Um pouco de história e sobre o que é de fato o Zero Trust
O modelo de segurança Zero Trust (ZT) é uma abordagem que visa reduzir os riscos de ataques cibernéticos e violações de dados, baseando-se na premissa de que nenhum usuário ou dispositivo deve ser confiado automaticamente, independentemente de sua localização na rede. O ZT requer a verificação e a autorização contínuas de todos os acessos aos recursos da rede, bem como a segmentação e o monitoramento das atividades dos usuários e dispositivos. O ZT é considerado uma evolução das abordagens tradicionais de segurança, que se baseiam em perímetros fixos e na confiança implícita em tudo que está dentro da rede.
O modelo de segurança ZT foi proposto em 2010 pelo analista da Forrester Research, John Kindervag, que se inspirou nas práticas de segurança adotadas por empresas como Google, Amazon e Netflix. Kindervag observou que essas empresas usavam uma arquitetura de rede baseada em microssegmentação, que dividia a rede em pequenas zonas com controles de acesso rigorosos. Ele também notou que essas empresas usavam tecnologias como criptografia, autenticação multifator e monitoramento contínuo para proteger os seus dados e recursos. Ele então cunhou o termo “Zero Trust” para descrever esse modelo de segurança, que se baseia na ideia de "nunca confiar, sempre verificar".
Em uma entrevista ao podcast DrZeroTrust, Kindervag contou como ele chegou ao conceito de ZT. Ele disse que ele estava trabalhando em um projeto para um cliente do setor financeiro, que tinha uma rede muito complexa e vulnerável. Ele percebeu que o modelo tradicional de segurança, baseado em firewalls e VPNs, não era eficaz para proteger essa rede. Ele então começou a pesquisar sobre outras formas de segurança, e encontrou o trabalho de Stephen Paul Marsh, que foi o primeiro a usar o termo “zero trust” em sua tese de doutorado sobre segurança da informação em 1994. Kindervag também se inspirou nas ideias de Jericho Forum, um grupo de especialistas em segurança que defendia a eliminação dos perímetros de rede.
Kindervag então desenvolveu o seu próprio modelo de ZT, baseado em cinco pilares: garantir identidades seguras, avaliar a postura dos dispositivos, inspecionar e registrar todo o tráfego da rede, aplicar políticas dinâmicas e adaptativas, e minimizar os privilégios dos usuários e dispositivos6. Ele publicou o seu primeiro relatório sobre ZT em 20102, e desde então ele vem divulgando e promovendo o seu modelo em diversos eventos, publicações, podcasts e consultorias.
Kindervag é considerado o “pai do ZT” por sua contribuição pioneira e influente para o campo da segurança cibernética. Ele é reconhecido como um dos maiores especialistas em ZT do mundo, e tem ajudado diversas organizações a implementar o seu modelo.
A transição para o modelo de segurança ZT
É um desafio para as empresas no Brasil, que precisam se adaptar às novas demandas e exigências do cenário atual. Alguns dos fatores que impulsionam essa mudança são:
Para enfrentar esses desafios, as empresas no Brasil podem se beneficiar da adoção do modelo de segurança ZT, que oferece vantagens como:
No entanto, a transição para o modelo de segurança ZT não é um processo simples ou imediato. Ela requer uma mudança cultural e organizacional nas empresas, que devem adotar uma mentalidade de confiança zero em todas as suas operações. Além disso, ela envolve uma série de etapas e requisitos técnicos, que devem ser planejados e executados com cuidado e eficiência.
