Zero Trust não é só para especialistas em cibersegurança — é o novo modo de vida necessário para os negócios.
Por Mike Elgan
No verão passado, agentes de policia contactaram a Apple e a Meta, exigindo dados dos clientes em “pedidos de dados de emergência”. As empresas cumpriram. Infelizmente, os “oficiais” eram hackers afiliados de um gangue de cibercriminosos conhecido pelo nome “Recursion Team.”
Há cerca de três anos, o CEO de uma empresa de energia com sede no Reino Unido recebeu um telefonema do CEO da empresa-mãe alemã, instruindo-o a transferir um quarto de milhão de dólares para um “fornecedor” húngaro. Ao que este obedeceu. Infelizmente, o “CEO” alemão era na verdade um cibercriminoso a usar tecnologia de áudio deepfake para falsificar a voz do outro homem.
Um conjunto de criminosos conseguiu roubar dados, o outro, dinheiro. E a razão era confiança. A fonte de informação para as vítimas sobre com quem estavam a falar eram os próprios interlocutores.
O que é o Zero Trust , exatamente?
O Zero Trust é uma estrutura de segurança que não depende da segurança de perímetro. A segurança de perímetro é o modelo antigo e omnipresente que assume que todos dentro do edifício e firewall da empresa são fiáveis. A segurança é alcançada evitando que as pessoas fora do perímetro entrem.
Um estudante de doutoramento do Reino Unido na Universidade de Stirling chamado Stephen Paul Marsh cunhou a frase ” Zero Trust ” em 1994. (Também chamado “de-perimeterization”, o conceito foi minuciosamente desenvolvido em diretrizes como Forrester eXtended, Gartner’s CARTA e NIST 800-207).
A segurança de perímetro é obsoleta por várias razões, mas principalmente devido à prevalência de trabalho remoto. Outras razões incluem: computação móvel, computação em nuvem e a crescente sofisticação dos ciberataques em geral. E, claro, as ameaças também podem vir de dentro.
Por outras palavras, não há mais limites de rede – nem na verdade – e, na medida em que existem perímetros, podem ser violados. Assim que os hackers entram no perímetro, podem mover-se com relativa facilidade.
O Zero Trust visa corrigir tudo isto exigindo que cada utilizador, dispositivo e aplicação passem um teste de autenticação ou autorização individualmente sempre que aceda a qualquer componente de rede ou qualquer recurso da empresa.
As tecnologias que estão envolvidas no Zero Trust. Mas a Zero Trust em si não é uma tecnologia. É uma estrutura e, em certa medida, uma mentalidade. Tendemos a pensar nisso como uma mentalidade para arquitetos de rede e especialistas em segurança. Isto é um engano; precisa ser a mentalidade de todos os funcionários.
A razão é simples: a engenharia social é um hacking não técnico da natureza humana.
Por que apenas o Zero Trust pode vencer a engenharia social
Uma abordagem básica para aplicar Zero Trust ao desafio dos ataques de engenharia social é antigo e familiar. Digamos que recebe um e-mail a dizer que é do banco e informe-o de que há um problema com a sua conta. Basta clicar aqui para introduzir o seu nome de utilizador e senha e resolver o problema, diz no e-mail. A forma correta de lidar com esta situação (se não tiver a certeza) é ligar para o banco e verificar.
Em qualquer tipo de ataque de engenharia social, a melhor prática é nunca usar o método de acesso que lhe é fornecido, mas obter o seu próprio. Não utilize a pessoa que o contacta como fonte de informação sobre quem o está a contactar. Verifique sempre independentemente.
No passado, era fácil falsificar um e-mail. Estamos perante um futuro imediato em que será tão fácil fingir voz e vídeo ao vivo.
Além da falsificação de e-mails, as organizações também podem ser atacadas por phishing, vishing, smishing, spear phishing, snowshoeing, hailstorming, clone phishing, baleeira, tabnabbing, tabnabbing invertido, phishing in-session, sposure do site, manipulação de ligações, ocultação de ligações, tipografia, ataques de homógrafos, scare, tailgating, isco, fraude de DNS e muitos outros. O seu treino de Zero Trust deve tornar os funcionários intimamente familiarizados com todos estes tipos de ataques. O mero conhecimento dos muitos métodos cobardes para induzir os humanos a permitir o acesso não autorizado ajuda-os a entender porque é que o Zero Trust é a resposta.
No seu excelente livro de 2011, “ Ghost in the Wires ”, o ex-superhacker Kevin Mitnick descreve uma das suas técnicas de engenharia social mais eficazes: vê-se funcionários do lado de fora de um edifício prestes a entrar e simplesmente segui-los pela porta com a confiança de alguém que lá pertence. Os funcionários leem universalmente esta confiança como todos os cheks que precisam para manter a porta aberta a um estranho.
Quando a Apple e a Meta foram contactadas por polícias falsos, deviam ter escrito os detalhes de quem os hackers afirmavam ser, desligado o telefone e ligado para a policia para verificar.
Quando este CEO do Reino Unido foi contactado por alguém que afirmava ser o CEO da empresa-mãe, a política deveria ter sido uma chamada de retorno e não uma transferência de fundos com base no link inicial.
Como adotar o Zero Trust para a engenharia social
A boa notícia é que, embora muitas empresas não tenham implementado Zero Trust, ou mesmo tenham desenvolvido um roteiro de Zero Trust, a adoção da sua utilização contra a engenharia social pode ser implementada imediatamente.
Encontre uma forma de autenticar cada participante em reuniões de áudio ou vídeo.
Por outras palavras, através de alterações na formação, política e prática, qualquer comunicação que receba que solicite algo — transferir fundos, fornecer uma senha, alterar uma palavra-passe, clicar num anexo, clicar num link, deixar alguém entrar no edifício — tem de ser verificado e autenticado — tanto a pessoa como a rota para o pedido.
Quase todos os ataques de engenharia social envolvem o ator malicioso a ganhar a confiança de uma pessoa com acesso e depois abusar desse acesso.
O desafio de usar a cultura da formação e da segurança para inspirar uma mentalidade de Zero Trust em todos os colaboradores é que as próprias pessoas gostam de ser confiadas. As pessoas ficam ofendidas quando dizem: “Deixe-me vê-lo primeiro.”
Esta deveria ser a maior formação: fazer com que os trabalhadores e os dirigentes empresariais insistam em não ser confiados. Não se pode confiar que as pessoas não confiam – temos de fazer com que as pessoas insistam que não são de confiança.
Se um líder sénior enviar um anexo a uma criança e a criança simplesmente descarrega e abre sem um passo adicional de verificação (por exemplo, ligue e pergunte), isso deve ser visto pelo líder como uma grave violação das práticas de segurança.
Culturalmente, a maioria das empresas está longe de adotar esta prática. E é isso que precisa de ser repetido mil vezes: a autorização de Zero Trust de tudo é para os de confiança e não confiáveis.
Com tantos trabalhadores agora dispersos entre o escritório, em casa, noutros concelhos ou mesmo noutros países, está na hora de uma redefinição radical – uma revolução de Zero Trust, se preferirem – na forma como interagimos uns com os outros na comunicação empresarial quotidiana.