Zero Trust e Riscos em Segurança da Informação

 Artigo original: https://www.linkedin.com/pulse/zero-trust-e-riscos-em-seguran%C3%A7a-da-informa%C3%A7%C3%A3o-david-muniz/

Por anos, as organizações acreditavam que os ativos localizados dentro do seu perímetro eram conhecidos e controlados. Considerando que o acesso à internet era devidamente gerenciado, era possível ao time de Segurança da Informação proteger, monitorar e controlar os dados que passavam através destas fronteiras, devidamente protegidas utilizando ferramentas como VPNs, Firewalls e SIEM. Nos dispositivos físicos, softwares de gerenciamento e softwares antivírus protegiam os sistemas e asseguravam que os sistemas estariam devidamente atualizados. Esses conceitos são baseados no lema “trust, but verify”, ou “confie, mas verifique”. No entanto, com os surgimento das tecnologias baseadas em Cloud, dispositivos móveis e BYOD (Bring Your Own Device), o conceito tradicional de perímetro de segurança mudou drasticamente.

Antes de explicarmos esse novo conceito, vale a pena revisar o significado da palavra confiança. O Michaelis define confiança como “credibilidade ou conceito positivo que se tem a respeito de alguém ou de algo; crédito, segurança”. No contexto de Segurança da Informação isso quer dizer que, uma vez o usuário devidamente autenticado no ambiente da organização, esperava-se que ele executasse as tarefas atribuídas e não abusasse da confiança concedida. No entanto, em modelos baseados em “trust, but verify”, tanto insiders quanto atacantes maliciosos se aproveitam desta falha para abusar do privilégio dado por suas credenciais para ganhar acesso completo aos sistemas corporativos e obter indevidamente informações sensíveis. Considerando que atualmente, a maioria dos usuários acessa a infraestrutura remotamente ou através dos seus próprios dispositivos, como impedir que agentes maliciosos tenham acesso indevido e se movam pelo ambiente, roubando informações ou pior, causando danos irreversíveis à infraestrutura? Desta maneira, os novos conceitos de segurança são baseados em Zero Trust, ou Confiança Zero.

O Michaelis define confiança como “credibilidade ou conceito positivo que se tem a respeito de alguém ou de algo; crédito, segurança”.

A Forrester introduziu em 2010 o modelo Zero Trust. Esse modelo é baseado em segmentar e proteger a rede através das diferentes localidades, eliminando qualquer confiança nas estratégias de segurança que eventualmente deixem o ambiente vulnerável a ataques, tanto externos quanto internos. Assim, para obter acesso ao ambiente, o usuário deve ser devidamente autenticado e verificado. Esta verificação pode, por exemplo, envolver a autenticação multifator, além da utilização tradicional de nome de usuário e senha. Assim, uma segunda forma de autenticação, como por exemplo dispositivos, aplicações ou até biometria, deve utilizada para obter acesso ao ambiente.

Na mesma inha, o Gartner também desenvolveu uma abordagem basado em confiança zero, o Continous Adaptive Risk and Trust Assessment, ou CARTA. Segundo o CARTA, quando o nível de uma ameaça é alto, os mecanismos de segurança devem ser mais rígidos. Em oposição, quando a ameaça possui baixo nível, esses mecanismos de segurança se tornam flexíveis. Gerenciar essa dinâmica de maneira efetiva exige a utilização de ferramentas baseadas em Machine Learning e Inteligência Artificial, como aquelas que permitem a análise do tráfego de rede e do comportamento do usuário.

O Google foi outra organização que aderiu ao Zero Trust e desenvolveu o seu próprio modelo baseado em confiança zero. Os componentes do BeyondCorp, como é chamada essa nova iniciativa, envolvem conceitos de logon único, proxy de acesso, mecanismos de controle de acesso, inventário de dispositivos, política de segurança e repositório de confiança. Assim, ao utilizar as soluções do Google, qualquer organização pode garantir a implementação do conceitos associados ao BeyondCorp,.

Desta maneira, a combinação de identidade, autenticação multifator e análise de comportamento permite gerenciar dinamicamente esses mecanismos de segurança através de métodos baseados em pontuação ou de um framework de risco para identidades. É possível também utilizar definições de confiança ou inteligência de ameaças externas para determinar quando os controles de segurança devem ser mais rígidos, permitindo assegurar a devida verificação do acesso quando o comportamento do usuário é suspeito. Vale lembrar que esses aspectos devem ser abordado nas políticas de identidades, serviços, aplicações, dados e sistemas. Por exemplo, pode haver políticas de “sempre verificar” e “sempre monitorar” para identidades de terceiros e fornecedores: uma política “sempre verificar” pode exigir autenticação com múltiplo fator por exemplo, enquanto que uma política “sempre monitorar” pode exigir auditoria e monitoramento de todas as atividades no ambiente. Já as classificações de funcionários próprios podem ser adaptativas, baseadas no tipo de dado acessado. Organizações normalmente iniciam a sua implementação do Zero Trust por aspectos que trazem maior risco à continuidade dos negócios, como gestão de suprimentos, redes e credenciais privilegiadas. Nestes casos, o objetivo é reduzir o risco de abuso de privilégio de contas menos protegidas ou com menor visibilidade.

O Gartner considera o Gerenciamento de Acesso Privilegiado, ou PAM, em um ambiente de TI cada vez mais complexo, como um dos controles de segurança mais críticos. Prova disto é que, pelo segundo ano seguido, o PAM foi considerado no documento Top 10 Security Projects a maior prioridade em projetos de segurança. Neste contexto, como as funcionalidades de uma ferramenta PAM podem ser úteis na implementação das melhores práticas baseadas em modelos Zero Trust?

