Confiança Zero

O conceito não é novo, mas foi nos últimos anos que se tornou numa tendência. A Forrester Research indica que “estamos nos primeiros passos de uma nova revolução tecnológica, com métodos mais inventivos para capitalizar informações” e conseguir avançar com os objetivos das organizações.

No entanto, refere a consultora, “operar em zero trust significa que a segurança por definição [security by design] não é uma reunião ou uma apresentação, mas um modelo do dia-a- -dia para proteger” as empresas e os seus objetivos.

O que é

Zero trust não é um produto ou um serviço que se possa adquirir; é um conceito que deve ser implementado na cibersegurança. Este modelo protege os dados ao limitar o acesso aos mesmos.

Com esta política, a organização não confia automaticamente em alguém ou algo, esteja ou não dentro do perímetro da rede; em vez disso, requer verificação para todas as pessoas, dispositivos e contas que tentam conectar-se às aplicações ou sistemas da organização antes de dar o acesso em si.

As frameworks zero trust incluem várias tecnologias que já eram utilizadas em grande escala pelas organizações para proteger os seus dados. No entanto, o zero trust representa o eixo central claro de como se deve pensar na defesa e na cibersegurança de uma empresa.

Em vez de se defender apenas um perímetro empresarial abundantemente utilizado, a abordagem zero trust move esse perímetro para todas as redes, sistemas, utilizadores e dispositivos dentro e fora da organização.

Esta política só pode ser posta em prática recorrendo a identidades fortes, a autenticação de múltiplos fatores, a endpoints de confiança, à segmentação da rede, a controlos de acesso e ao acesso a dados e sistemas sensíveis de forma compartimentada e regulada a cada utilizador.

Como adotar 

Construir e utilizar uma framework zero trust não significa uma transformação tecnológica completa.

O primeiro passo é, necessariamente, definir a superfície a proteger. Com uma política zero trust, é necessário focar-se nos dados, nas aplicações, nos assets e nos serviços mais valiosos para a organização.

Uma organização pode necessitar de proteger, por exemplo, informação de pagamentos ou de saúde, propriedade intelectual, informação pessoal identificável, aplicações, controlos SCADA, terminais POS ou equipamento médico.

Depois de definida a área a proteger, devem mover-se os controlos para o mais próximo possível, criando um microperímetro com políticas que são limitadas, precisas e percetíveis.

Também é necessário perceber a maneira como o tráfego se move através de uma rede, uma vez que é isso que vai determinar como a rede deve ser protegida. Saber como é que os vários recursos interagem permite aplicar os controlos adequados, para além de fornecer um contexto importante para garantir que a cibersegurança da organização é ideal e conta com o mínimo de tempo de interrupção possível tanto para os utilizadores como para as operações.

A arquitetura é construída à volta da superfície protegida. Depois de definida a superfície e de mapear o tráfego da rede, é possível mapear a arquitetura zero trust e começar por uma firewall de próxima geração. Esta firewall vai funcionar como um gateway de segmentação para criar um microperímetro à volta da superfície a proteger, sendo possível criar novas camadas de inspeção e controlo.

Depois, é preciso criar políticas para determinar o acesso. É necessário conhecer os utilizadores, a que aplicações precisam de aceder, porque precisam de aceder a tais aplicações, como tencionam conectar-se e que controlos podem ser utilizados para assegurar o acesso.

O último passo inclui rever todos os logs, sejam internos ou externos, e focar-se nos aspetos operacionais do modelo. Uma vez que o zero trust é um processo repetitivo, examinar o registo do tráfego fornece informações valiosas sobre como é possível proteger a superfície ao longo do tempo.