logo

Zero Trust: a transição necessária para as empresas

Um pouco de história e sobre o que é de fato o Zero Trust
O modelo de segurança Zero Trust (ZT) é uma abordagem que visa reduzir os riscos de ataques cibernéticos e violações de dados, baseando-se na premissa de que nenhum usuário ou dispositivo deve ser confiado automaticamente, independentemente de sua localização na rede. O ZT requer a verificação e a autorização contínuas de todos os acessos aos recursos da rede, bem como a segmentação e o monitoramento das atividades dos usuários e dispositivos. O ZT é considerado uma evolução das abordagens tradicionais de segurança, que se baseiam em perímetros fixos e na confiança implícita em tudo que está dentro da rede. 


O modelo de segurança ZT foi proposto em 2010 pelo analista da Forrester Research, John Kindervag, que se inspirou nas práticas de segurança adotadas por empresas como Google, Amazon e Netflix. Kindervag observou que essas empresas usavam uma arquitetura de rede baseada em microssegmentação, que dividia a rede em pequenas zonas com controles de acesso rigorosos. Ele também notou que essas empresas usavam tecnologias como criptografia, autenticação multifator e monitoramento contínuo para proteger os seus dados e recursos. Ele então cunhou o termo “Zero Trust” para descrever esse modelo de segurança, que se baseia na ideia de "nunca confiar, sempre verificar".


Em uma entrevista ao podcast DrZeroTrust, Kindervag contou como ele chegou ao conceito de ZT. Ele disse que ele estava trabalhando em um projeto para um cliente do setor financeiro, que tinha uma rede muito complexa e vulnerável. Ele percebeu que o modelo tradicional de segurança, baseado em firewalls e VPNs, não era eficaz para proteger essa rede. Ele então começou a pesquisar sobre outras formas de segurança, e encontrou o trabalho de Stephen Paul Marsh, que foi o primeiro a usar o termo “zero trust” em sua tese de doutorado sobre segurança da informação em 1994. Kindervag também se inspirou nas ideias de Jericho Forum, um grupo de especialistas em segurança que defendia a eliminação dos perímetros de rede. 


Kindervag então desenvolveu o seu próprio modelo de ZT, baseado em cinco pilares: garantir identidades seguras, avaliar a postura dos dispositivos, inspecionar e registrar todo o tráfego da rede, aplicar políticas dinâmicas e adaptativas, e minimizar os privilégios dos usuários e dispositivos6. Ele publicou o seu primeiro relatório sobre ZT em 20102, e desde então ele vem divulgando e promovendo o seu modelo em diversos eventos, publicações, podcasts e consultorias. 


Kindervag é considerado o “pai do ZT” por sua contribuição pioneira e influente para o campo da segurança cibernética. Ele é reconhecido como um dos maiores especialistas em ZT do mundo, e tem ajudado diversas organizações a implementar o seu modelo. 


A transição para o modelo de segurança ZT


É um desafio para as empresas no Brasil, que precisam se adaptar às novas demandas e exigências do cenário atual. Alguns dos fatores que impulsionam essa mudança são:

 

  • O aumento do trabalho remoto e híbrido, que amplia a superfície de ataque e torna os perímetros tradicionais obsoletos. Os usuários e dispositivos precisam acessar os recursos da rede de forma segura, independente de onde estejam localizados.
  • O crescimento das ameaças cibernéticas, que são cada vez mais sofisticadas e diversificadas. Os ataques podem vir de dentro ou de fora da rede, explorando vulnerabilidades nos sistemas, nas aplicações ou nos usuários. Os atacantes podem usar técnicas como phishing, ransomware, malware, DDoS, entre outras.
  • A entrada em vigor da Lei Geral de Proteção de Dados (LGPD), que estabelece regras e sanções para o tratamento de dados pessoais no Brasil. As empresas precisam garantir a privacidade e a segurança dos dados dos titulares, bem como cumprir com os princípios e as obrigações previstos na lei.

