“A confiança é uma vulnerabilidade perigosa que pode ser explorada”, disse John Kindervag, ex- analista da Forrester (empresa norte-americana voltada para pesquisa de mercado) e criador da estratégia Zero Trust Model (Modelo de Confiança Zero), em 2010. O modelo baseia-se em segurança cibernética cujo principal conceito é não confiar em nada dentro ou fora da rede de infraestrutura de TI. A intenção não é desencorajar as organizações a confiar em seus usuários, mas rastrear o tráfego da rede, auditar e controlar os acessos para garantir mais segurança ao ambiente.
Zero Trust Model é não confiar em ninguém, o que engloba, inclusive, usuários da empresa, principalmente, os que possuem acessos privilegiados, pois o cenário de violação de dados mais provável é causado por usuários, mal-intencionados ou descuidados. Segundo a pesquisa Insider Threat Report, realizada pela CA Technologies (Broadcom), 51% das empresas entrevistadas estão preocupadas com ameaças que são causadas por usuários. Além disso, aponta que os principais fatores que habilitam as vulnerabilidades internas:
1. 37% acessos privilegiados;
2. 36% gestão de dispositivos;
3. 35% complexidade da segurança da informação.
As ameaças internas consistem em: funcionários, ex-funcionários, parceiros de negócios ou provedores de serviços, ou seja, qualquer indivíduo que tem ou teve acesso a informações privilegiadas é considerado um risco de vulnerabilidade. A grande dificuldade das empresas está em rastrear tais ameaças com rapidez, afinal essas vulnerabilidades, muitas vezes, não estão presentes no planejamento de segurança, pois não é antecipada pela empresa, visto que a índole ou erros de pessoas não são previsíveis.
Com Lei Geral de Proteção de dados (LGPD) prestes a entrar em vigor, as organizações analisam os melhores métodos para promover a segurança das informações. Logo, a estratégia Zero Trust Model se torna um modelo atraente e eficiente para evitar ameaças, pois é um processo contínuo que ajuda as organizações a manterem a segurança. Para a implementação dessa estratégia foram estabelecidos alguns princípios:
1 – Certificação
Identificar e proteger os dados internos e externos da organização, independe de onde estão armazenados.
2 – Registro e inspeção
Há dois métodos de ganhar visibilidade do tráfego na rede: registros e inspeção.
Os registros servem para identificar o tráfego na rede, por exemplo, se um arquivo for apagado a equipe de segurança consegue ver quem, quando e por onde o documento foi excluído.
Para ser bem-sucedida, a inspeção, pode ser automatizada, com alertas em tempo real, assim, a equipe de segurança consegue agir com mais rapidez caso alguma anomalia seja detectada.
3 – Menos privilégios, mais segurança
“Um soldado só deve saber o necessário para concluir sua missão” esse conceito é usado para garantir a segurança dos soldados no exército e pode ser aplicado para elevar a segurança no ambiente de TI. Trocamos a frase por: o usuário só deve acessar o necessário para realizar a suas atividades. Isto é, revisar privilégios constantemente em busca de permissões desnecessárias e usuários inativos, garante uma política de privilégios mínimos.
4 – Segurança extra nunca é de mais
Um dos focos é a autenticação segura dos usuários e obter o conhecimento de suas funções, privilégios de acesso e ser capaz de identificar o comportamento anormal do indivíduo e do dispositivo. Nesse ambiente, soluções como a autenticação multifator (MFA) e a análise comportamental do usuário são fundamentais para estabelecer a segurança.
O objetivo com a Confiança Zero é estabelecer um modelo de nunca confiar e sempre verificar. Não há uma fórmula específica para a implementação, de maneira geral, as empresas adquirem Firewall que fazem filtragens, inspeção profunda, detectam malware, entre outros. Além de, aplicarem o modelo de privilégios mínimos, registrarem acessos e implementarem autenticações fortes.
Um exemplo de projeto bem-sucedido de Zero Trust Model é o Google. A grande empresa de buscas é tão consistente com a estratégia que criou seu próprio framework de segurança: o BeyondCorp. Por meio dele, é possível fazer um controle através dos dispositivos individuais e de usuários sem usar a VPN (Virtual Private Network), além dos acessos aos serviços serem autenticados, autorizados e criptografados.
É importante termos em mente que, não importa o segmento, toda organização está sujeita às ameaças internas, por esse motivo, para promover mais segurança no o ambiente de TI, devemos entender quais são os desafios internos e aplicar estratégias como a Zero Trust Model, assim, além de elevar a segurança a adequação a LGPD torna-se mais eficiente.
*Alfredo Santos é CMSO da SEC4YOU, empresa brasileira de segurança da informação focada em serviços e soluções de Gestão de Identidades, Application Security / DevSecOps, LGPD e Cybersecurity atendendo Segurança em Transformação Digital para os mais diferentes segmentos.