Conheça o Zero Trust: um conceito de segurança com base em recursos e não na localização física

Foto do autor

Os ataques cibernéticos estão cada vez mais comuns com o avanço da digitalização dos negócios no Brasil e no mundo. Sendo assim, é também um desafio constante manter os dados protegidos. Atualmente, um conceito se destaca como solução: o Zero Trust.

Como o próprio nome diz, o melhor caminho para um sistema seguro é não confiar em nenhum dispositivo ou usuário dentro ou fora da rede. Facilidades de acesso, como usar apenas nome e usuário, ou ainda lembrar o login já são práticas não recomendadas há muito tempo.

No entanto, há um paradigma quando se pensa nos protocolos de segurança. Visto que, de modo geral, para conseguir um nível maior de defesa é preciso diminuir a usabilidade. E isso, por sua vez, faz com que muitas pessoas desistam de implementar políticas mais rígidas.

O grande desafio atual para a área de tecnologia e segurança é justamente encontrar o equilíbrio entre proteção e complexidade de rede. Nesse sentido, o Zero Trust é um conceito que pode ajudar e cuja implementação depende do uso de ferramentas e soluções tecnológicas ideais ao negócio. 

Neste artigo, você verá:

  • Cenário atual de ameaças cibernéticas
  • Novos desafios: home office e mudança de perímetro de segurança
  • Tecnologias inovadoras como Internet das Coisas também impactam
  • O que é a Zero Trust Architecture?
  • Como implementar o conceito de Zero Trust

Cenário atual de ameaças cibernéticas

zero trust security
O Zero Trust é um conceito de segurança que não se baseia na localização física e, por isso, garante a proteção ideal para os negócios remotos

A segurança no ambiente digital sempre foi uma questão sensível, mas ganhou muito mais destaque com a grande migração digital das companhias. Isso porque, com a maior exposição de empresas de todos os portes, houve um aumento relevante no volume de golpes aplicados. 

Dessa forma, a adoção de uma postura Zero Trust também se tornou ainda mais importante.

Para ilustrar, no primeiro semestre de 2020, ocorreram cerca de 2,6 bilhões de tentativas de ataques virtuais no Brasil, segundo a Fortinet. Isso representa 17% do total de 15 bilhões de golpes na região que compreende a América Latina e o Caribe.

Além disso, as ameaças cibernéticas avançam diariamente em intensidade, complexidade e criatividade. Hoje, é muito mais difícil para um usuário reconhecer um e-mail de phishing, pois a comunicação utilizada é muito próxima da real. 

Inclusive, de acordo com um levantamento da Kaspersky, 20% dos brasileiros já sofreram com ao menos uma tentativa desse golpe no ano passado. A pesquisa ainda indicou que a média mundial de alvo de phishing é 13%, ou seja, o Brasil está bem acima do esperado.

Sobretudo, o ransomware também fez muitas vítimas nos últimos tempos. O Relatório de Ameaças Cibernéticas da SonicWall 2021 traz o país em 9º lugar do ranking de nações que mais sofreram com sequestro de dados. No total, foram quase 4 bilhões de tentativas de ransomware em território nacional.

Por fim, há ainda táticas mais complexas, como o DDoS ou distributed-denial-of-service. Conhecido como ataque de negação de serviço, ele é uma tentativa de sobrecarregar sistemas, como servidores web, e deixá-los indisponíveis.

É comum utilizarem bots para executar essa ameaça e roubar dados ou invadir a rede. Nesse sentido, a Cisco prevê que o número desses ataques duplique até 2023, chegando a 15,4 milhões.

Novos desafios: home office e mudança de perímetro de segurança

A pandemia de Covid-19 afetou muitos setores e até mesmo atividades do dia a dia, mudando a forma de fazer compras, estudar e trabalhar. 

Essas transformações mudaram as necessidades das empresas e geraram uma grande demanda para equipes de tecnologia, cujo principal desafio foi permitir a continuidade dos negócios.

Assim, alguns elementos desse novo cenário afetaram bastante a cibersegurança e devem ser considerados no planejamento de um ecossistema Zero Trust.

