Segurança e Gerenciamento de Riscos

O que é Zero Trust e como usar para impulsionar sua segurança cibernética?

O modelo de segurança Zero Trust é um conceito que veio à tona em meados de 2010 e traz a indicação de “nunca confiar, sempre verificar” quando o assunto é segurança digital. Para saber mais sobre o tema, leia nosso texto até o fim!

O conceito de segurança Zero Trust consiste em uma estratégia de proteção cibernética que parte do princípio de que nenhum usuário ou dispositivo, dentro ou fora do perímetro de uma organização, deve ser considerado confiável.

Diferente disso, todas as entidades internas e externas que requerem acesso para se conectar aos sistemas ou cargas de trabalho de TI, devem ser verificadas e autenticadas continuamente.

Essa diretriz traz consigo a convicção de “nunca confiar, sempre verificar”, excluindo a mentalidade que acreditava em “confiar, mas verificar”. Mas afinal, como usar os modelos     baseados em Zero Trust para impulsionar a segurança cibernética da sua empresa? 

Para responder a essa e outras perguntas, desenvolvemos este texto. Boa leitura!

Zero Trust: o que é?

O modelo de segurança Zero Trust é um termo cunhado pelo analista da Forrester Research, John Kindervag, em 2010. Naquele momento, foi proposta uma mudança de estratégia quando se trata de segurança cibernética: em vez de “confiar, mas verificar”, o foco se tornou “nunca confiar, sempre verificar”.

Na prática, isso quer dizer que ao dar acesso a um recurso para um usuário ou dispositivo previamente, sua identidade deve ser verificada antes do acesso ser autorizado.

Isso se aplica a qualquer pessoa que possa usar uma rede, seja ela um funcionário utilizando o computador da empresa em sua casa, ou até mesmo utilizando seu próprio dispositivo móvel para acessar recursos da organização.

Além disso, a identidade é verificada todas as vezes que for utilizar um recurso na infraestrutura, independente de quantas vezes essa entidade a utilizou antes.

Antigamente, quando pensávamos em cibersegurança, era comum acreditar que o que havia dentro da rede era apenas o que precisava ser protegido. Porém, em tempos de trabalho remoto isso mostrou não ser a melhor abordagem. 

Usuários e agentes maliciosos podem estar dentro ou fora das dependências da empresa, por isso é importante monitorar tudo o que estiver suscetível a um ciberataque, inclusive por meio das soluções Zero Trust.

O Head de Produtos, Ademir Diniz, explica sobre Zero Trust e porque esse conceito é muito importante para garantir a segurança dos dados de sua empresa:

7 Princípios do modelo de segurança Zero Trust

O modelo de segurança Zero Trust apresenta determinados princípios básicos que proporcionam segurança às empresas. São eles:

#1. Cargas de trabalho Zero Trust

Cargas de trabalho armazenadas em nuvens, inclusive aquelas baseadas em ativos como contêineres, funções e VMs, são atrativas para atacantes maliciosos, por isso, devem receber uma proteção extra.

Para assegurar esses ativos, especialmente em ambientes de cloud pública, são fundamentais o monitoramento de segurança de confiança zero granular e personalizado, e o gerenciamento de acesso. 

#2. Redes de confiança Zero Trust

Para garantir uma política de segurança de confiança zero, defender o perímetro de dependência tradicional é insuficiente. O ideal é utilizar uma rede baseada em Zero Trust, pois é microssegmentada. Nela, os perímetros são estabelecidos conforme cada ativo crítico da empresa.

Dessa forma, é possível efetuar inspeções de segurança e utilizar controles de acesso, facilitando o bloqueio de movimentos laterais de ameaças e contendo eventuais violações.

#3. Pessoas de confiança zero (Zero Trust People)

Os usuários humanos são a maior causa de violações de dados. Sendo assim, a autenticação baseada em nomes de usuários e senhas são insuficientes para proporcionar segurança a um sistema de TI. Em vez disso, torna-se aconselhável adotar mecanismos como Múltiplo Fator de Autenticação (MFA) e Zero Trust Network Access (ZTNA).

#4. Dados de confiança zero (Zero Trust Data)

Uma das principais finalidades de uma política de segurança de confiança zero é aprimorar a segurança dos dados. 

