0
0
Desde o início da segurança da informação, a confiança tem sido um elemento crítico. Ao longo do tempo, à medida que a tecnologia da informação se tornou mais distribuída, a noção de confiança evoluiu em torno de quem logicamente precisa poder acessar um serviço. Por exemplo, se você está tentando acessar a rede corporativa, precisará ter um nome de usuário e senha exclusivos para visualizar as fontes de informação corporativa e documentos privados. Além disso, firewalls são usados para impedir que pessoas de fora e outras ameaças em potencial entrem nessas zonas.
No entanto, usar apenas nomes de usuário e senhas para acessar esse tipo de informação corporativa apresenta problemas para aquelas pessoas que precisam ser autorizadas a acessar recursos específicos da empresa pela Internet, como engenheiros de campo. Como resultado, as redes privadas virtuais (VPNs) foram criadas para fornecer túneis de comunicação confiáveis que podem conceder acesso seguro a portas específicas de dados empresariais, controlados pelos departamentos de TI.
Por um tempo, essa combinação de nomes de usuário, VPNs e firewalls era suficiente para criar um alto nível de segurança dentro da rede de uma organização, envolvendo funcionários e atores externos. No entanto, isso mudou drasticamente na última década com a explosão da computação móvel. A mudança de trabalhar em um monitor para um laptop pessoal e para nossos dispositivos, como telefones e tablets, tem se mostrado um desafio significativo para os departamentos de TI. Eles não podem mais ditar as regras apenas permitindo que os dados corporativos sejam acessados por meio de computadores fornecidos pela empresa.
Além disso, essa grande proliferação de dispositivos pessoais também foi acompanhada pela adoção da computação em nuvem e de aplicativos em nuvem, como Salesforce, Office 365 e Dropbox. Isso significa que as maneiras pelas quais os dados sensíveis podem ser compartilhados também aumentaram exponencialmente. Ao trabalhar em projetos com outras empresas, tornou-se comum compartilhar arquivos, mesmo para iniciativas sensíveis, como novos lançamentos de marketing. Portanto, os departamentos de TI muitas vezes recorreram ao bloqueio de aplicativos não autorizados ou tráfego de dispositivos não gerenciados. No entanto, o custo disso é excessivo e pode inibir a inovação dentro da força de trabalho, forçando os funcionários a usar programas e dispositivos potencialmente desatualizados que impedem o trabalho remoto. É por essas razões que os sistemas baseados em confiança para proteger as informações empresariais estão se tornando obsoletos.
Embora invadir os sistemas de rede corporativa de fora exija um certo grau de habilidade para contornar os firewalls e VPNs, uma maneira mais fácil de acessar dados corporativos confidenciais é por meio de um funcionário que tem acesso a esses dados. Uma maneira de fazer isso é por meio de ataques de phishing – fingindo ser um sistema confiável para enganar um funcionário a fornecer seu nome de usuário e senha. Uma vez dentro, o hacker pode entrar na zona confiável e adquirir dados confidenciais ou desencadear outros ataques maliciosos.
É essa percepção das ameaças internas que cunhou o termo ‘Zero Trust’. Essa mentalidade é simples – qualquer usuário ou dispositivo que tente acessar dados confidenciais não pode e não deve ser confiável por padrão, mesmo que trabalhem para a empresa.
Ao discutir como implementar um framework de Zero Trust, deve-se notar que não há uma abordagem única que funcione para todos em termos do grau de segurança que precisa ser implementado e como o acesso precisa ser segregado. No entanto, existem dois habilitadores principais que são úteis a considerar ao adotar a postura de Zero Trust: Gerenciamento de Identidade e Acesso (IAM) e Microsegmentação de Rede.
O IAM permite que os administradores do sistema gerenciem as identidades de diferentes usuários e entidades e regulamentem o acesso a sistemas ou redes com base nos papéis dos usuários individuais dentro da empresa. Os papéis são definidos de acordo com competência, autoridade e responsabilidade no ambiente empresarial. Um bom exemplo disso são as permissões especiais que figuras mais sênior na organização podem ter em comparação com seus subordinados. Em termos práticos, isso pode significar que apenas um Chefe de Prática teria acesso ao Sistema de Compras para aprovar um pedido de compra. Uma das principais vantagens dos sistemas de Gerenciamento de Acesso é que eles podem habilitar ou revogar o acesso, independentemente da localização ou do tipo de dispositivo do usuário. Isso dá aos administradores de sistema muita flexibilidade em organizações com muitos trabalhadores remotos ou nômades, ao mesmo tempo em que dá aos funcionários a liberdade de trabalhar de qualquer local. Seu valor como recurso-chave em cibersegurança é destacado pelo fato de que 75% das organizações dependem do gerenciamento de acesso para proteger os logins de usuários externos a recursos corporativos online.
A Microsegmentação de Rede funciona fatiando uma rede em diferentes segmentos que só podem ser acessados por um número conhecido de usuários. Por exemplo, se você trabalhasse no RH da sua empresa, não poderia acessar a seção de documentos destinada à equipe de Finanças e vice-versa. Isso também significa que, se as credenciais de um trabalhador forem usadas por um hacker, eles não podem comprometer mais dados do que aquele indivíduo tinha acesso – cada aplicativo ou recurso é isolado com seu próprio firewall para protegê-lo. No entanto, embora isso reduza o movimento lateral das ameaças, uma empresa ainda precisará usar um sistema de gerenciamento de identidade e acesso para identificar os usuários, dispositivos e outros recursos em primeiro lugar.
Embora essas abordagens sejam diferentes, elas são complementares de várias maneiras e, a longo prazo, a maioria das empresas provavelmente precisará equilibrar ambas para reduzir significativamente a ameaça interna e criar uma versão de um framework de Zero Trust que funcione para elas. À medida que o cenário de ameaças continua a avançar e evoluir, é importante que as empresas não esqueçam que, às vezes, as piores ameaças vêm daqueles em quem normalmente confiam mais – os insiders! Nunca confie, sempre verifique!
Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.