 

Para enfrentar esses desafios, as empresas no Brasil podem se beneficiar da adoção do modelo de segurança ZT, que oferece vantagens como:

 

  1. A melhoria da proteção dos dados sensíveis, que são criptografados, classificados e monitorados em todo o seu ciclo de vida. O ZT impede o acesso não autorizado ou indevido aos dados, bem como a sua perda ou vazamento.
  2. A redução dos custos e da complexidade da segurança, que é simplificada e padronizada por meio de uma plataforma integrada. O ZT elimina a necessidade de múltiplas soluções pontuais e facilita a gestão e a auditoria da segurança.
  3. A otimização da experiência do usuário, que é melhorada por meio de uma autenticação ágil e transparente. O ZT permite o acesso rápido e seguro aos recursos da rede, sem comprometer a produtividade ou a satisfação do usuário.

 

No entanto, a transição para o modelo de segurança ZT não é um processo simples ou imediato. Ela requer uma mudança cultural e organizacional nas empresas, que devem adotar uma mentalidade de confiança zero em todas as suas operações. Além disso, ela envolve uma série de etapas e requisitos técnicos, que devem ser planejados e executados com cuidado e eficiência.


O modelo de segurança zero trust ganhou popularidade nos últimos anos, especialmente após a publicação do memorando M-19-17 pelo Escritório de Gestão e Orçamento (OMB) dos Estados Unidos em 2019, que orientou as agências federais a adotarem esse modelo como parte da sua estratégia de modernização de TI. Em 2020, o National Institute of Standards and Technology (NIST) publicou o documento SP 800-207, que define o conceito de arquitetura de zero trust (ZTA) e fornece orientações gerais para o seu planejamento e implantação. Em 2021, a Agência de Segurança Cibernética e de Infraestrutura (CISA) publicou o modelo de maturidade de zero trust (ZTMM), que visa auxiliar as agências federais no desenvolvimento de estratégias e planos de implantação de zero trust e apresentar formas pelas quais os serviços da CISA podem apoiar as soluções de zero trust nas agências. Esses materiais e recomendações devem ser avaliados e aplicados nas suas estratégias de transição para o modelo ZT.


Outra forma de facilitar a transição para o modelo ZT é seguir as orientações e as boas práticas das agências de segurança cibernética do Brasil, como a Agência Nacional de Telecomunicações (Anatel) e o Centro Integrado de Segurança Cibernética do Governo Digital (CISC Gov.br). Essas agências são responsáveis por estabelecer normas, requisitos e regulamentos para garantir a segurança cibernética aplicada ao setor de telecomunicações e aos órgãos do governo federal. Elas também atuam na prevenção, tratamento e resposta a incidentes cibernéticos, bem como na promoção da cultura de segurança da informação.


Além disso, é importante acompanhar as tendências e as recomendações dos institutos internacionais de pesquisa em segurança cibernética, como o Gartner e o Forrester.Esses institutos fornecem análises, relatórios, estudos e eventos sobre o tema ZT, abordando aspectos como conceitos, benefícios, desafios, estratégias, melhores práticas, casos de sucesso e soluções tecnológicas.


Uma lista prática de itens a serem verificados e implantados pelas empresas para adotarem o modelo de segurança Zero Trust pode ser:

 

  • Fazer uma avaliação abrangente da infraestrutura de rede e identificar os pontos fracos e as vulnerabilidades.
  • Definir as políticas de confiança mínima para sua organização, especificando quem, o quê, quando, onde e como pode acessar os recursos protegidos, incluindo os dados. Aliás, os dados são os elementos centrais dos modelo.
  • Implementar MFA (Autenticação Multifator) em todas as contas de usuário, exigindo múltiplos fatores de autenticação, como senhas, códigos de verificação ou tokens físicos, antes de conceder o acesso aos recursos protegidos.
  • Segmentar a rede em partes menores e isoladas, limitando o acesso entre elas com base na necessidade de conhecer e no contexto da solicitação.
  • Monitorar e analisar continuamente as atividades dos usuários e dispositivos na rede, usando ferramentas de inteligência artificial e aprendizado de máquina para detectar comportamentos anormais ou suspeitos.
  • Criar um compromisso com toda a organização para adotar a mentalidade de confiança zero, envolvendo as equipes de TI, segurança, negócios e usuários finais.