...como as funcionalidades de uma ferramenta PAM podem ser úteis na implementação das melhores práticas baseadas em modelos Zero Trust?

Uma solução PAM traz uma série de funcionalidades para controlar e monitorar acessos privilegiados, permitindo mitigar riscos associados em ciberegurança. Essas funcionalidades incluem a gestão de senhas de credenciais e a implementação de controles de privilégio mínimo em endpoints, como computadores móveis e estações de trabalho. Credenciais de administrador locais nesses dispositivos podem ser restritas, e qualquer aplicação ou tarefa que exijam elevação de privilégio devem ser concedidas, por exemplo, através de workflow de aprovação.

Outro aspecto do risco em cibersegurança tratado por uma solução PAM é a gestão de acesso a sistemas, aplicações e dados críticos, associados a controles de identidade e aplicação. Isso envolve determinar quais credenciais privilegiadas possuem acesso a esses sistemas, quem possui acesso a essas credenciais e de onde esses acessos são realizados. A solução permite realizar a mudança periódica da senha destas credenciais, utilizar múltiplos fatores de autenticação e workflows de acesso, gravar sessões remotas, além de bloquear todos os acessos por fora da solução PAM ou em horários e origens incomuns. Assim, é possível gerenciar todas as sessões realizadas pelos usuários aos dispositivos críticos através de recursos como auditoria de comandos, monitoramento de sessão privilegiada e análise de comportamento. O objetivo é permitir uma completa investigação e responsabilização em caso de incidentes de segurança, além de desestimular qualquer insider malicioso a executar ações indevidas no ambiente.

Desta forma, considerando um novo cenário de Transformação Digital a partir das equipes remotas e o BYOD, o ambiente cibernético está cada vez mais vulnerável a ações maliciosas. Assim, a velha abordagem “Trust, but verify” vem sido substituída pelo conceito Zero Trust para gerenciamento de risco, onde nenhum usuário ou dispositivo deve ser confiável. Nesse novo contexto, cada vez mais as classificações de cibersegurança relacionadas à confiança e aceitação de risco devem ser adaptativas. Uma ferramenta PAM auxilia organizações e proteger o acesso privilegiado a dispositivos críticos e implementar as melhores práticas associadas ao Zero Trust. A partir da gestão de credenciais e acessos, gravação de sessões e workflow de acessos, a solução permite mitigar os riscos associados à utilização indevida de credenciais privilegiadas, garantindo a confiança de fornecedores, clientes e parceiros e a continuidade dos negócios.

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Tempo doido

Imagem
Olá, Hoje é feriado aqui na parte dutch da Bélgica, dia da Comunidade Flamenga, daí algumas empresas (inclusive a minha) deram o dia de folga para os funcionários. . Ontem teve um evento da minha equipe. Descobri que a cada 3 meses a gente tem direito de organizar um evento (jantar, atividades, etc) e que a empresa paga os custos. Fomos eu, o Filip (meu chefe), Steven e Hans jogar 2 partidas de sinuca e depois jantar em um restaurante super legal lá em Mechelen, chamado T'Archief (algo como "o arquivo", ou biblioteca). Essa semana pensei em um tópico para o post, e decidi falar sobre o clima aqui na Bélgica: é coisa de doido! Durante esta semana tirei umas fotos para ilustrar do que estou falando. . Primeira foto tirada às 16:16 do dia 08/07: Segunda Foto tirada às 16:34 do mesmo dia: Terceira foto tirada às 17:52 : Bom, pode ser até que isso aconteça em algumas regiões do Brasil e tal, mas não vem me dizer que é normal não, isso é coisa de maluco!! O verão aqui ou aind...
Leia mais

My Anxious Second Post

Imagem
Bom dia Galera, Tudo bom???? Apesar de estar publicando este post no dia 13, parte dele foi escrito no dia 12 mesmo. Falei pra mim mesmo que não iria postar mais de uma vez num dia, e espero na medida do possível me comportar assim, mas enfim, no dia que não puder esperar, vai dois ou mais no mesmo dia. Estou no fim do semestre, graças a Deus. Acho que é uma das melhores sensações que pode existir. A sensação de dever cumprido, mesmo que muitas vezes nós (e até os professores) tentemos levar o semestre com a barriga. Antes de falar sobre o fim do semestre, deixa eu falar uma coisa pra vocês: ontem, depois que publiquei o primeiro post e arrumei esse negócio direitinho, fiquei pensando: "Será que preciso mesmo de um blog??? Logo eu, que sempre achei essas coisas sem graça???". Pois é, logo eu!! Mas admito que a idéia não é má, como eu falei, a única coisa que me assusta é ter minha vida (ou parte dela) exposta, mesmo que para um número restrito de pessoas. Ontem tive a apresen...
Leia mais

O Homem na Arena

Imagem
 A Brene Brown é uma das minhas escritoras favoritas. Já falei dela aqui e continuarei falando. Quando fui internado ano passado, uma das minhas companhias durante o período que fiquei no hospital foi o livro "A Coragem para Liderar". Ela inclusive quem me apresentou o discurso do Theodore Roosevelt, que trouxe em minha última postagem.  Esse discurso é um dos maiores exemplos de coragem e vulnerabilidade que conheço. Quando nos despimos do nosso orgulho e daquela ideia de "o que as pessoas vão pensar?" para corrermos atrás dos nossos sonhos, do que acreditamos e temos como verdade. Quando tomamos um chá de "fuckemal" (é libertador)!  Em uma de suas palestras, a Brené fala sobre alguns pontos chave da vulnerabilidade, e que falam muito comigo. Primeiramente, que o que importa não é ganhar ou perder. O que importa é aparecermos e sermos vistos! Levantar a nossa cauda de pavão. Literalmente colocarmos a cara a tapa. Botar o corpo na rua! Em no...
Leia mais