Zero Trust é crítica para Segurança da Informação

https://network-king.net/wp-content/uploads/2022/01/shutterstock_1958585461-769x414.jpg

Pesquisa com mais de 1 mil profissionais de segurança de TI revela que 75% das organizações caracterizam o Zero Trust como crítico ou muito importante para reforçar sua maturidade cibernética geral. Realizado pela One Identity, player de segurança com foco em identidade, pertencente à Quest Software, o estudo revela que a abordagem é a principal prioridade de segurança para a maioria das organizações, mas seu entendimento abrangente e adoção permanecem inconsistentes.

Apenas 14% dos profissionais pesquisados relataram ter implementado totalmente uma solução Zero Trust. Outros 39% começaram a atender a essa necessidade e 22% observaram que planejam implementar o Zero Trust ao longo deste ano. E apenas um em cada cinco interessados em segurança estão confiantes no entendimento de suas organizações sobre o Zero Trust.

“As organizações reconhecem que o perímetro tradicional não é mais suficiente e que serão mais bem atendidas priorizando a segurança da identidade e tomando medidas para garantir que os criminosos sejam limitados assim que obtenham acesso”, avalia Rogério Soares, diretor de Pré-Vendas e Serviços Profissionais LATAM da Quest Software/One Identity. “Zero Trust está se tornando rapidamente essencial porque elimina permissões vulneráveis e acesso excessivo ao fornecer uma série de direitos diferentes em toda a organização para limitar as superfícies de ataque caso sejam violadas”, completa.

Fonte: One Identity

Entre as principais barreiras para o sucesso do Zero Trust está a falta de clareza sobre como a adoção pode ser alcançada. Cerca de 61% dos profissionais de segurança estão concentrando sua implementação na reconfiguração de políticas de acesso, enquanto 54% acreditam que começa com a identificação de como os dados confidenciais se movem pela rede. Enquanto 51% estão implementando novas tecnologias para alcançar Zero Trust.

No total, 32% das equipes de segurança não têm um entendimento abrangente de como o Zero Trust deve ser implementado em suas organizações. Outras barreiras importantes para a adoção do Zero Trust incluem prioridades concorrentes (31% estão muito ocupados com outras prioridades diárias) e crenças de que o Zero Trust pode prejudicar a produtividade dos negócios (por exemplo, 31% acreditam erroneamente que os modelos de segurança Zero Trust afetam a produtividade dos funcionários).

Fonte: One Identity

Prioridade também para o governo americano

Nos Estados Unidos, nesse momento, a Agência de Segurança Cibernética e Infraestrutura do Departamento de Segurança Interna está dando os retoques finais em vários documentos de orientação para ajudar a facilitar a transição para um ambiente de segurança cibernética Zero Trust.

Todo o objetivo desse esforço é mover a segurança para longe da rede e para as camadas de dados e aplicativos.

John Simms, vice-chefe da divisão de garantia de segurança cibernética da CISA, disse que os documentos e outros esforços estão ajudando as agências a mudar seu pensamento cibernético para longe da rede e mais perto dos dados.

“Quando olhamos para a nuvem e vemos como vamos facilitar a confiança zero no futuro, temos que mudar fundamentalmente nosso pensamento para longe dessa base de segurança cibernética e visibilidade centrada na rede e ver como podemos oferecer suporte em uma abordagem baseada em risco”, disse Simms durante um painel patrocinado pela ATARC em novembro. “Nós realmente precisamos focar a confiança zero e onde ela realmente vai nos ajudar a mudar a cibersegurança dinâmica e federal.”

Nos últimos três meses, a CISA, juntamente com o Escritório de Administração e Orçamento, lançou o projeto de estratégia Zero Trust , o projeto de arquitetura de referência técnica de segurança na nuvem e o projeto de modelo de maturidade Zero Trust.

Como implementar?

Antes de tudo, vale lembrar que Zero Trust é uma forma de pensar, não uma tecnologia ou arquitetura específica.

Portanto, uma postura Zero Trust completa pode nunca ser totalmente alcançada, dizNeil MacDonald, vice-presidente de Análise do Gartner. Mas iniciativas específicas podem ser realizadas o mais rápido possível.

O Gartner recomenda que as organizações que desejam implementar Zero Trust comecem com dois projetos de segurança relacionados à rede. Por que? Bom, a conectividade de rede TCP/IP foi criada em uma época em que a confiança podia ser assumida. Foi construída para conectar pessoas e organizações, não para autenticar. Os endereços de rede são, no máximo, identificadores fracos. As iniciativas de rede de Zero Trust usam a identidade como base para novos perímetros.

No passado, quando os usuários saíam da rede corporativa “confiável”, as VPNs eram usadas para estender a rede corporativa a eles. Se os invasores pudessem roubar as credenciais de um usuário, eles poderiam facilmente obter acesso à rede corporativa.

O acesso à rede de confiança zero abstrai e centraliza os mecanismos de acesso para que os engenheiros de segurança e a equipe possam ser responsáveis ​​por eles. Ele concede acesso apropriado com base na identidade dos humanos e seus dispositivos, além de outros contextos, como hora e data, geolocalização, padrões históricos de uso e postura do dispositivo. O resultado é um ambiente mais seguro e resiliente, com maior flexibilidade e melhor monitoramento.

A mudança para uma força de trabalho amplamente remota durante a pandemia do Covid-19 criou um interesse intenso na ZTNA, com manchetes da mídia proclamando ‘A VPN está morta’.

Embora a substituição de VPN seja um fator comum para sua adoção, a ZTNA normalmente aumenta, em vez de substituir, uma VPN. Ao permitir que os usuários acessem o que eles precisam e mudando para ofertas ZTNA baseadas em nuvem, você pode evitar sobrecarregar sua infraestrutura de VPN.

A longo prazo, essa postura Zero Trust para segurança de acesso à rede pode continuar a ser usada quando as pessoas retornarem ao escritório.

Já a segmentação baseada em identidade, também conhecida como segmentação micro ou zero trust, é uma maneira eficaz de limitar a capacidade dos invasores de se moverem lateralmente em uma rede depois de entrarem.

A segmentação baseada em identidade reduz a confiança implícita excessiva, permitindo que as organizações mudem cargas de trabalho individuais para um modelo de “negação padrão” em vez de um modelo de “permissão implícita”. Ele usa regras dinâmicas que avaliam a carga de trabalho e a identidade do aplicativo como parte da determinação de permitir comunicações de rede.

Ao iniciar uma estratégia de segmentação baseada em identidade, comece com uma pequena coleção de aplicativos e servidores mais críticos para implementações iniciais e expanda a partir daí.

Depois de implementar o ZTNA e a segmentação baseada em identidade, passe para outras iniciativas para estender uma abordagem de confiança zero em toda a sua infraestrutura de tecnologia.

“Por exemplo, remova os direitos de administrador remoto dos sistemas do usuário final, teste uma solução de isolamento de navegador remoto, criptografe todos os dados em repouso na nuvem pública e comece a verificar os contêineres que seus desenvolvedores estão criando para novos aplicativos”, aconselha o Gartner.

FacebookTwitterLinkedIn