O que é zero trust?

Zero trust é um framework de segurança baseado no princípio de que usuários e dispositivos nunca devem ser automaticamente ou implicitamente confiáveis, seja dentro ou fora do perímetro da rede de uma organização. Por padrão, ele pressupõe que toda solicitação de acesso, independentemente de sua origem ou localização, deve ser rigorosa e continuamente verificada e autenticada antes de conceder ou manter o acesso aos recursos.

Com as ameaças cibernéticas se tornando cada vez mais sofisticadas, os modelos tradicionais de segurança de rede não são mais adequados para proteger dados sensíveis e sistemas. E como o custo médio de uma violação de dados para as empresas dos EUA passa de US$ 10 milhões¹, o preço a se pagar ao seguir desatualizados modelos de segurança do tipo “confiar, mas verificar” só se tornará mais alto.

Zero trust é uma abordagem de segurança do tipo “nunca confiar, sempre verificar” que é comprovadamente mais eficaz do que a segmentação de rede tradicional e as defesas baseadas em perímetro. É uma solução em evolução e voltada para o futuro que aborda os desafios enfrentados pela maioria das empresas modernas, fornecendo proteção para ambientes complexos de nuvem híbrida, redes locais, trabalhadores remotos e os dispositivos, apps, dados e infraestrutura que eles precisam usar, onde quer que estejam.

Zero Trust Network Access (ZTNA) é o componente fundamental por trás do modelo zero trust. Ele fornece acesso seguro a recursos com base na identidade do usuário e na postura do dispositivo, em vez de depender do local da rede. O ZTNA permite que as organizações implementem controles de acesso definidos e granulares, fornecendo aos usuários o menor privilégio necessário para eles realizarem suas tarefas. Ao limitar o acesso apenas às aplicações e serviços que os usuários têm permissão para ver, a abordagem minimiza a superfície de ataque em potencial e reduz o risco de movimentação lateral não autorizada — uma vulnerabilidade comum explorada por criminosos cibernéticos.

Ao negar o acesso por padrão e configurar conexões criptografadas um-para-um entre os dispositivos e os recursos que eles utilizam, o ZTNA fornece acesso remoto seguro a aplicações e serviços específicos, ocultando a maior parte da infraestrutura e dos serviços. Isso também possibilita a implementação de políticas de controle de acesso específicas para determinados locais e dispositivos, impedindo que dispositivos comprometidos se conectem aos serviços.

O zero trust requer verificação e monitoramento contínuos. Ele se baseia em tecnologias e técnicas como autenticação multifator (MFA), controle de acesso baseado em identidade, microssegmentação, segurança robusta de endpoint e monitoramento contínuo do comportamento do usuário e da integridade do dispositivo.

Ao combinar esses elementos, o zero trust garante que o acesso seja concedido apenas com base na avaliação de confiança em tempo real, em vez da confiança presumida de credenciais estáticas ou do local de rede. O modelo zero trust opera com base na premissa de que uma violação já ocorreu ou ocorrerá e, portanto, nenhum usuário deve ter acesso a informações sensíveis com base em uma única verificação no perímetro da empresa.

O zero trust exige que cada usuário, dispositivo e aplicação sejam continuamente verificados. Uma estratégia de segurança zero trust autentica e autoriza cada conexão e fluxo de rede, contando com uma ampla variedade de dados para manter completa visibilidade.

A grande maioria dos ataques tradicionalmente envolve o uso ou uso indevido de credenciais legítimas comprometidas dentro de uma rede. Uma vez dentro do perímetro de uma rede, os agentes mal-intencionados podem causar estragos nos sistemas. Com o crescimento explosivo da migração para a nuvem e de ambientes de trabalho remoto, o zero trust representa a evolução de um modelo de segurança obsoleto.

No momento, os pilares centrais do modelo zero trust não são padronizados. Só o governo federal dos Estados Unidos tem pelo menos quatro documentos diferentes que descrevem os fundamentos do zero trust: a Cybersecurity and Infrastructure Security Agency (CISA), o National Institute of Standards and Technology (NIST ), o Departamento de Defesa dos EUA (DoD) e a Administração de Serviços Governamentais (GSA).