Nesse sentido, a implementação do modelo de segurança Zero Trust exige a detecção de silos      de dados confidenciais ou críticos, o mapeamento de fluxo de dados comuns, e definição de requisitos de acessos baseada nas demandas do negócio.

É essencial ainda que esses critérios sejam estabelecidos e aplicados de forma consistente em todo o sistema de TI de uma empresa, o que inclui dispositivos móveis, estações de trabalho, servidores de aplicativos, bancos de dados e implantações em nuvem.

#5. Dispositivo Zero Trust

Em um modelo de segurança Zero Trust, os dispositivos devem ser considerados como não confiáveis, ou seja, uma ameaça em potencial. E, sendo considerados como ameaças, devem ser isolados de todos os outros que possam comprometê-los.

#6. Visibilidade e análise

Um modelo de segurança baseado em Zero Trust deve proporcionar a possibilidade de decisões de acesso informadas, a partir da ampla visibilidade dos dispositivos utilizados na rede corporativa. 

Afinal, o esperado é que a segurança Zero Trust seja capaz de monitorar, registrar, correlacionar e analisar todos os dados coletados da rede. 

#7. Automação e orquestração

Uma estratégia de confiança zero proporciona a capacidade de identificar ações não autorizadas e eventualmente maliciosas no meio corporativo. A arquitetura de confiança zero, a infraestrutura de segurança corporativa e a arquitetura de TI devem ser integradas para oferecer uma resposta rápida, automatizada e escalável a incidentes.

Quais são os desafios para a implementação do Zero Trust?

Apesar de seus inúmeros benefícios, que mencionaremos a seguir, a implementação das soluções Zero Trust esbarra em desafios e podem encontrar resistência dentro das empresas. A seguir, falamos um pouco sobre esses obstáculos:

Infraestruturas complexas

Determinadas empresas têm suas infraestruturas compostas por muitos servidores, bancos de dados, proxies, aplicativos internos e soluções no modelo de Software como Serviço (SaaS), sendo alguns executados na nuvem, e outras de maneira local.

Nesse sentido, proteger todos esses segmentos ou escolher um ambiente local ou de nuvem para ser protegido, pode gerar uma série de empecilhos, especialmente quando se tenta proteger uma mistura de softwares e hardwares legado e novos.

Esforço e custo

Para implementar um modelo de segurança baseado em Zero Trust, é necessário investir tempo, esforço e recurso financeiro. 

Afinal, descobrir como segmentar determinada rede, a quem conceder acesso e a quais áreas, exige uma avaliação atenciosa. Depois disso, será necessário averiguar as melhores maneiras de verificar a legitimidade de cada entidade antes de lhe conceder o acesso.

Por fim, contratar profissionais para fazerem isso de modo eficiente, em geral, exige um investimento financeiro significativo.

Software flexível

A flexibilidade do software para executar o sistema é outra questão-chave a ser considerada. Pode ser necessário incorporar vários recursos de microssegmentação, ferramentas de perímetro definido por software (SDP) e proxies com reconhecimento de identidade.

Sem um software flexível, pode ser imperativo adquirir sistemas redundantes para preservar todos os elementos do ambiente. 

Zero Trust: Quais são os benefícios?

Aderir ao modelo de segurança Zero Trust é fundamental para as empresas da atualidade que buscam atuar com segurança digital. Suas vantagens incluem:

  • Forte prevenção contra Ameaças Persistentes Avançadas.
  • Controle do movimento lateral na rede e a redução da superfície de ataque que tem como consequência a diminuição de risco de ciberataques;
  • Cibersegurança e suporte aperfeiçoado para empregados móveis e remotos;
  • Defesa de aplicativos e dados, independente de estarem on premises ou na nuvem.

Como implementar o Zero Trust em uma organização?

Existem cinco etapas essenciais para implementar Zero Trust em uma organização, estabelecendo um nível confiável contra perda de dados e prevenção de violações. Confira:

Etapa 1: definir áreas a serem protegidas

O primeiro passo a ser dado é definir a superfície de ataque a fim de priorizar as áreas que devem ser protegidas. Desse modo, é possível evitar ficar sobrecarregado com a implantação de ferramentas em toda a rede. Defina seus ativos mais críticos e aprimore as áreas que precisa proteger.

Etapa 2: implementar controles no tráfego de rede

A próxima etapa é implementar controles em torno do tráfego de rede. Lembre-se que o modo como o tráfego flui pela sua rede está relacionado às dependências que cada sistema usa.

