0
0
A abordagem de confiança zero à segurança promete reduzir as ameaças e tornar os ataques bem-sucedidos menos prejudiciais, mas as empresas não devem esperar que a implementação dos princípios de confiança zero seja fácil ou evite a maioria dos ataques, disse a empresa de inteligência de negócios Gartner esta semana.
Embora o interesse em arquiteturas de confiança zero seja alto, apenas cerca de 1% das organizações atualmente possui um programa maduro que atende à definição de confiança zero. A empresa também estima que apenas um décimo de todas as organizações criará uma estrutura madura de confiança zero até 2026 e, nessa época, essas medidas acabarão apenas bloqueando ou minimizando o impacto de cerca de metade de todos os ataques.
Mesmo assim, passar de 1% para 10% é um progresso significativo, diz John Watts, analista vice-presidente do Gartner.
“É um aumento relativamente grande”, diz ele. “[Dez por cento] pode parecer baixo, mas, ao mesmo tempo, agora, quando conversamos com clientes e analisamos outros pontos de dados do setor, não parece haver muitas organizações grandes que você possa apontar que tenham um programa de confiança zero maduro e mensurável.”
As iniciativas de confiança zero continuam a ser uma meta aspiracional para as empresas e suas equipes de segurança cibernética, com 80% dos executivos indicando que a estratégia é uma prioridade máxima e 77% aumentando seu orçamento para implementação, de acordo com uma pesquisa de 2022 publicada pela Cloud Security Alliance em junho . Um relatório separado publicado pela Microsoft em 2021 descobriu que 96% dos líderes de segurança consideravam a confiança zero crítica para seu sucesso – e 76% estavam “no processo” de implementar uma iniciativa de confiança zero.
Transformando a confiança zero em ação
À medida que as empresas ponderam seus caminhos a seguir , elas devem reconhecer que chegar a uma arquitetura abrangente de confiança zero não é fácil e levará tempo, diz Christopher Hallenbeck, CISO para as Américas da Tanium, fornecedora de gerenciamento de endpoint convergente.
“O processo de migração para confiança zero pode parecer esmagador e muitas vezes causa paralisia”, diz ele. “Estou surpreso que o número [previsto] chegue a 10%. Embora muitas organizações tenham aspirações de confiança zero, poucas fizeram mudanças holísticas para adotá-la totalmente.”
Também pode ser confuso, devido ao uso generalizado de “confiança zero” no marketing de produtos e serviços de segurança cibernética.
Em um relatório anterior do Insights , o Gartner rebateu o uso excessivamente zeloso do termo. Neil MacDonald, um ilustre vice-presidente e analista da empresa, disse que a confiança zero exige que o grau de confiança concedido aos usuários e dispositivos seja concedido explicitamente, calculado continuamente e depois adaptado para permitir a quantidade certa de acesso apenas pelo tempo como necessário.
“A confiança zero é uma maneira de pensar, não uma tecnologia ou arquitetura específica”, disse ele. “É realmente sobre confiança implícita zero, pois é disso que queremos nos livrar.”
Embora a noção de remover a confiança implícita da infraestrutura de computação corporativa seja boa, a arquitetura é difícil e demorada de implementar e não resolve todos os problemas, afirmou a empresa de análise como parte do post desta semana .
Como tal, as organizações precisam passar a integrar iniciativas de confiança zero em partes específicas de suas operações, observa Hallenbeck.
“Você precisa configurar cada sistema para colocá-lo sob confiança zero e deve priorizar os sistemas que contêm as informações mais confidenciais”, diz ele. “Tudo se resume a saber o que você tem para formar um plano.”
Conheça os limites da confiança zero
De fato, conhecer o escopo e os limites da confiança zero é fundamental, diz Watts, do Gartner. A arquitetura e as tecnologias usadas em implementações de confiança zero são boas para bloquear movimentos laterais e conter o impacto de uma violação inicial. No entanto, as empresas não devem esperar que um serviço de confiança zero evite o comprometimento dos sistemas voltados para o consumidor.
Qualquer coisa destinada ao consumo do consumidor e exposta à Internet, onde qualquer pessoa pode encontrar e tentar usar o serviço, não é candidata a confiança zero e não está no escopo das iniciativas de uma empresa, diz Watts. Os invasores já estão começando a contornar algumas técnicas de identidade e autenticação, como o comprometimento da Rockstar Games no ano passado por meio de spear phishing e uma plataforma de colaboração interna. Eles continuarão a encontrar pontos de entrada que não são controlados por proteções de confiança zero ou se concentrarão na fraqueza da confiança zero, diz ele.
A empresa, de fato, prevê que até 2026, a confiança zero não será capaz de impedir mais da metade de todos os ataques cibernéticos.
Ainda assim, a adoção de estruturas de confiança zero acabará compensando, diz Hallenbeck da Tanium. Uma empresa com um programa maduro de confiança zero sabe “quais sistemas [eles] têm e onde estão os dados”, diz ele. Dessa forma, mesmo que um invasor ignore uma proteção de confiança zero, a organização pode limitar os danos limitando o acesso do invasor a sistemas e dados internos.
“Estamos apenas começando a passar desta fase, de onde todos os fornecedores dizem que podem resolver todos os seus problemas de confiança zero, e para o espaço onde as organizações agora estão implementando mais controles de confiança zero”, diz Watts. “Eles estão enfrentando uma realidade boa e ruim, certo? E nem tudo é bom e nem tudo é ruim.”
FONTE: DARK READING