepção errônea pode levar a vulnerabilidades potenciais que, por sua vez, podem resultar em grandes eventos de cibersegurança – o tipo de eventos que a organização estava tentando evitar ao adotar o zero trust em primeiro lugar.
A identidade é importante, mas está se tornando cada vez mais não confiável
A identidade é de fato um fator fundamental do zero trust e, por muitos anos, as empresas têm usado autenticação multifatorial (MFA) para garantir que seus dados sensíveis estejam protegidos. No entanto, o panorama de ameaças está evoluindo e alguns especialistas agora estimam que até 70% das opções de MFA são fáceis de violar por meio de engenharia social e phishing.
Fora do mundo da cibersegurança, não depositaríamos nossa confiança em alguém com base em um único fator. A confiança é um processo multifacetado que deve se acumular ao longo do tempo. Da mesma forma, deve haver múltiplas formas de verificação para que o zero trust seja alcançado. Simplificar demais a complexidade desse processo arrisca dar a falsa impressão de segurança e abre espaço para uma grande violação cibernética.
Múltiplas medidas de segurança, um ponto de controle único
O zero trust deve começar com a premissa de que seu sistema pode e será comprometido. Quanto mais medidas forem colocadas em prática para protegê-lo, mais confiança podemos depositar nele. Crucialmente, um único Ponto de Aplicação de Política (PEP) deve ser usado para controlar o tráfego de informações proveniente dessas diferentes medidas.
A autenticação de identidade é uma das primeiras e mais comumente usadas medidas para o zero trust e deve ser uma parte central de qualquer estratégia. Isso inclui coisas como identidade descentralizada, estruturas de MFA mais avançadas e métodos biométricos sem senha. No entanto, isso não é suficiente por si só.
Aqui estão sete outros elementos que as empresas devem incorporar ao seu PEP para garantir uma infraestrutura de zero trust segura e robusta:
Dispositivo: Não se trata apenas de quem você é, mas do dispositivo que está usando. Um usuário completamente autenticado em um dispositivo comprometido ainda representa um risco de segurança. O zero trust deve diferenciar entre dispositivos corporativos e pessoais, examinar a saúde do dispositivo, os níveis de correção e as configurações de segurança antes de conceder acesso.
Localização: Com o aumento do trabalho híbrido, as organizações devem antecipar que os usuários tentarão acessar materiais de diferentes locais. Portanto, deve haver um sistema que possa identificar tendências incomuns. Por exemplo, se um usuário tentar fazer login um dia em Londres e, na próxima hora, do outro lado do mundo, isso deve ser sinalizado no sistema — não deve ser deixado ao acaso. Da mesma forma, o sistema deve sinalizar se alguém estiver fazendo login ao mesmo tempo em duas localidades distintas.
Aplicativo: Com o aumento dos serviços em nuvem, existem muitos aplicativos concorrentes que desempenham a mesma função. Portanto, as equipes de segurança devem avaliar e aprovar aplicativos específicos para uso corporativo e, quando necessário, implementar controles avançados e/ou restrições em aplicativos não aprovados para mitigar possíveis perdas de dados.
Instância: Dentro de cada aplicativo em nuvem, também existem diferentes tipos de instâncias do mesmo aplicativo. Por exemplo, muitas organizações permitem que os funcionários usem seus aplicativos em nuvem pessoais, como instâncias pessoais do Microsoft 365. No entanto, isso pode levar a problemas, especialmente se dados corporativos confidenciais estiverem sendo compartilhados em um aplicativo pessoal. Portanto, cada instância de cada aplicativo também deve ser compreendida.
Atividade: O zero trust se estende a como os aplicativos interagem entre si e como acessam dados. Mesmo dentro da sessão de um único usuário, as ações que um aplicativo realiza em nome desse usuário estão sujeitas a escrutínio.
Comportamento: A identidade pode conceder acesso inicial aos usuários, mas o comportamento posterior deve ser continuamente examinado. Se um funcionário (ou entidade) começar a acessar grandes volumes de dados de repente ou baixar arquivos sensíveis, alarmes devem ser disparados, mesmo que o usuário tenha sido autenticado inicialmente.
Dados: No cerne do zero trust está os dados — trata-se de garantir a integridade e confidencialidade dos dados. Isso significa criptografar dados em repouso e em trânsito, e monitorar padrões de acesso a dados em busca de anomalias, independentemente da identidade do usuário. Isso incluiria medidas para automatizar a categorização de dados e implementar controles específicos ou aprimorados caso essa categoria exija.
A identidade é inegavelmente um pilar do modelo de zero trust, mas continua sendo apenas uma peça de uma estrutura complexa. Se uma organização focar excessivamente na identidade, estará se preparando para o fracasso e se expondo ao tipo de violação cibernética que a confiança zero foi projetada para evitar.
O verdadeiro zero trust é alcançado apenas quando uma organização adota uma abordagem integrada e holística que considere cada ponto de contato, usuário e dispositivo. Ao incorporar todos os oito elementos em sua abordagem de confiança zero (incluindo a identidade), as organizações podem operar com muito mais confiança e a segurança pode se tornar um verdadeiro habilitador, possibilitando inovação e adaptação às necessidades do negócio, seja adotando novos aplicativos, integrando IA, expandindo para novos mercados ou incentivando o trabalho híbrido.
Esse artigo tem informações retiradas do blog da Netskope. A Neotel é parceira da Netskopee, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.