Cinco etapas em direção à segurança Zero Trust

Quer avançar no caminho rumo ao zero trust? Estes passos vão manter a sua estratégia no caminho certo.

Por Neal Weinberg

O Zero Trust tem sido o sucessor lógico do modelo de segurança do perímetro, que não tem funcionado muito bem para proteger as empresas de ciberataques e está cada vez mais ultrapassado à medida que os funcionários se tornam mais móveis e as aplicações migram para a nuvem.

Mas a adoção do modelo Zero Trust, criado pelo ex-analista Forrester John Kindervag há mais de uma década, tem sido lento devido, em parte, à aversão à mudança e às preocupações de que substituir a segurança do perímetro por algo novo seria arriscado, complexo e dispendioso.

Tudo mudou quando a pandemia atingiu, os escritórios das empresas esvaziaram-se e milhões de trabalhadores viram-se subitamente a trabalhar a partir de casa. Executivos de TI apressaram-se a mover aplicações para a nuvem para torná-las mais acessíveis à sua força de trabalho remota. Eles então lutaram para proteger estas conexões de borda com metodologias consistentes com a arquitetura Zero Trust, tais como a autenticação de vários fatores, controlos de acesso e edge de serviço de acesso seguro (SASE), um serviço baseado na nuvem que combina conectividade e segurança.

Na verdade, as empresas tinham iniciado “inadvertidamente” o caminho do Zero Trust, diz Steve Turner, analista da Forrester. “Estamos a ver muitos dos mesmos clientes a voltar e a dizer: ‘Onde mais posso ir com a Zero Trust?’ Percebem que há muitas soluções por aí que se anunciam como Zero Trust. Querem eliminar o ruído e perceber como serão os próximos passos. “

Seguem-se os cinco passos que garantirão que o seu caminho rumo ao Zero Trust se mantenha está certo e acrescenta valor ao negócio.

Etapa 1: saber o que realmente significa Zero Trust

Parte da confusão associada ao termo deriva do uso da palavra “trust” ou “confiança”. Como diz Kindervag, atualmente vice-presidente sénior de estratégia de cibersegurança na empresa de serviços de segurança gerida ON2IT, “O Zero Trust é simplesmente a ideia de que a confiança é o que precisamos de eliminar. A confiança é uma emoção humana que foi injetada em sistemas digitais sem razão aparente. Confiança zero é uma iniciativa estratégica que ajuda a prevenir violações de dados bem-sucedidas, eliminando a confiança da sua organização. Está enraizada no princípio de nunca confiar, verificar sempre. “

Por exemplo, toda a gente na empresa conhece o João e toda a gente gosta e confia no João. Os pacotes estão a entrar na rede de um dispositivo atribuído ao João, mas como sabemos se é mesmo o João e não um hacker? O modelo Zero Trust diz simplesmente que a afirmação “de que é o João” precisa de ser verificada. As organizações precisam de criar políticas destinadas a confirmar a identidade do João, controlar os recursos que o João pode avaliar, impedir o João de tomar ações que não estão dentro da política, e monitorizar e registar todas as atividades do João.

Na prática, isto significa não só ir além das palavras-passe para a autenticação de vários fatores, mas também considerar como verificar o próprio dispositivo, a sua localização e comportamento – como confirmam os próximos pontos.

Passo 2: Identifique o que quer proteger

O objetivo da Zero Trust é proteger a empresa das consequências financeiras, regulamentares e reputacionais das violações de dados, pelo que o primeiro passo é descobrir o que precisa de proteger.

Estes podem ser dados de clientes, dados dos colaboradores, dados financeiros, propriedade intelectual, dados do processo de negócios, dados gerados por dispositivos IoT, dados de aplicações ou um serviço como DNS ou Ative Directory. “Concentre-se nos resultados do negócio”, diz Kindervag. “Se não conhece as necessidades do seu negócio, falhará.”

Uma vez que sabe que dados precisam de ser protegidos e identificar onde estão localizados, zero princípios de confiança assumem o controlo. Isto significa estabelecer políticas que permitam o acesso apenas quando necessário e inspecionar todo o tráfego de e para dados protegidos.

