A abordagem tradicional à segurança centra-se na construção de um perímetro robusto de defesa. No entanto, as organizações atualmente já não têm um perímetro estritamente definido para proteger.
Por João Sequeira – Diretor Secure e-Solutions Portugal da GMV em Portugal.
A Gartner publicou recentemente as suas previsões de cibersegurança para 2023 e para os anos seguintes. Dessas previsões, chamou-me à atenção que cerca de 60% das empresas não irão tirar benefício da implementação de Zero Trust.
Um dos pontos que impede muitas empresas de tirar partido da implementação de Zero Trust é o facto de este ser simultaneamente um princípio tecnológico de segurança e uma visão organizacional. Para tirar partido da implementação de uma arquitetura zero trust, acredito que seja necessária uma abordagem holística que leve a uma mudança cultural na organização, que envolva a compreensão das suas necessidades, o seu modelo de negócio e a correta implementação das soluções tecnológicas de suporte, alinhando resiliência e agilidade.
A abordagem tradicional à segurança centra-se na construção de um perímetro robusto de defesa. No entanto, as organizações atualmente já não têm um perímetro estritamente definido para proteger. A tendência crescente do trabalho remoto e a grande proliferação de BYOD (Bring Your Own Device), serviços baseados na cloud e IoT, e de acesso direto a sistemas internos por parte de parceiros e subcontratados, levam-nos a ter de deixar para trás a noção de que existem dois ambientes, um interno e seguro e um externo e inseguro.
Para as empresas a adoção destes sistemas “descentralizados” traz enormes vantagens tais como o aumento da produtividade, a redução de custos e uma maior agilidade tanto na contratação como na escolha de parceiros ou fornecedores. No entanto, traz um desafio: e as questões de segurança? Estas vantagens têm de estar em equilíbrio com a segurança, para garantir a proteção dos dados da empresa e dos seus clientes.
Ao mesmo tempo, as ameaças de cibercrime continuam a aumentar e são cada vez mais sofisticadas. A par de ataques como ransomware, phishing e malware os ataques na cadeia de fornecimento estão a tornar-se mais comuns o que podem ter consequências devastadoras para as empresas.
Segundo alguns estudos, os ataques à cadeia de fornecimento estão a afetar 62% das empresas (2022 Security Trends: Software Supply Chain Survey • Anchore). Ainda está na memória de todos situações como o Log4Shell ou a SolarWinds, que afetaram milhares de empresas.
Estas ameaças podem combinar-se para produzir cenários de ataque complexos e imprevisíveis. Adicionalmente, alguns grupos de ransomware começaram a recrutar colaboradores internos das empresas, prometendo-lhes enormes recompensas financeiras em troca de acesso privilegiado à infraestrutura. Este tipo de ameaça tem uma componente interna e uma componente externa, tornando ineficazes as defesas simples de perímetro.
Uma arquitetura de Zero Trust elimina o conceito de perímetro de segurança onde temos uma rede segura (interna) e uma rede insegura (externa), em que, como o nome indica, deixamos de confiar implicitamente em qualquer equipamento só porque está na nossa rede interna. Segundo a Gartner, o Zero Trust “é útil como forma abreviada de descrever uma abordagem em que a confiança implícita é removida de toda a infraestrutura informática. Em vez disso, os níveis de confiança são explícita e continuamente calculados e adaptados para permitir o acesso just-in-time e suficiente aos recursos da empresa.”
Para mitigar as ameaças internas e externas, numa implementação de arquitetura Zero Trust é assim necessário uma verificação forte de identidade. Esta faz-se tipicamente com recurso a autenticação multifator (MFA), controlo do equipamento de onde o acesso está a ser efetuado e o seu contexto (cumprimento de políticas, localização, hora, etc…), garantindo que são fornecidos apenas os privilégios mínimos necessários a recursos explicitamente autorizados. Como a expressão Zero Trust indica, devemos sempre verificar todos os parâmetros do acesso e nunca confiar.
Para implementar com sucesso uma arquitetura Zero Trust, temos de estar cientes de que é um princípio de segurança revolucionário e uma visão organizacional que tem o potencial de provocar uma mudança real. Exige que nos afastemos das abordagens tradicionais de segurança e que, em vez disso, adotemos uma postura de “nunca confiar, verificar sempre”, permitindo acesso aos diversos recursos com base na identidade e no risco associado a cada acesso.
Esta mudança de cultura e abordagem não é fácil e é necessário definir uma estratégia de segurança e uma comunicação clara entre as partes interessadas em sintonia com os objetivos de negócio, assegurando a sua implementação bem-sucedida e a adaptação às reais necessidades da empresa. Nesta análise, devemos olhar para a razão que nos leva a implementar uma arquitetura Zero Trust. Por exemplo, se estamos apenas a alterar a “VPN” (Virtual Private Network) para um novo sistema ZTNA (Zero Trust Network Access), devemos validar se realmente existem benefícios suficientes na sua implementação sem uma estratégia global de mudança.
Só então poderemos comprometer-nos com as mudanças organizacionais necessárias para o verdadeiro sucesso. Esta abordagem requer uma compreensão do novo panorama de segurança e a coragem de agir sobre ele – mas quando bem executada, resultará numa melhor proteção contra ameaças cibernéticas e numa melhor experiência para todos os envolvidos.