Home office

Apesar de ser comum em alguns mercados, o trabalho remoto ainda não era uma cultura disseminada no Brasil. Com a chegada da COVID-19, por sua vez, as empresas viram a necessidade de se adaptar rapidamente para que seus colaboradores continuassem trabalhando – e fizeram isso com os recursos que possuíam. 

Dessa forma, o home office começou para muitos com o apoio de uma infraestrutura de VPN ou ainda via remote desktops.

Contudo, a rapidez da implementação desses serviços acarretou em soluções sem a capacidade de processamento necessária e até mesmo em vulnerabilidades. 

Como exemplo, a Kaspersky fez um levantamento que mostra um aumento de 333% nos golpes focados em ferramentas de acesso remoto. E isso apenas entre fevereiro e abril de 2020.

Perímetro

Com funcionários trabalhando de qualquer lugar, o perímetro de segurança deixa de ser bem definido, como era no escritório. Desse modo, os administradores perdem o controle de uma importante parte: a borda da rede. 

Essa agora fica na casa dos usuários e está sujeita a qualquer tipo de tráfego daquele ambiente.

Aliás, esse formato de trabalhar fora do escritório é uma das tendências tecnológicas e estratégicas para 2021 apontada pelo Gartner Inc. O modelo foi chamado de Anywhere Operations (ou, “operações de qualquer lugar”, em português) e se baseia em:

Permitir que o negócio seja acessado, entregue e habilitado em qualquer lugar – onde clientes, empregadores e parceiros de negócios operam em ambientes fisicamente remotos.

Gartner Inc.

Tecnologias inovadoras como Internet das Coisas também impactam

Novas tecnologias também geram desafios de segurança. Um bom exemplo são os equipamentos de IoT, ou Internet das Coisas. Com a cultura data-driven se tornando cada vez mais relevante, a captação e o uso de dados de forma analítica cresce exponencialmente.

Nesse sentido, quase todas as companhias dispõem de dispositivos conectados dentro da rede, desde câmeras de segurança e pontos eletrônicos até uma simples smart TV. 

Inegavelmente, para algumas áreas, como a de saúde e de manufatura, essa tecnologia tem um uso mais intenso. Em um leito de UTI, por exemplo, existem dezenas de gadgets de IoT interligados para um monitoramento mais próximo do paciente.

Inclusive, até 2027 serão cerca de 40 bilhões de pontos conectados globalmente, segundo pesquisa do Business Insider. Por sua vez, isso deve gerar um crescimento médio de US$ 2,4 trilhões por ano para esse mercado. 

Contudo, o problema é que em alguns casos os administradores de rede desconhecem esses dispositivos conectados e/ou não têm políticas de proteção para eles. Dessa maneira, esses equipamentos, tão necessários no momento atual, passam a ser utilizados como vetores de ataque.

Por isso, é essencial estruturar a proteção Zero Trust, de forma que o sistema consiga criar protocolos específicos de nível de acesso. 


LEIA MAIS: Monitoramento inteligente: como a IoT pode garantir a eficiência das empresas


O que é a Zero Trust Architecture?

O conceito de Zero Trust tem como base ajudar organizações a melhorarem sua postura de segurança. Segundo o National Institute of Standards and Technology

Uma arquitetura de confiança zero (ZTA) usa princípios de confiança zero para planejar a infraestrutura industrial e empresarial e os fluxos de trabalho.

National Institute of Standards and Technology – NIST

Em outras palavras, é preciso abandonar a mentalidade de que os problemas de segurança estão apenas do lado de fora da rede. Essa arquitetura é criada de forma a analisar tudo o que se conecta aos sistemas. Afinal, as ameaças cibernéticas são silenciosas e, uma vez infiltradas, espalham-se rapidamente. 

Um dos grandes diferenciais é que o Zero Trust foca em proteger recursos, sem considerar a localização da rede como o principal componente da postura de segurança. Ou seja, a permissão de acesso para um dispositivo não está atrelada ao local físico do dispositivo.