 

Nos seus projetos relacionados a IoT, Blockchain e IA, é importante já considerar a aplicação dessa cultura e planejamento do ZT pois elas podem trazer novos desafios e oportunidades para a segurança cibernética. Veja alguns exemplos de como o modelo ZT pode se aplicar a essas tecnologias:

 

  • IoT: A Internet das Coisas (IoT) é um paradigma que envolve a conexão de diversos dispositivos inteligentes (sensores, atuadores, etc.) à internet, permitindo a coleta, o processamento e o compartilhamento de dados sobre o ambiente físico e os processos. A IoT amplia a superfície de ataque e torna os dispositivos vulneráveis a diversas ameaças cibernéticas, como ataques de negação de serviço, roubo de dados, manipulação de funções, entre outras. O modelo ZT pode ajudar a proteger os dispositivos IoT ao garantir a sua identidade, autenticação e autorização, bem como ao isolar e monitorar o seu tráfego na rede. O modelo ZT também pode se adaptar ao contexto e ao comportamento dos dispositivos IoT, aplicando políticas dinâmicas e adaptativas aos acessos.
  • IA: A Inteligência Artificial (IA) é um campo que envolve o desenvolvimento de sistemas capazes de realizar tarefas que normalmente requerem inteligência humana, como reconhecimento de padrões, aprendizado, raciocínio, tomada de decisão, entre outras. A IA pode trazer benefícios para diversas áreas e aplicações, mas também pode apresentar riscos para a segurança cibernética. Por exemplo, a IA pode ser usada para gerar conteúdos falsos ou enganosos (deepfakes), para realizar ataques adversariais ou de envenenamento de dados contra modelos de aprendizado de máquina, ou para roubar ou reverter modelos proprietários de IA. O modelo ZT pode ajudar a defender os sistemas de IA ao verificar e validar os dados usados para treinar e alimentar os modelos de IA, ao criptografar e rastrear os dados em todo o seu ciclo de vida, ao segmentar e inspecionar o tráfego da rede relacionado aos modelos de IA, entre outras medidas.
  • Blockchain: O blockchain é uma tecnologia que permite a criação de um registro distribuído e imutável de transações entre entidades na rede. O blockchain pode ser usado para diversos fins, como criptomoedas, contratos inteligentes, identidade digital, entre outros. O blockchain pode trazer vantagens para a segurança cibernética, como garantir a integridade, a transparência e a rastreabilidade dos dados, bem como evitar fraudes, falsificações ou adulterações. O modelo ZT pode se beneficiar do blockchain ao usar essa tecnologia para armazenar e gerenciar as identidades, as políticas e os registros de segurança da rede, bem como para facilitar a colaboração e a confiança entre as entidades na rede.

 

Uma das formas de facilitar essa transição é contar com o apoio de parceiros especializados em soluções de conectividade e segurança da informação, como a Fiandeira Tecnologia. A Fiandeira Tecnologia é uma empresa brasileira que oferece serviços e soluções inovadoras para ajudar as empresas nos desafios crescentes de conectividade e segurança da informação para o ambiente de trabalho híbrido. A Fiandeira Tecnologia possui um portfólio que abrange desde soluções maduras até o que existe de mais inovador no mercado de segurança e operação em ambiente de rede.


