Introdução

O cenário de segurança cibernética mundial passou por um 2020 turbulento. Não bastasse o desafio local de adequação com a Lei Geral de Proteção de Dados, também emergiu a necessidade de acelerar a jornada para a transformação digital, estando mais conectados com clientes, parceiros e principalmente, nossos usuários finais. De certa forma, camadas de segurança planejadas, implementadas e sustentadas por anos para proteger o nosso perímetro já se tornam menos efetivas, o acesso às informações e seu armazenamento já não ocorrem nesse perímetro. E quando precisamos permitir acesso a esse perímetro ainda com dúvidas se os principais controles de segurança, ou mesmo monitoramento estão desempenhando seus papéis de forma confiável?

Talvez a pergunta principal seja: se até pouco tempo diversas tecnologias que estavam ainda sendo planejadas tiveram a sua homologação acelerada, será que houve a devida preocupação com segurança da informação?

As respostas são sempre complicadas porque sabemos que não há ambiente 100% seguro, principalmente este sendo exposto para internet, que é um requisito para diversas atividades atuais.

O desafio de segurança pode ser excesso de confiança!

Durante muito tempo seguimos processos de avaliar perfis de novos profissionais em nossa organização para entender que tipo de acesso deveria ser concedido previamente, quais aplicações serão necessárias usar, de onde será conectado; acreditando que o uso desses aplicativos é o suficiente para basear sua confiança. Devido ao crescente número de vulnerabilidades em diversas tecnologias ou mesmo processos em nosso ambiente, já não podemos pensar desta forma, pois muitas vezes o risco é interno.

Seguir velhos processos pode passar a sensação de segurança, mas o que pode parecer simples e prático, também é impreciso e pode ser arriscado!

Obviamente, em pouco tempo percebemos a dificuldade para a gestão do cenário anterior, principalmente por ser difícil identificar qual atividade necessita de determinado acesso e quem o solicitou – caso seja feita.

Às vezes, por confiar em um “processo”, acabamos liberando permissões antes mesmo que sejam solicitadas. Porém, em segurança, nem sempre podemos partir de suposições que tornam a rotina mais cômoda. Na realidade, a maior parte das atividades cotidianas não exigem acesso privilegiado ou mesmo dezenas de serviços e portais nem mesmo para profissionais de TI. É comum conversarmos com o usuário e ele dizer que além de aplicações de escritório, possui poucos acessos a alguns repositórios e sistemas. Demais acessos são excepcionais.

Desta forma, assumimos a estratégia Zero Trust, na qual nenhum usuário receberá, permanentemente, acesso total ao ambiente, e viabilizamos o cenário em que necessita desempenhar esse papel.

Como funciona o Zero Trust?

Desenvolvido em 2010 pela empresa americana de pesquisa Forrester, vai em sentido contrário ao tradicional conceito de segurança de confiança no perímetro. Mostra que precisamos mudar a estratégia, partindo de um princípio de confiança e privilégios mínimos. Mesmo após a entrada de um usuário em nossa rede, precisamos manter o acesso continuamente verificado. Dados de usuário, dispositivos como seu status de ingresso em nosso ambiente, proteção de Endpoint e integridade do sistema precisam ser analisados da perspectiva de segurança com objetivo de identificar qualquer indício de exposição ou comprometimento do ambiente.

Alguns pontos são requisitos chave para adoção de uma estratégia de Zero Trust:

Prevenção antes de tudo!

Precisamos trabalhar ativamente na aplicação de controles, principalmente na garantia de uma identidade forte e segmentação de acesso. Hoje podemos aplicar diversas estratégias para permitir acesso apenas a conteúdo de menor sensibilidade, porém para acessar um sistema ou dado crítico, controles adicionais devem ser adicionados para verificação de identidade como fator de autenticação adicional (MFA).

É importante que nossos usuários sejam capazes de escalar seu acesso, porém eles passarão por verificações como: risco em sua conta, dispositivo, sessão, ou passando por fluxo de aprovação. Esse acesso também deve ter uma expiração, mantendo sempre esses papéis higienizados, sendo permanente apenas quando extremamente necessário.

O ideal é que seja possível seguir esse processo de forma simples e fluida para acelerar a adoção tecnológica, ao mesmo tempo que a revisão de acessos esteja facilmente disponível, inclusive para uma auditoria.

Analisar continuamente seus controles de acesso e riscos no ambiente!

Lembre-se de que não há acesso seguro antes de ser analisado!

Mesmo limitando os acessos, precisamos analisá-los continuamente: atividades que possam sinalizar exposição dentro da organização precisam ser rapidamente corrigidas, visando causar o mínimo impacto a ativos valiosos, físicos ou digitais.

Mesmo que a estratégia Zero Trust seja fortemente baseada em prevenção, após alguém receber determinado acesso, este deve poder ser verificado com a maior granularidade possível.

Conclusão

Quando focamos na prevenção, temos vantagem sobre possíveis ameaças. Devemos partir do princípio de que a ameaça está sempre presente e, portanto, calcular cada passo presumindo vulnerabilidades e exposições.

Zero Trust é importante, mas não representa o todo! Estratégias como Zero Trust visam nortear atuação de times de segurança pelo mundo todo e devem ser aplicadas sempre, porém precisam ser associadas a diversas outras boas práticas como: testes recorrentes dos controles de segurança, monitoramento e centralização de logs para possibilitar análise de forma rápida e transparente de possíveis ameaças, identificação de incidentes, entre outros.