0
0
A transição para uma arquitetura de confiança zero está repleta de desafios que podem envergonhar um quebra-cabeça monocromático de 10.000 peças. A equipe de TI não apenas deve reconhecer e validar cada funcionário corporativo, seus dispositivos de computação e seus aplicativos, mas também deve fazê-lo para não funcionários importantes, fornecedores terceirizados e parceiros que acessam ativos corporativos.
É uma tarefa bastante difícil quando se sabe quem são seus principais parceiros terceirizados da cadeia de suprimentos; torna-se quase impossível gerenciar parceiros secundários, terciários e outros também. E aí está o desafio de definir quem é usuário autorizado e autenticado e quem não é.
Embora muitos dos produtos de acesso à rede de confiança zero (ZTNA) de hoje afirmem oferecer autenticação e autorização contínua de todos os usuários, dispositivos e aplicativos conhecidos e registrados que tentam acessar uma rede o tempo todo, geralmente o que as empresas realmente experimentam é um pouco diferente, diz Jason Georgi, CTO de campo da Palo Alto Networks. Em vez de autenticação constante, eles obtêm autenticação inicial para cada acesso.
Hoje, diz ele, os produtos ZTNA se destacam na microssegmentação de redes e fornecem acesso muito limitado a ativos corporativos na rede, mas ele espera que os produtos ZTNA de próxima geração forneçam maior segurança para os dados que estão sendo processados.
Um white paper de John Grady, analista sênior do Enterprise Strategy Group, e encomendado pela Palo Alto Networks, afirma que há várias áreas em que os produtos atuais da ZTNA estão aquém. Entre as melhorias solicitadas por Grady estão a prevenção de violações de privilégio mínimo, a capacidade de cancelar o acesso de um aplicativo se ele começar a se comportar de maneira imprevista ou inaceitável após o acesso concedido e a capacidade de fazer inspeções de segurança de dados que não estão sendo inspecionados no momento.
Reduzindo o risco de terceiros
As empresas que trabalham para melhorar seu perfil de risco empregando ZTNA estão obtendo apenas benefícios marginais se não garantirem que os terceiros que autorizam já não estejam comprometidos. Para conseguir isso, as empresas que estão adotando a confiança zero também precisam melhorar seu gerenciamento de risco de terceiros (TPRM) .
As organizações que empregam ZTNA exigem que os usuários remotos sejam inseridos em um Microsoft Active Directory ou outro sistema de autenticação. Embora isso funcione bem para funcionários remotos, fica aquém quando o usuário de acesso remoto é um parceiro de negócios ou fornecedor. Por isso, esses parceiros geralmente precisam acessar o ambiente corporativo por meio de uma rede privada virtual (VPN). Mas as VPNs têm limitações de segurança inerentes e não são bem dimensionadas. Como resultado, alguém que usa uma VPN para acessar ativos corporativos por trás do firewall corporativo já tem mais acesso do que o necessário; usuários mal-intencionados podem aproveitar isso para atacar a rede por dentro .
“Se você pensar em todas as coisas ruins que ocorreram, é sempre através da porta dos fundos de uma conexão de fornecedor, porque você tem um canal aberto em uma VPN”, diz Dave Cronin, vice-presidente de estratégia de segurança cibernética da Capgemini Americas.
Mas as VPNs, apesar de terem uma segurança menos abrangente do que as ofertas de confiança zero, não vão desaparecer, ele adverte. Uma arquitetura de confiança zero exige que cada usuário seja pré-autorizado em um ambiente confiável, como listado no Microsoft Active Directory ou em algum aplicativo semelhante. Isso não acontecerá quando as organizações tiverem centenas ou milhares de parceiros da cadeia de suprimentos que não são individualmente identificados, autenticados e registrados.
“Em muitos casos, as organizações estão sobrepondo conjuntos adicionais de controles em torno especificamente do componente de acesso de terceiros porque, em alguns casos, os terceiros estão usando dispositivos não gerenciados, o que significa que estão usando seus próprios dispositivos corporativos ou até mesmo dispositivos pessoais para acessar os aplicativos corporativos de uma empresa”, diz Andrew Rafla, sócio e diretor, bem como o líder de confiança zero da Deloitte. “Há uma necessidade maior de mudar para soluções mais modernas do tipo ZTNA ou [Secure Access Service Edge] SASE, especificamente para acesso de terceiros.”
Rafla acrescenta que a borda de confiança zero (ZTE), às vezes chamada de SASE, pode ser vista como um controle compensatório para ajudar a mitigar as ameaças potenciais trazidas por terceiros e outros componentes gerenciados. Esses controles compensatórios – incluindo segurança de borda, TPRM, autenticação multifator e talvez mais uma dúzia de controles juntos – podem ajudar as empresas a demonstrar que devem se qualificar para o seguro cibernético , que se tornou mais difícil de obterrecentemente.
“Quanto mais ágil você puder ser como uma organização para habilitar forças de trabalho remotas, mais fácil, em geral, será para você fazer a coisa certa para evitar o acesso de terceiros aos seus ambientes de sistemas de aplicativos”, diz Josh Yavor, CISO em Tessian. “A razão para isso é que, ao empurrar a segurança para os dispositivos e depois para a camada de aplicativos, significa que, embora as redes ainda sejam absolutamente relevantes e críticas, estamos construindo logicamente nossas bolhas de risco defensivas em torno dos próprios aplicativos e, em seguida, os dispositivos e identidades que estão em uso ao acessá-los.
“Ao separar o que costumava ser um pensamento totalmente dependente da rede dessas camadas, isso significa que temos opções mais granulares para permitir o acesso seguro de nossos terceiros”.
Dito isso, embora as redes híbridas VPN e ZTNA provavelmente estejam aqui para ficar no futuro próximo, a segurança da VPN precisa ser aprimorada adicionando mais controles de autenticação e a capacidade de desligar a conexão caso o usuário acesse dados ou aplicativos inadequados. Isso pode incluir a melhoria dos controles de porta e protocolo para conter o risco.
FONTE: DARK READING