Por exemplo, muitos sistemas precisam acessar um banco de dados contendo informações de clientes, produtos ou serviços.

Sendo assim, as solicitações não são tratadas nos sistemas, mas estes são roteados por meio de um banco de dados contendo informações e arquiteturas complexas. 

Entender detalhes desse tipo pode ajudá-lo a escolher quais controles de rede implementar e onde posicioná-los.

Etapa 3: desenhar uma rede de confiança zero

Agora é a hora de arquitetar uma rede de confiança zero. E é importante que você saiba que nunca existe uma única solução de confiança zero para todas as superfícies em torno das quais elas são projetadas.

Desse modo, sua arquitetura pode começar com um firewall de próxima geração (NGFW), que pode ser usado para segmentar uma área de sua rede. Sua empresa pode ainda implementar Múltiplo Fator de Autenticação para que os usuários sejam avaliados antes de receberem o acesso.

Etapa 4: desenvolver as políticas de confiança zero

Após arquitetar a rede, é o momento de projetar suas políticas de confiança zero, o que pode ser feito de modo mais eficaz usando o que é conhecido como Método Kipling. Na prática, isso significa perguntar quem, o quê, quando, onde, por que e como para cada usuário, dispositivo e rede que deseja obter acesso.

Etapa 5: monitorar a rede

Finalmente, é hora de monitorar sua rede, mantendo-se alerta sobre eventuais falhas e tendo acesso a informações críticas, que protegem sua segurança.

Zero Trust e o PAM (Gestão de Acessos Privilegiados): como se relacionam?

Integrado ao modelo de segurança Zero Trust, o Privileged Access Management (PAM), ou Gestão de Acessos Privilegiados, oferece segurança cibernética às organizações que contratam o senhasegura.

Seu objetivo é possibilitar o gerenciamento de acesso centralizado mediante controle, armazenamento, segregação e rastreamento das credenciais aos sistemas de TI.

Assim, possibilita averiguar se o acesso está sendo realmente efetuado por um usuário, e se ele tem permissão para acessar aquele ambiente.

Os principais recursos do PAM que possibilitam às organizações aplicarem práticas de Zero Trust são:

  • Gerenciamento de credenciais: permite definir administradores e grupos de usuários, estipulando seus acessos e permissões e gerenciando o ciclo completo de suas credenciais;
  • Segregação de acesso: possibilita isolar ambientes críticos e detectar atividades suspeitas, evitando problemas decorrentes do acesso não autorizado;
  • Workflows de aprovação: as solicitações de acesso do PAM são facilmente configuráveis e permitem cumprir fluxos de aprovação multinível e validar justificativas concedidas pelos solicitantes;
  • Monitoramento das ações dos usuários: permite identificar e responder a mudanças nos seus padrões de comportamento e perfis de acesso;
  • Acesso não autorizado: possibilita negar acesso a usuários que estejam fora das políticas da empresa;
  • Análise das ações: analisa atividades efetuadas por usuários e gera alertas que permitem detectar ações inadequadas ou fraudes;
  • Bloqueio de sessão: sempre que houver uma atividade suspeita, o administrador pode bloquear a sessão de usuário em ambientes de TI ou sistemas operacionais. 

Sobre o PAM senhasegura

O PAM senhasegura permite administrar de modo seguro e simplificado credenciais genéricas e privilegiadas, garantindo o armazenamento protegido, segregação de acesso e rastreabilidade de uso.

Assim, a ferramenta possibilita às organizações adotarem o Zero Trust e a respeitarem os mais rigorosos controles de acesso a credenciais com privilégios, de maneira automatizada e centralizada, prevenindo ataques cibernéticos e vazamento de informações sigilosas.  

Confira alguns dos seus benefícios para sua empresa:

  • Controle do uso indevido de privilégios;
  • Gerenciamento de senhas codificadas com segurança;
  • Proteção contra ameaças internas e roubo de dados críticos;
  • Monitoramento e registro das atividades realizadas durante sessões privilegiadas;
  • Redefinição automática das senhas ou com base em uma programação estabelecida; e
  • Emissão de relatórios de auditoria de forma simplificada a partir de um repositório central de dados de auditoria.

