Segundo as mídias "Transformações digitais impulsionam as empresas a novos patamares de agilidade e transparência. No entanto, essa evolução também mostra um aumento na vulnerabilidade de dados e no risco de segurança. Com recursos de rede acessíveis a mais usuários em diversos locais, as permissões de acesso tradicionais se tornam ineficazes". Tendo isso em mente, é vital que estratégias de segurança sejam adaptadas à nova realidade dinâmica e interconectada.
Johnny Hudaba
Por esse motivo, o conceito de Zero Trust tem ganhado cada vez mais espaço e relevância no cenário da segurança da informação, sendo considerado um dos principais paradigmas para a proteção de sistemas em um mundo de ciberameaças crescentes.
Imagem via CiberBox
Zero Trust: O que é o modelo de confiança zero?
Trata-se de um modelo de segurança cibernética que parte do princípio de que nenhum acesso ou solicitação deve ser automaticamente confiável, independente da origem. Isso significa que tanto os usuários internos quanto externos, dispositivos e sistemas devem ser continuamente verificados e monitorados, sendo o acesso aos dados ou recursos concedido somente após uma autenticação rigorosa. Para fixar melhor o conceito de Zero Trust, imagine uma casa. Todos que querem entrar nela devem apresentar sua identificação na porta da frente e somente aqueles que provarem sua identidade poderão entrar (autenticação), caso contrário serão barrados. Esta casa é cheia de câmeras e sensores que monitoram constantemente as atividades realizadas por todos os indivíduos, onde qualquer comportamento suspeito será investigado (monitoramento contínuo).
Imagem via CiberBox
Dentro dela todos os cômodos são separados e trancados (segmentação), não é porque a pessoa entrou na casa que pode acessar toda e qualquer área. Para cada acesso será necessário novamente provar sua identidade e a necessidade de entrar no cômodo. Lembrando que o acesso a diferentes lugares é dinâmico, ajustado com base em quem está pedindo entrada e o que irá fazer (políticas de controle de acesso). Essa é uma regra para todas as áreas da casa, poder acessar a cozinha não significa permissão para acessar o quarto, por exemplo.
A ideia é que ninguém, nem mesmo quem já está dentro da casa, deve ser confiável. Até que se prove o contrário.
Princípios Fundamentais
Não estamos falando de uma tecnologia específica, mas de uma filosofia e conjunto de práticas baseadas em três princípios fundamentais:
Nunca confie, sempre verifique!
Todo acesso deve ser verificado, independente da origem. Implicando na necessidade contínua e multifatorial de autenticação, inspeção de tráfego e monitoramento constante de atividades.
Mínimo privilégio
Segurança por segmentação
Via Getty Images Signature
Benefícios ao Utilizar o Zero Trust
A implementação de uma estratégia de Zero Trust oferece uma série de vantagens, que ajudam as empresas a lidar com os mais diversos desafios modernos de segurança:
Redução da superfície de ataque
Com a segmentação e aplicação de políticas de acesso rigorosas, o Zero Trust limita o escopo que os atacantes podem explorar em uma rede comprometida.
Maior proteção contra ameaças internas e externas
Maior visibilidade e controle
Maior adaptação à mobilidade e ambientes em nuvem
Principais Pontos Negativos da Implementação de Zero Trust
Um dos erros mais comuns na adoção do modelo Zero Trust é a falta de comprometimento total. Muitas empresas consideram a transição para uma solução completamente restritiva muito trabalhosa, o que acaba limitando a eficácia do modelo.
Com isso, as implementações costumam ser feitas em fases, o que pode gerar exposição temporária de dados sensíveis durante o processo. Em outros casos, a abordagem acaba sendo incompleta, com falhas na aplicação de autenticação multifator (MFA) ou na autenticação de dispositivos.
Imagem via CiberBox
Sem controles rígidos sobre os dispositivos, as credenciais podem ser facilmente comprometidas. Técnicas de phishing externas ou internas ainda conseguem capturar o segundo fator e permitir o acesso a partir de dispositivos não confiáveis. Sem um gerenciamento sólido de dispositivos móveis e uma política clara sobre dispositivos autenticados, o acesso indevido fica a apenas alguns cliques. Implementar essa estratégia requer uma reformulação profunda da arquitetura de segurança existente, o que pode ser extremamente desafiador para organizações com infraestruturas legadas (sistemas antigos ou desatualizados) ou complexas. É comum surgir certa resistência interna por parte dos funcionários e equipes ao implementar mudanças significativas como esta. O aumento da burocracia e dos processos de autenticação contínua podem causar incômodos e até mesmo perda de produtividade das equipes. Além da resistência de departamentos com mudanças que exigem realocação de recursos, pessoal e atualizações na infraestrutura existente. Medidas de segurança excessiva podem impactar o fluxo de trabalho dos usuários ou até mesmo causar interrupções no processo. Por fim, é crucial que a estratégia seja adaptada ao contexto dos negócios, balanceado segurança e eficiência profissional.
Fontes: https://www.fortinet.com/br/resources/cyberglossary/what-is-the-zero-trust-network-security-model https://www.ibm.com/br-pt/topics/zero-trust https://www.cisco.com/c/en/us/solutions/automation/what-is-zero-trust-networking.html https://innovationlatam.com/blog/companies/websecurity/posts/zero-trust-os-desafios-de-implementao-de-uma-das-grandes-tendncias-da-cibersegurana-para-2024-web-security-hub Zero Trust: O que é o modelo de confiança zero?
Sensacional!
Muito bom !
Excelente explicação 👍🏽👍🏽👍🏽