Embora existam várias definições do conceito, juntamente com diferentes combinações de princípios básicos relacionados à sua aplicação, geralmente existem cinco pilares considerados fundamentais para a construção de um framework de segurança zero trust:

1. Controle de acesso baseado em identidade. O zero trust enfatiza a importância de verificar e autenticar as identidades dos usuários antes de conceder acesso aos recursos. As identidades dos usuários são os principais critérios para determinar os privilégios de acesso.
2. Autenticação multifator (MFA). O MFA adiciona uma camada extra de segurança ao exigir que os usuários forneçam várias formas de verificação, incluindo senhas, biometria e tokens de segurança.
3. Microssegmentação. A microssegmentação divide as redes em seções menores, permitindo que as organizações imponham controles de acesso granulares. Ao limitar a movimentação lateral dentro da rede, o zero trust minimiza o impacto de possíveis violações.
4. Menor privilégio. Os usuários recebem o menor privilégio necessário para executar suas tarefas. Ao restringir os direitos de acesso, você minimiza o risco de acesso não autorizado e exposição de dados. A limitação do escopo das credenciais e dos caminhos de acesso para um invasor em potencial dá às organizações mais tempo para neutralizar os ataques.
5. Monitoramento e validação contínuos. O monitoramento contínuo e ativo do comportamento do usuário, da integridade do dispositivo e do tráfego de rede para detectar anomalias e possíveis ameaças possibilita às equipes de TI responder rapidamente a eventos de segurança. Depois de estabelecidos, os logins e as conexões também expiram periodicamente, exigindo que os usuários e dispositivos sejam reverificados continuamente.

A implementação bem-sucedida de uma arquitetura zero trust requer um compromisso de toda a organização. Isso inclui o alinhamento universal nas políticas de acesso e a necessidade de conectar informações entre domínios de segurança, bem como a necessidade de proteger todas as conexões da organização. Para adotar o zero trust de forma eficaz, é necessária uma abordagem sistemática. Aqui estão as três principais etapas para ajudar as organizações a fazer a transição para um modelo de segurança zero trust:

Etapa 1. Avalie sua infraestrutura de rede e a postura de segurança existentes para identificar vulnerabilidades. A definição da superfície de ataque avaliando pontos fracos e descobrindo áreas que precisam de melhorias ajudará você a determinar o escopo da implementação do zero trust.

Etapa 2. Desenvolva uma estratégia abrangente de controle de acesso com base nos princípios do zero trust. Isso inclui catalogar todos os seus ativos de TI e dados, definir e atribuir funções de usuário, implementar autenticação multifator, estabelecer controles de acesso granulares e adotar técnicas de segmentação de rede.

Etapa 3. Implante as tecnologias e soluções mais recentes para dar suporte à sua implementação do zero trust. Isso pode envolver a utilização de soluções de gerenciamento de identidade e acesso (IAM), sistemas de detecção de invasão, firewalls de última geração e ferramentas de gerenciamento de eventos e informações de segurança (SIEM). Monitore e atualize essas soluções regularmente para manter um ambiente de segurança zero trust íntegro.

O zero trust é importante porque aborda as limitações dos modelos tradicionais de segurança de rede que dependem de estratégias de defesa de perímetro, como firewalls, para proteger a infraestrutura e recursos de dados vitais. Com o aumento de ameaças avançadas e ataques internos e a movimentação lateral de agentes maliciosos em uma rede, essa abordagem tornou-se inadequada.

Em uma era digital definida por uma força de trabalho cada vez mais global e díspar, o zero trust fornece um framework de segurança proativo e adaptável que se concentra na verificação contínua, reduzindo o risco de acesso não autorizado e violações de dados. E com a proliferação da infraestrutura de nuvem híbrida e de ambientes infinitamente complexos orientados por dados, estratégias zero trust bem implementadas economizam um tempo valioso das equipes de segurança. Em vez de gastar recursos gerenciando soluções e ferramentas de segurança mal-integradas, as empresas e suas equipes de TI podem se concentrar nas ameaças que virão a seguir.

Embora o zero trust ofereça vantagens de segurança significativas, sua adoção pode impor certas dificuldades. Alguns dos desafios comuns:

Infraestrutura legada
As organizações com sistemas legados podem achar difícil integrar os princípios do zero trust a suas arquiteturas de rede existentes. Os sistemas legados podem não ter as funcionalidades necessárias para implementar controles de acesso granulares e monitoramento contínuo. A adaptação de infraestruturas baseadas na confiança implícita para alinhamento com os princípios do zero trust exigirá investimento.

Experiência do usuário
A implementação de medidas robustas de autenticação e controles de acesso pode afetar a experiência do usuário. Para garantir uma transição suave para o zero trust, as organizações precisam encontrar um equilíbrio entre as necessidades de segurança e os requisitos de usabilidade.

Mudanças culturais
O zero trust requer uma mudança na mentalidade e na cultura organizacional. A substituição dos procedimentos antiquados de “confiar, mas verificar” pode encontrar resistência de usuários acostumados a políticas de acesso mais permissivas. O zero trust só pode ser adotado com o engajamento, a cooperação e a adesão total da liderança sênior, da equipe de TI, dos proprietários dos dados e sistemas e dos usuários em toda a organização.