Sobretudo o conceito ainda tem alguns guias como:

  • Todo o tráfego de rede deve ser autenticado antes de ser processado;
  • Todo o tráfego de rede deve ser criptografado antes de ser transmitido;
  • A autenticação e a criptografia devem ser realizadas pelos endpoints da camada de aplicação.

Entretanto, dentro de uma companhia há diversos dispositivos e nem todos são gerenciados diretamente pela equipe de TI da empresa. Há, por exemplo, equipamentos com protocolos legados que não suportam criptografia e autenticação, mas há formas de contornar essas questões.

Como implementar o conceito de Zero Trust

zero trust
Conceito zero trust reforça a necessidade de verificar acessos, revisar protocolos de segurança e atualizar infraestruturas

É claro que a implementação de qualquer processo ou conceito deve ser feita alinhada às necessidades do negócio em questão. Porém, de forma geral, para construir uma rede Zero Trust é fundamental: 

  • Ter visibilidade quanto ao que está conectado à rede;
  • Autenticar todos os usuários e equipamentos, mantendo privilégio mínimo para dispositivos não confiáveis, como os de IoT, a fim de diminuir o prejuízo, caso estes sejam contaminados;
  • Usar segmentação de acesso além da identificação, como a partir de contexto de localização, horário e tipo de dispositivo utilizado.

Além disso, um ponto muito importante é que a checagem de segurança não seja realizada apenas uma vez. Esse monitoramento deve ser contínuo e constante, podendo até resultar em uma mudança de status de autorização de acesso para algo mais limitado ou negado.

Como mencionado anteriormente, existem dispositivos que dificultam a adoção de novas etapas de segurança, como é o caso dos conectados via IoT. Contudo, hoje já é possível utilizar artifícios, como a Inteligência Artificial, para verificar parâmetros do equipamento, bem como os padrões de tráfego a partir dele. 

A partir daí, os gestores de rede conseguem fazer uma segmentação, limitando o tráfego de dispositivos menos confiáveis e estabelecendo políticas de acesso. Por exemplo, uma câmera de segurança não precisa estar autorizada a acessar o banco de dados do negócio, mas precisa ter conexão à internet liberada.

Contudo, para adotar essa cultura Zero Trust, o ideal é contar com soluções tecnológicas dentro da estrutura de TI que facilitem a visibilidade dos ativos. Afinal, a variedade de perfis, gadgets conectados e usuários é muito grande e torna uma gestão inteiramente manual complexa e inviável. 

Conclusão

Em resumo, a segurança cibernética é uma prioridade para os negócios digitalizados e os protocolos de defesa utilizados anteriormente não suportam mais a demanda atual. De tal forma que trazer o conceito Zero Trust para a estrutura de TI do negócio se torna essencial para um crescimento saudável da marca. 

Nesse sentido, empresas que já começam no modelo de cloud têm mais facilidade de se posicionarem, uma vez que trabalham de forma distribuída e estão mais preparadas para a tendência de anywhere operations.

Já para as operações com muitos sistemas legados, é necessário levar em consideração todos os riscos presentes. Diferentemente das companhias nativas à nuvem, as organizações que lidavam estritamente com Data Center ainda precisam passar pela etapa de dividir as cargas de trabalho.

É inegável que essa é uma transição mais complicada, porém ainda assim é possível e recomendável adotar o Zero Trust.

Por fim, fica evidente que mesmo que a estrutura já existente seja utilizada, o suporte de uma equipe especializada é insubstituível nesse momento. Principalmente porque não basta atualizar o sistema em si, mas é também imprescindível ter uma mentalidade de Zero Trust. 

Nesse cenário, a Vivo Empresas está pronta para amparar essa transição ao modelo de segurança do futuro. Com um time de especialistas dedicados, criar um sistema capaz de manter o equilíbrio entre segurança, usabilidade e complexidade é uma realidade. 

Aproveite também para conhecer outras soluções de cibersegurança para o seu negócio:

Até a próxima!

Foto do autor
Solicite um contato