Ter políticas de segurança que protejam contra a exfiltração de dados sensíveis é extremamente importante porque impede os hackers de configurar o comando e o controlo, o que efetivamente bloqueia muitos tipos de ataques, incluindo explorações de ransomware.

Kris Burkhardt, CISO da Accenture, diz que a sua empresa está numa viagem de confiança zero há 20 anos, desde a decisão da empresa de colocar muitas das suas aplicações na nuvem para que pudessem ser acedidas mais facilmente pela sua força de trabalho altamente móvel. Em vez de implementar VPNs, que eram caros na época, a Accenture permitiu que os colaboradores se ligassem à Internet pública através de um simples navegador, mas implementava proteção de ponto final, autenticação de vários fatores, controlos de identidade e acesso, bem como microsegmentação.

A empresa trata os sistemas de informação crítica com cuidados especiais, incluindo monitorização extra, gestão privilegiada de acessos e até mesmo exigindo que duas pessoas tomem certas ações, diz Burkhardt.

Passo 3: Desenhar a rede de dentro para fora

O modelo de segurança do perímetro baseia-se na ideia de que existe um interior (sede corporativa) onde todos são confiáveis, e um externo não confiável, que está protegido por firewalls e outras ferramentas de segurança. O modelo Zero Trust elimina a distinção entre interno e externo e substitui-o por segmentos de rede criados para fins específicos. Por exemplo, Kindervag sugere que as empresas podem querer começar com um único fluxo de dados, como dados de cartão de crédito.

Burkhardt diz que a microsegmentação é uma área onde “pode meter-se em sarilhos se ficar demasiado complicado”, mas salienta que “a ferramenta está a evoluir rapidamente de uma forma boa para facilitar as coisas”. O importante é ter uma estratégia clara de microsegmentação e executá-la corretamente, tanto no local como na nuvem.

Ele diz que algumas das abordagens clássicas de segmentação seriam criar um microsegmento para a recuperação de desastres, separando o centro de dados das aplicações de escritório, e criando um segmento para dMZ onde as ligações à Internet são geridas.

Passo 4: Registar todo o tráfego

Kindervag diz que inspecionar e gravar todo o tráfego é um elemento importante numa arquitetura Zero Trust. A análise em tempo real dos registos de tráfego pode ajudar a identificar ciberataques. Kindervag acrescenta que a telemetria rica recolhida pode ajudar a criar um ciclo de feedback que torna a rede mais forte com o tempo.

Burkhardt diz que a Accenture envia os seus registos de tráfego para Splunk para uma variedade de análises, incluindo consultas de caça a ameaças, identificando se condições predefinidas indicam um ataque ou alguém que toma uma ação incorreta erroneamente ocorreu e detetando quando um intruso está presente no ambiente. Analisar os registos finais pode rastrear quaisquer ações que o agressor possa ter tomado e “ajudá-lo a entender o que aconteceu”.

Passo 5: Comprometa-se a longo prazo, mas dê os primeiros passos

Na Accenture, embora a empresa esteja a operar com zero princípios de confiança mesmo antes do termo ser inventado, há sempre mais trabalho a ser feito. Burkhardt diz que o foco de hoje é a nuvem. Com o desenvolvimento de aplicações a decorrer na nuvem, aplicações a migrar para a nuvem, e mais dados do que nunca armazenados na nuvem, Burkhardt está “a chegar ao topo das novas ofertas de fornecedores de nuvem” com o objetivo de aplicar princípios Zero Trust.

A sua recomendação a outros CISO é compreender que o panorama da segurança mudou nos últimos anos. Pense em ataques do Estado-nação, SolarWinds, ransomware. O status quo já não o corta.

“As equipas sabem que o mundo está a mudar e precisam de mudar com isso. Pode ser assustador, mas a melhor coisa a fazer é abraçar a mudança, entender que o modelo do perímetro tem o seu valor há muitos anos, mas a confiança zero é muito mais flexível e é a única maneira de ter sucesso na nuvem pública. “

Autores
Tags
O seu comentário...

*

Top