As estratégias zero trust podem gerar muitos benefícios, incluindo maior produtividade, melhores experiências para o usuário final, custos de TI reduzidos, acesso mais flexível e, é claro, segurança significativamente aprimorada. A adoção do zero trust oferece às organizações:

• Melhoria da postura de segurança. Em sua essência, verificando e monitorando continuamente o acesso, o zero trust reduz tanto a superfície de ataque quanto o risco de acesso não autorizado, eliminando as vulnerabilidades inerentes às proteções tradicionais orientadas por perímetro.
• Redução da exposição a violações de dados. O princípio do zero trust de menor privilégio e os controles de acesso granulares limitam os direitos de acesso dos usuários, diminuindo a probabilidade de violações de dados, movimentação lateral e ataques internos.
• Aprimoramento da visibilidade e do controle. O zero trust fornece às organizações visibilidade precisa e em tempo real do comportamento do usuário, da integridade do dispositivo e do tráfego de rede.
• Rapidez na resposta. O zero trust permite detecção e resposta mais rápidas a ameaças.
• Mitigação de danos. Ao restringir as violações a áreas menores por meio da microssegmentação, o zero trust minimiza os danos quando ocorrem ataques, reduzindo o custo de recuperação.
• Redução do risco e do impacto. Ao exigir vários fatores de autenticação, o zero trust reduz o impacto de ataques de phishing e roubo de credenciais do usuário. A verificação aprimorada reduz o risco apresentado por dispositivos vulneráveis, incluindo dispositivos de IoT que são difíceis de proteger e atualizar.

Uma estratégia zero trust pode ser adaptada para atender às necessidades exclusivas da maioria das organizações. À medida que o zero trust ganha força em todos os setores, o número de casos de uso em potencial continua a crescer. Estes são apenas alguns exemplos:

• Proteção de forças de trabalho remotas. Com o grande aumento do trabalho remoto, o zero trust ajuda as organizações a proteger o acesso a recursos corporativos de redes e dispositivos potencialmente não confiáveis.
• Ambientes de nuvem e multinuvem. O zero trust é adequado para proteger aplicações e infraestrutura baseados na nuvem, garantindo que apenas usuários e dispositivos autorizados tenham acesso a recursos críticos na nuvem.
• Gerenciamento de acesso privilegiado. Os princípios do zero trust são particularmente relevantes para gerenciar acesso privilegiado e mitigar riscos associados a contas privilegiadas.
• Integração rápida de terceiros, contratados e novos funcionários. O zero trust facilita a extensão do acesso restrito de menor privilégio a terceiros que usam dispositivos externos não gerenciados pelas equipes internas de TI.

A Elastic pode facilitar a aplicação prática dos princípios do zero trust em toda a empresa. A Elastic oferece uma plataforma de dados escalável para reunir todas as camadas da infraestrutura e das aplicações de TI da organização. Além disso, possibilita a coleta e a ingestão de dados de várias fontes distintas, unificadas em uma camada de acesso comum — em um formato que permite a correlação cruzada e a análise em escala e quase em tempo real.

A Elastic facilita uma das funcionalidades mais fundamentais de qualquer estratégia zero trust eficaz: uma camada operacional de dados comum que fornece consultas e analítica quase em tempo real em todos os fluxos de dados relevantes. A plataforma de dados excepcionalmente poderosa e flexível da Elastic cria uma ponte entre todos os sistemas que é econômica e escalável, resultando em um ambiente mais integrado, preciso e confiável.

Essencialmente, as funcionalidades da Elastic permitem que você mantenha os dados acionáveis em uma arquitetura zero trust. Entre muitos outros benefícios, isso significa que sua organização pode registrar tudo, armazenar dados de forma acessível e usar snapshots buscáveis para encontrar todos os dados por meio de uma única consulta, não importa onde estejam armazenados.

Explore como otimizar e defender sua infraestrutura com a Elastic

• Keeping data actionable in a zero trust architecture (Como manter os dados acionáveis em uma arquitetura zero trust)
• Setor público na Elastic: otimize sua infraestrutura. Defenda seus dados. Eleve as experiências dos cidadãos.
• O que é a segurança cibernética?
• Elastic provides the foundation for the DoD’s pillars of Zero Trust Networking (Elastic fornece a base para os pilares de Zero Trust Networking do Departamento de Defesa dos EUA)
• Elastic Security: Guia para fontes de dados de alto volume para SIEM

¹ IBM Cost of a Data Breach Report 2022