Zero trust não impedirá nem a metade dos ataques, diz Gartner

Da Redação
25/01/2023

Somente uma em cada dez empresas terá um programa de confiança zero (zero trust) “maduro e mensurável” em operação até 2026, de acordo com um novo estudo do Gartner. Para a empresa de pesquisas e consultoria, mesmo aquelas que tiverem perceberão cada vez mais que seus controles são incapazes de mitigar o impacto dos ataques e não impedirão nem a metade das ameaças.

“A superfície de ataque corporativo está se expandindo rapidamente e os invasores considerarão rapidamente direcionar [o foco] em ativos e vulnerabilidades fora do escopo das arquiteturas de confiança zero”, disse Jeremy D’Hoinne, analista vice-presidente do Gartner. 

Essa porcentagem é inferior a 1% hoje, de acordo com o relatório do Gartner, que comenta que, embora a confiança zero seja a principal prioridade para a maioria das organizações como uma estratégia crítica para reduzir riscos, poucas realmente concluíram implementações de confiança zero.

A confiança zero recebeu um grande impulso após uma ordem executiva presidencial dos EUA em 2021 que obriga as agências federais a adotar o princípio de “nunca confie, sempre verifique”. No entanto, não é de forma alguma uma bala de prata. Por isso, o Gartner alerta que, nos próximos três anos, mais da metade de todos os ataques cibernéticos se concentrará em áreas que os controles de confiança zero não cobrem e não podem mitigar.

E esse novo direcionamento dos operadores de ameaça, segundo D’Hoinne, pode assumir a forma de varredura e exploração de APIs voltadas para o público ou a funcionários por meio de engenharia social, intimidação ou exploração de falhas devido ao fato de os próprios funcionários criarem seu “desvios” para evitar políticas rigorosas de confiança zero. Apesar disso, o analista diz a abordagem ainda oferecerá uma maneira valiosa de reduzir o risco e limitar o impacto de muitas ameaças. 

De acordo com John Watts, analista vice-presidente do Gartner, o principal ponto da confiança zero é impedir que os invasores tirem proveito da confiança implícita. “Ela ajuda a limitar os danos dos ataques ao segmentar melhor o acesso para que, quando ocorrer um incidente, menos recursos e sistemas sejam afetados. O dano causado pela infecção do software de um fornecedor instalado no ambiente de TI da empresa  pode ser contido em um segmento menor de aplicativos confiáveis.”

Ele observa que muitas organizações estabeleceram sua infraestrutura com modelos de confiança implícitos em vez de explícitos para facilitar o acesso e as operações de funcionários e cargas de trabalho. “A confiança implícita refere-se a cargas de trabalho e dispositivos que estendem muito a confiança para acesso usando fatores limitados — como uma solicitação originada de um endereço IP local atrás de um firewall de perímetro — ao autorizar dispositivos, cargas de trabalho e contas para acesso”, explica.

Já a confiança explícita, explica ele, refere-se a cargas de trabalho e dispositivos que exigem mais contexto — como, por exemplo, localização, hora, postura, autenticação multifatorial bem-sucedida — ao autenticar e autorizar dispositivos, cargas de trabalho e contas para acesso.

Para Watts, a confiança zero exige uma mudança de pensamento para enfrentar as ameaças, exigindo que a confiança seja continuamente avaliada, explicitamente calculada e adaptável entre usuários, dispositivos e recursos. Segundo ele, CISOs e líderes de gerenciamento de risco devem começar definindo o escopo de seu programa de confiança zero da empresa e, em seguida, focar primeiro na identidade, tendo em mente que a confiança zero é tanto sobre pessoas e processos quanto sobre tecnologia.

Veja isso
Zero trust, cloud e home office desafiam equipes de cyber
Unificação de processos de identidade desafia zero trust

Watts esclarece que uma estrutura de confiança zero funcional, incluindo software de confiança zero, deve ser capaz de:

. Identificar e evitar ataques de varredura e exploração em aplicativos e serviços voltados para a internet destinados à força de trabalho estendida.

. Evitar o movimento lateral de malware, limitando o acesso a recursos em uma rede em vez de permitir conexões abertas.

. Implantar um “mecanismo” de risco e confiança para controlar o acesso.

Esses mecanismos são construídos em análises que avaliam coisas como atividade da conta, força da autenticação do usuário, atributos do dispositivo e outros parâmetros quase em tempo real para calcular uma pontuação de risco. Se a pontuação de risco ultrapassar um determinado limite, uma ação como isolar o dispositivo, forçar um segundo fator de autenticação ou suspender a conta de um usuário deve entrar em ação.

Além disso, uma boa política de confiança zero deve implementar muitos perímetros menores em torno dos recursos, em vez de um grande perímetro, como no modelo de firewall tradicional. Watts observa, porém, que a confiança zero é apenas um método de reduzir o risco. Por isso, o escopo é extremamente importante porque nem tudo pode ser colocado atrás de um conjunto de controles de confiança zero. “Por exemplo, sistemas legados como mainframes ou aplicativos voltados ao público para uso de cidadãos e consumidores são normalmente excluídos de arquiteturas de confiança zero”, finaliza ele.

Compartilhar:

Últimas Notícias