Entre as soluções oferecidas pela Fiandeira Tecnologia estão:

 

  • Consultoria estratégica de classificação da informação, que ajuda as empresas a identificarem, categorizarem e protegerem os seus dados sensíveis, conforme as normas e regulamentações vigentes.
  • Fasoo Enterprise Digital Rights Management (EDRM), que permite o controle granular dos direitos de acesso aos dados não estruturados, como documentos, planilhas, apresentações, etc. O EDRM criptografa e rastreia os dados em todo o seu ciclo de vida, impedindo o seu vazamento ou uso indevido.
  • Fasoo Smart Print e Fasoo Smart Screen, que protegem os dados exibidos nas telas de dispositivos e nas impressões, evitando a captura ou a cópia não autorizada dos mesmos. Essas soluções usam técnicas de ofuscação e marca d’água para garantir a segurança dos dados.
  • Ericom Remote Browser Isolation (RBI), que isola a navegação web em um ambiente seguro e remoto, evitando que os usuários sejam expostos a conteúdos maliciosos ou phishing. O RBI também reduz o consumo de recursos e a latência da rede.
  • OpenText Exceed Single e OpenText Exceed TurboX, Ericom Connect e NoMachine que permitem o acesso remoto seguro a aplicações e desktops virtualizados, com alta performance e qualidade gráfica. Essas soluções facilitam a colaboração e a produtividade dos usuários, independentemente de sua localização ou dispositivo.
  • OpenText Socks Client, que proporciona conectividade e segurança com Socks, um protocolo que permite o acesso a serviços e aplicações através de uma rede privada virtual (VPN). O Socks Client também oferece recursos de autenticação, criptografia e compressão de dados.

 

A Fiandeira Tecnologia tem experiência e conhecimento para ajudar as empresas no Brasil a fazerem a transição para o modelo de segurança ZT, de forma simples, prática e eficiente. A Fiandeira Tecnologia tem como missão ser o agente transformador no uso de tecnologia, descomplicando e aplicando o conhecimento, inovação e as melhores pessoas para entrega de resultados significativos aos seus clientes.

 

Referências:

https://venturebeat.com/security/how-ai-protects-machine-identities-in-a-zero-trust-world/

https://www.trendmicro.com/en_us/research/21/i/iot-and-zero-trust-are-incompatible-just-the-opposite.html

https://www.comptia.org/blog/what-is-zero-trust-and-why-does-it-work

https://www.techtarget.com/iotagenda/post/Simplify-zero-trust-implementation-for-IoT-security

https://www.microsoft.com/en-us/security/blog/2021/11/08/learn-how-microsoft-strengthens-iot-and-ot-security-with-zero-trust/

https://www.gartner.com/smarterwithgartner/new-to-zero-trust-security-start-here

https://www.fiandeira.com.br/como-o-nist-e-o-cisa-estao-revolucionando-a-ciberseguranca-com-o-modelo-zero-trust

https://www.forrester.com/blogs/the-definition-of-modern-zero-trust/

https://www.forrester.com/blogs/category/zero-trust-security-framework-ztx/

https://www.forrester.com/certification/zero-trust/

https://virtualizationreview.com/articles/2022/06/23/gartner-predictions.aspx

https://www.gartner.com/en/newsroom/press-releases/2023-01-23-gartner-predicts-10-percent-of-large-enterprises-will-have-a-mature-and-measurable-zero-trust-program-in-place-by-2026

https://www.gartner.com/en/documents/4268799

https://www.forbes.com/sites/tonybradley/2023/09/25/the-godfather-of-zero-trust-joins-illumio/?sh=3c22b8544922

https://www.britive.com/blog/how-john-kindervags-zero-trust-model-applies-to-cloud-security/

https://www.ibm.com/topics/zero-trust

https://en.wikipedia.org/wiki/Zero_trust_security_model

https://podcasts.apple.com/us/podcast/drzerotrust/id1570251081

A criptografia é essencial para a proteção de dados

30 abr., 2024
Criptografia: Protegendo Seus Dados com Eficiência

Olhando para o Futuro da Cibersegurança com o Gartner

Por Luis Figueiredo 28 mar., 2024
Previsões e Tendências Fascinantes do Gartner para a Cibersegurança
Formas geométricas em cores neon representando dados não estruturados protegidos por uma caixa forte

Dados não estruturados: como gerenciar e blindar as informações mais valiosas de sua empresa

Por Luis Figueiredo 14 fev., 2024
Os dados não estruturados representam cerca de 80% do volume total de dados gerados globalmente e muitas vezes contêm informações sensíveis que precisam ser protegidas
Share by: