Segundo pesquisa da IDC (International Data Corporation), o mercado brasileiro prevê, para este ano, um crescimento de 12,5% nos investimentos em soluções de segurança da informação (hardware e software) em comparação ao ano passado, ultrapassando US$ 900 milhões. Isso se dá diante de um cenário de altíssimos riscos digitais e vulnerabilidades, permeado por fatores crescentes como trabalho remoto, compartilhamento de dados e movimentação para a nuvem.
Quando pensamos em cibersegurança, precisamos entender como os cibercriminosos agem. Com o objetivo de personalizar os ataques, eles coletam informações, buscando obter dados estratégicos sobre o ambiente de TI da empresa e sua estrutura organizacional, aplicativos de negócios e software utilizados e até mesmo funções e relacionamentos que existem no ambiente interno. Eles lançam mão de métodos variados, desde iscas via e-mail, phishing, exploits ou watering hole, plataformas de mensagens instantâneas e até engenharia social, a fim de avaliar eventos recentes, questões ou preocupações relacionadas ao trabalho e outras áreas de interesse.
Depois da violação da segurança, os criminosos se comunicam com o malware e, uma vez dentro da rede, se movem lateralmente, buscando informações ou infectando sistemas. Os hackers têm acesso a “territórios” que contêm informações e ativos valiosos, cujos dados são identificados e transferidos. Uma vez que áreas de negócios de uma organização tenham sido infiltradas, e suas informações importantes tenham sido coletadas/ sequestradas, a empresa poderá sofrer grandes danos financeiros e/ ou à sua reputação.
Diante disso, a prévia adoção de uma arquitetura Zero Trust (ou Confiança Zero, na tradução em Português) é algo inteligente a ser fazer, pois ela tem a capacidade de impedir tais crimes e consequentes prejuízos. Trata-se de uma opção que inibe a ação dos criminosos que, como sabemos, utilizam diferentes técnicas para acessar e percorrer uma rede em busca de ativos ou dados valiosos.
Basicamente, são princípios orientadores do Zero Trust a verificação explícita, o uso do acesso menos privilegiado e a presunção de violação. A organização interessada em implementar este tipo de arquitetura de sistemas precisa realizar um diagnóstico para compreender os diferentes requisitos organizacionais, implementações de tecnologia existentes e estágios de segurança. Isto vai afetar como uma implementação de modelo de segurança Zero Trust é planejada. Na Inove Solutions, desenvolvemos um modelo de maturidade que permite ajudar a avaliar a TI e construir um plano para chegar ao Zero Trust. Uma abordagem com estas caraterísticas deve se estender por todo o patrimônio digital e servir como uma filosofia de segurança integrada, de ponta a ponta.
Na construção desta arquitetura, deve ser identificada uma superfície de proteção, composta por seis elementos fundamentais: identidades, dispositivos, aplicativos, dados, infraestrutura e redes. Cada um deles precisa ter um plano de controle para reforçar os pontos críticos de cada recurso a ser defendido, tornando cada área da TI parte importante dos investimentos.
A superfície de proteção é exclusiva de cada organização. Por conter apenas o que é mais crítico para as operações, ela é muito menor do que a superfície de ataque, e sempre pode ser conhecida. Com esta superfície de proteção identificada, é possível identificar como o tráfego se move na organização em relação à superfície de proteção. A partir disso, é preciso entender quem são os usuários, quais aplicativos estão usando e como estão se conectando, pois esta é a única maneira de determinar e aplicar uma arquitetura que contenha uma política que garanta o acesso seguro aos dados.
Elemento 1: Identidades
São as pessoas, serviços ou dispositivos IOT. Quando uma identidade tenta acessar um recurso, precisamos verificar essa identidade com autenticação forte, para que se possa garantir que o acesso seja compatível e típico para essa identidade, ou seja, que siga os princípios de acesso isolado com privilégios mínimos, utilizando as ferramentas de federação do tipo “IAM / IDM / MFA / SSO / 2FA / JEA”.
Elemento 2: Dispositivos
Depois que uma identidade recebe acesso a um recurso, os dados podem fluir para uma variedade de dispositivos diferentes, sejam PCs, smartphones, tablets, dispositivos IOT, On-Premise ou Cloud. Essa diversidade cria uma área de superfície de ataque massiva, exigindo monitoramento e fiscalização da integridade do dispositivo, em conformidade com as políticas de segurança da companhia. Para isso, é importante considerar uma rede segmentada, com políticas de grupo e firewall bem definidas, e uma administração auditável de devices queutilize ferramentas LDAP / MDM / NTLM.
Elemento 3: Aplicações
Aplicativos e APIs fornecem a interface pela qual os dados são consumidos. Eles podem ser On-Premise, Cloud ou SaaS. A qualidade dos desenvolvimentos e a segurança de acesso de cada aplicativo devem ser revisitadas, para garantir as permissões apropriadas. Para isto, é fundamental o controle e mapeamento das ações do usuário por área de negócio, utilizando ferramentas de gestão de acesso e governança que permitam detectar e remediar riscos de acesso conforme os processos de negócio e estabelecer uma matriz de segregação de funções (SOD).
Elemento 4: Dados
O foco é na proteção de dados. Sempre que possível, eles devem permanecer seguros, mesmo se deixarem os dispositivos, aplicativos, infraestrutura e redes que a organização controla. Os dados devem ser classificados, rotulados e criptografados e o acesso ser restrito com base nesses atributos. Por isso, é importante ter um mapeamento detalhado das interfaces e integrações dos dados sobre as bordas de rede. O uso de DLP é um grande ganho para a organização, e tem muito a ver com governança de dados, no entendimento e compreensão de quais dados a organização compartilha com terceiros, e também com a Lei LGPD vigente no Brasil. Os dados relevantes para o negócio sempre devem ser criptografados, para evitar o sequestro de dados.
Elemento 5: Infraestrutura
Sejam servidores locais, VMs baseadas em nuvem, contêineres ou microsserviços, eles representam um vetor de ameaça crítica, como podemos aferir com as recentes notícias sobre ramsomware. Para isso, é importante avaliarmos soluções de antivírus, antispam e antimalware, assim como também do tipo Just-In-Time (JIT), Just-Enough-Administration (JEA) e ML (Machine Learning)/ AI (Inteligência Artificial), para fortalecer a defesa. Vale usar a telemetria para detectar ataques e anomalias, bloquear e sinalizar automaticamente comportamentos de risco e tomar medidas de proteção regularmente.
Elemento 6: Redes
Todos os dados são acessados pela infraestrutura de rede. Os controles de rede são um ponto chave na visibilidade e ajudam a evitar que invasores se movam lateralmente por elas. As redes devem ser segmentadas (incluindo uma microssegmentação mais profunda) e as ameaças devem ser tratadas em tempo real (é fundamental considerar a segurança e proteção nas bordas das redes, criptografar o trafego da rede de ponta a ponta, monitorar e analisar regularmente).
Com o entendimento das interdependências entre os seis elementos fundamentais, deve-se colocar os controles o mais próximo possível da superfície de proteção, criando um microperímetro ao redor dela, que impedirá o acesso à superfície protegida e evitará a exfiltração de dados confidenciais.
Vale frisar que depois de criar uma arquitetura Zero Trust em torno da superfície de proteção, é preciso continuar monitorando em tempo real, procurando coisas como o que deve ser incluído na superfície de proteção, interdependências ainda não consideradas e maneiras de melhorar a arquitetura de forma contínua.
* Walter Ezequiel Troncoso é CEO da Inove Solutions