Conclusão

Neste artigo, você viu que:

  • O conceito de segurança Zero Trust consiste em uma estratégia de proteção cibernética que parte do princípio de que nenhum usuário ou dispositivo, dentro ou fora do perímetro de uma organização, deve ser considerado confiável;
  • Essa diretriz traz consigo a convicção de “nunca confiar, sempre verificar”, excluindo a mentalidade que acreditava em “confiar, mas verificar”;
  • O modelo de segurança Zero Trust é um termo cunhado pelo analista da Forrester Research, John Kindervag, em 2010;
  • Antigamente, quando pensávamos em cibersegurança, era comum acreditar que o que havia dentro da rede era apenas o que precisava ser protegido. Porém, em tempos de trabalho remoto isso mostrou não ser a realidade;
  • O modelo de segurança zero trust apresenta cinco princípios básicos: cargas de trabalho Zero Trust; redes de confiança zero; pessoas de confiança zero e dados de confiança zero;
  • A implementação do modelo de segurança Zero Trust exige a detecção de silos de dados confidenciais ou críticos, o mapeamento de fluxo de dados comuns, e definição de requisitos de acessos baseada nas demandas do negócio;
  • Em um modelo de segurança Zero Trust, os dispositivos devem ser considerados como não confiáveis, ou seja, uma ameaça em potencial;
  • Um modelo de segurança Zero Trust deve proporcionar a possibilidade de decisões de acesso informadas, a partir da ampla visibilidade dos dispositivos utilizados na rede corporativa;
  • Uma estratégia de confiança zero proporciona a capacidade de identificar ações não autorizadas e eventualmente maliciosas no meio corporativo;
  • Apesar de seus inúmeros benefícios, a implementação das soluções Zero Trust esbarra em desafios e podem encontrar resistência dentro das empresas;
  • Entre esses desafios, destacam-se infraestruturas complexas, esforço e custo, e flexibilidade do software;
  • As vantagens do modelo de segurança Zero Trust incluem controle do movimento lateral na rede e a redução da superfície de ataque, que tem como consequência a diminuição de risco de ciberataques e forte prevenção contra Ataque Persistente Avançado;
  • O primeiro passo a ser dado para implementar o Zero Trust em uma organização é definir a superfície de ataque a fim de priorizar as áreas que devem ser protegidas;
  • A próxima etapa é implementar controles em torno do tráfego de rede. O modo como o tráfego flui pela sua rede está relacionado às dependências que cada sistema usa;
  • É importante saber que nunca existe uma única solução de confiança zero para todas as superfícies em torno das quais elas são projetadas;
  • Após arquitetar a rede, é o momento de projetar suas políticas de confiança zero, o que pode ser feito de modo mais eficaz usando o que é conhecido como Método Kipling;
  • Depois, é hora de monitorar a rede de sua empresa, mantendo-se alerta sobre eventuais falhas e tendo acesso a informações críticas que protegem sua segurança;
  • Integrado ao modelo de segurança Zero Trust, o PAM oferece segurança cibernética às organizações que contratam o senhasegura;
  • Seu objetivo é possibilitar o gerenciamento de acesso centralizado mediante controle, armazenamento, segregação e rastreamento das credenciais aos sistemas de TI;
  • Ele possibilita averiguar se o acesso está sendo realmente efetuado por um usuário e se ele tem permissão para acessar àquele ambiente;
  • O PAM senhasegura permite administrar de modo seguro e simplificado credenciais genéricas e privilegiadas, garantindo o armazenamento protegido, segregação de acesso e rastreabilidade de uso.
David Muniz
Especialista em cibersegurança na senhasegura

David é um especialista em segurança cibernética na senhasegura, com mais de 15 anos de experiência no Brasil e na Europa. Desde que se juntou à senhasegura em 2017, ele tem se envolvido na gestão de relações com analistas e auxiliado empresas de todos os tamanhos e setores a navegar nas complexidades da segurança cibernética, especialmente aquelas relacionadas ao Privileged Access Management (PAM).

Full Bio and articles

Solicite uma demonstração

Descubra o poder da Segurança de Identidade e veja como ela pode aprimorar a segurança e a resiliência cibernética da sua organização.

Agende uma demonstração ou uma reunião com nossos especialistas hoje mesmo.
Custo total de propriedade (TCO) 70% menor em comparação com os concorrentes.
Tempo de valorização (TTV) 90% maior com uma implantação rápida de 7 minutos.
A única solução PAM disponível no mercado que cobre todo o ciclo de vida do acesso privilegiado.