O modelo de segurança zero trust ganhou popularidade nos últimos anos, especialmente após a publicação do memorando M-19-17 pelo Escritório de Gestão e Orçamento (OMB) dos Estados Unidos em 2019, que orientou as agências federais a adotarem esse modelo como parte da sua estratégia de modernização de TI. Em 2020, o National Institute of Standards and Technology (NIST) publicou o documento SP 800-207, que define o conceito de arquitetura de zero trust (ZTA) e fornece orientações gerais para o seu planejamento e implantação. Em 2021, a Agência de Segurança Cibernética e de Infraestrutura (CISA) publicou o modelo de maturidade de zero trust (ZTMM), que visa auxiliar as agências federais no desenvolvimento de estratégias e planos de implantação de zero trust e apresentar formas pelas quais os serviços da CISA podem apoiar as soluções de zero trust nas agências. Esses materiais e recomendações devem ser avaliados e aplicados nas suas estratégias de transição para o modelo ZT.
Outra forma de facilitar a transição para o modelo ZT é seguir as orientações e as boas práticas das agências de segurança cibernética do Brasil, como a Agência Nacional de Telecomunicações (Anatel) e o Centro Integrado de Segurança Cibernética do Governo Digital (CISC Gov.br). Essas agências são responsáveis por estabelecer normas, requisitos e regulamentos para garantir a segurança cibernética aplicada ao setor de telecomunicações e aos órgãos do governo federal. Elas também atuam na prevenção, tratamento e resposta a incidentes cibernéticos, bem como na promoção da cultura de segurança da informação.
Além disso, é importante acompanhar as tendências e as recomendações dos institutos internacionais de pesquisa em segurança cibernética, como o Gartner e o Forrester.Esses institutos fornecem análises, relatórios, estudos e eventos sobre o tema ZT, abordando aspectos como conceitos, benefícios, desafios, estratégias, melhores práticas, casos de sucesso e soluções tecnológicas.
Uma lista prática de itens a serem verificados e implantados pelas empresas para adotarem o modelo de segurança Zero Trust pode ser:
Nos seus projetos relacionados a IoT, Blockchain e IA, é importante já considerar a aplicação dessa cultura e planejamento do ZT pois elas podem trazer novos desafios e oportunidades para a segurança cibernética. Veja alguns exemplos de como o modelo ZT pode se aplicar a essas tecnologias:
Uma das formas de facilitar essa transição é contar com o apoio de parceiros especializados em soluções de conectividade e segurança da informação, como a Fiandeira Tecnologia. A Fiandeira Tecnologia é uma empresa brasileira que oferece serviços e soluções inovadoras para ajudar as empresas nos desafios crescentes de conectividade e segurança da informação para o ambiente de trabalho híbrido. A Fiandeira Tecnologia possui um portfólio que abrange desde soluções maduras até o que existe de mais inovador no mercado de segurança e operação em ambiente de rede.
Entre as soluções oferecidas pela Fiandeira Tecnologia estão:
A Fiandeira Tecnologia tem experiência e conhecimento para ajudar as empresas no Brasil a fazerem a transição para o modelo de segurança ZT, de forma simples, prática e eficiente. A Fiandeira Tecnologia tem como missão ser o agente transformador no uso de tecnologia, descomplicando e aplicando o conhecimento, inovação e as melhores pessoas para entrega de resultados significativos aos seus clientes.
Referências:
https://venturebeat.com/security/how-ai-protects-machine-identities-in-a-zero-trust-world/
https://www.comptia.org/blog/what-is-zero-trust-and-why-does-it-work
https://www.techtarget.com/iotagenda/post/Simplify-zero-trust-implementation-for-IoT-security
https://www.gartner.com/smarterwithgartner/new-to-zero-trust-security-start-here
https://www.forrester.com/blogs/the-definition-of-modern-zero-trust/
https://www.forrester.com/blogs/category/zero-trust-security-framework-ztx/
https://www.forrester.com/certification/zero-trust/
https://virtualizationreview.com/articles/2022/06/23/gartner-predictions.aspx
https://www.gartner.com/en/documents/4268799
https://www.britive.com/blog/how-john-kindervags-zero-trust-model-applies-to-cloud-security/
https://www.ibm.com/topics/zero-trust
https://en.wikipedia.org/wiki/Zero_trust_security_model
https://podcasts.apple.com/us/podcast/drzerotrust/id1570251081