Implementação efetiva do Zero Trust: tem caminho certo?

Um levantamento realizado pela One Identity com profissionais de TI mostrou que 75% das organizações caracterizam o Zero Trust como uma solução crítica para a segurança digital. Entretanto, a implementação real deste modelo ocorreu em apenas 14% delas.

Imagem: One Identity/Quest

Diante deste cenário, o que tenho percebido após alguns anos de experiência é que os setores de infraestrutura crítica despontam como sendo os que mais buscam a excelência na proteção de suas informações, alguns deles já utilizando o Zero Trust, outros estando muito próximos da adoção completa. Esta informação pode trazer a ideia de que a abordagem é exclusividade de infraestruturas críticas, e isso não é verdade. É importante salientar que é todo e qualquer segmento empresarial também pode começar com pequenos passos para construir um sistema seguro por meio do conceito do Zero Trust.

Ao promover, como o nome original já diz, a não confiança em nenhum dispositivo ou usuário dentro ou fora da corporação, sendo necessária a autenticação e verificação contínua do acesso à rede, este modelo de segurança parte de um princípio mais comportamental e cultural para que possa ser aplicado. Além disso, o Zero Trust é considerado uma das posturas mais eficientes contra ciberameaças e interessante para qualquer ambiente, pois irá aumentar a maturidade de segurança do sistema e diminuir a superfície de ataque.

Imagem: Aleksandarlittlewolf/Freepik

A sua implementação exige que uma série de esforços práticos sejam realizados para que exista. E como fazer isso? Segundo a mesma pesquisa que citei acima, cerca de 32% das equipes afirmam que não têm uma percepção geral de como começar a implementar o Zero Trust, sendo que, para reverter esse cenário, o principal alicerce é colocar como prioridade a visibilidade do ambiente.

Medidas práticas para aplicação do Zero Trust

Por meio de uma integração com uma série de ferramentas, ou até mesmo, por passos de validação, o profissional de TI da organização consegue alcançar a maior transparência possível das atividades que ocorrem nos equipamentos dentro do ambiente corporativo.

Uma forma interessante e barata de começar a não confiar tanto nos dispositivos/usuários é a configuração de time out de sessão, em que os usuários das organizações poderão ter acesso apenas por um período de tempo ao sistema e, caso seja detectada alguma inatividade, será necessário realizar o login novamente. Além disso, também é possível colocar mais uma camada de proteção como um múltiplo fator de autenticação, aumentando o a robustez do processo.

Para ir construindo níveis de proteção com medidas integradas, outras ações também podem ser tomadas como, por exemplo, monitorar se o computador do usuário está com a última versão do antivírus, se conta com a versão mais atualizada do browser e se está conectado à VPN. Isso irá se expandir, visto que quanto mais informações tiver, será melhor para assegurar a integridade do sistema.

Imagem: Unsplash

Outro ponto que precisa ser levado em consideração é o permissionamento. O Zero Trust se baseia muito em least privilege, ou seja, que o usuário tenha o mínimo de privilégio possível para acessar recursos no sistema. Isto é um fator que ajuda a limitar as possíveis vulnerabilidades entre acessos inesperados e ajuda a mitigar portas de entrada para possíveis ataques e ameaças externas.

Além disso, o ideal é que para começar a trabalhar no modelo de Zero Trust, haja conscientização não só da equipe de TI, mas de todos os funcionários, de que o ambiente está sendo protegido para que eles se sintam seguros. Isso evita gerar uma possível sensação de desconforto pelas medidas incisivas, e reforça a preocupação em serem adequadamente monitorados para uma proteção efetiva.

O caminho da cibersegurança até o Zero Trust

Boa parte dos ambientes começam com o básico, como antivírus, firewall e backup e depois vão evoluindo para soluções mais complexas e robustas. O ideal é trilhar esse caminho e absorver o máximo de fortalezas possíveis. Começando a se preocupar com o que entra e sai da empresa, monitorando comportamentos que acontecem na rede, procurando ações maliciosas, implementando o desenvolvimento de políticas, evoluindo as medidas de segurança e então, passando para a segurança integral. Isto irá mostrar que a organização desenvolveu uma maturidade mais sólida.

Imagem: Shutterstock

As organizações têm adotado soluções de segurança pontuais acreditando que vão proteger o ambiente de forma adequada, o que, querendo ou não, traz um ganho em curto prazo. Mas é necessário ter um pouco mais de robustez para se ter um ambiente protegido de forma apropriada, implementando processos e ferramentas que irão evoluir de acordo com a maturidade de segurança no ambiente.

Consequentemente, será possível caminhar para um nível ainda mais elevado de maturidade, onde se absorve inteligência de ameaças do mercado para transpor dentro do ambiente, complementando o uso do Zero Trust. Todos estes pontos farão com que a visualização das informações de cada usuário e de cada dispositivo para manipular e proteger adequadamente as ferramentas que seus funcionários vão utilizar, seja um browser ou um computador com o mínimo de privilégio possível.

Todas as empresas que queiram ter essa visibilidade já deveriam estar olhando de forma mais próxima para o Zero Trust, mesmo que ele não esteja totalmente implementado e integrado. Isso pode ser feito de forma gradual, observando de maneira mais incisiva o usuário e o sistema, garantindo que ele possa estar protegido, ao adotar esta cultura e comportamento da forma mais natural possível.

—

Daniel Barbosa é formado em Ciência da Computação pela Universidade de Santo Amaro (Brasil) e pós-graduado em Cyber Security pela Daryus Management Business School (Brasil). Desde 2018, atua como especialista em segurança da informação na Eset.