O modelo de segurança Zero Trust não é novo. Existe desde que John Kindervag, da Forrester Research, escreveu seu artigo “No More Chewy Centers: Introducing the Zero Trust Model of Information Security” em 2010.
A abordagem Zero Trust está centrada na crença de que nenhum usuário ou aplicativo deve ser inerentemente confiável, mesmo aqueles que já estão dentro do perímetro da rede.
Essa ideia já está sendo adotada por grandes empresas e organizações como Google, Coca-Cola e NSA para combater a crescente ameaça de ataques cibernéticos. No entanto, ainda existem obstáculos que impedem sua adoção em massa.
Mitos sobre a segurança Zero Trust
À medida que o interesse das organizações pela abordagem do modelo Zero-Trust aumenta, alguns equívocos sobre os princípios básicos da estrutura atrapalham a adoção. Aqui estão alguns mitos que você não deve acreditar.
Mito Um: A Confiança Zero Cria uma Cultura de Desconfiança
Um equívoco comum sobre o Zero Trust é que ele promove a ideia de não confiar em seus funcionários. Embora a estrutura Zero Trust exija que as empresas examinem os usuários que acessam seus recursos de rede, ela não deve ser mal interpretada como algo pessoal.
O fato é que a confiança representa uma vulnerabilidade que pode colocar sua organização em risco de um ataque. Os cibercriminosos exploram especificamente a confiança para empresas-alvo, e o Zero Trust oferece uma maneira de mitigar isso. É equivalente a uma entrada de cartão-chave em vez de permitir que todos entrem em um prédio.
Por usando o Princípio do Mínimo Privilégio (POLP), as organizações podem personalizar suas políticas de limite para que os usuários tenham acesso apenas aos recursos de que precisam com base na confiança que conquistaram.
Mito dois: Confiança zero é um produto
Zero Trust é uma estratégia ou estrutura, não um produto. Ele é construído em torno da ideia de nunca confiar e sempre verificar.
Os diversos produtos oferecidos pelos fornecedores podem ajudar a alcançar a Confiança Zero; no entanto, eles não são produtos Zero Trust. São apenas produtos que funcionam bem no ambiente Zero Trust. Portanto, se um fornecedor solicitar que você compre seu produto Zero Trust, isso é uma indicação de que ele não entende o conceito subjacente.
Relacionado: O que é uma rede Zero Trust e como ela protege seus dados?
Quando integrados adequadamente com a arquitetura Zero Trust, vários produtos podem efetivamente minimizar a superfície de ataque e conter o raio de explosão em caso de violação. Uma vez totalmente implementada, uma solução Zero Trust com verificação contínua pode eliminar completamente a superfície de ataque.
Mito três: só há uma maneira de implementar a confiança zero
Zero Trust é uma coleção de princípios de segurança que envolve a verificação constante, o Princípio do Acesso Mínimo de Privilégios e a mitigação da superfície de ataque.
Ao longo dos anos, surgiram duas abordagens para começar com um modelo Zero Trust. A primeira abordagem começa com a identidade e envolve a autenticação multifator, que oferece resultados rápidos.
Relacionado: O que é autenticação de dois fatores? Veja por que você deve usá-lo
A segunda abordagem é centrada na rede e começa com a segmentação da rede. O conceito envolve a criação de segmentos de rede para controlar o tráfego dentro e entre esses segmentos. Os administradores de rede podem manter autorização separada para cada segmento, limitando assim a disseminação de ameaças laterais em um sistema.
Mito quatro: Zero Trust serve apenas para grandes empresas
O Google foi uma das primeiras empresas a implantar a arquitetura Zero Trust em resposta à Operação Aurora em 2009. Esta foi uma série de ataques direcionados a grandes empresas como Google, Yahoo, Morgan Stanley e Adobe Systems.
Quando o Google adotou o modelo Zero Trust imediatamente após os ataques, muitas empresas pensaram (e ainda pensam) que ele se aplica apenas a grandes organizações. Essa noção só seria verdadeira se os ataques cibernéticos fossem restritos a grandes empresas, o que não é o caso. Na realidade, cerca de 46% das violações de dados em 2021 foram destinados a pequenas empresas.
Embora a mídia tenda a cobrir violações de dados que afetam grandes empresas, não há dúvida de que as pequenas empresas também precisam de proteção contra ataques cibernéticos.
A boa notícia é que as pequenas organizações não precisam quebrar o banco para implementar o modelo Zero Trust. Como não é um produto, as empresas podem introduzi-lo gradualmente, alocando um modesto investimento anual na arquitetura Zero Trust.
Quinto Mito: A Confiança Zero Impede a Experiência do Usuário
Um dos impedimentos para a adoção do Zero Trust é o impacto percebido na experiência do usuário. É compreensível supor que a produtividade e a agilidade dos usuários sofreriam ao verificar continuamente as identidades dos usuários. No entanto, quando implementado adequadamente, o Zero Trust pode oferecer uma experiência amigável.
As organizações podem avaliar perfis de usuários e combinar autenticação baseada em risco com aprendizado de máquina para identificar riscos e tomar decisões de acesso rápido. Se o risco for alto, o sistema pode exigir uma etapa de autenticação adicional ou bloquear totalmente o acesso para proteger seus recursos. Pelo contrário, pode eliminar os desafios de autenticação se o risco for baixo.
Uma abordagem Zero Trust também reduz a complexidade do lado administrativo das coisas. Empreiteiros e funcionários não serão mais passivos de segurança caso parem de fazer negócios com você. Sob um modelo eficiente de Zero Trust, o sistema encerrará imediatamente o acesso aos principais ativos, eliminando backdoors.
Mito seis: a confiança zero é limitada ao ambiente local
Muitas empresas ainda veem o Zero Trust como um modelo que só pode ser gerenciado no local. Isso se torna um problema importante, pois os dados confidenciais agora residem em ambientes híbridos e em nuvem. Com ataques cibernéticos e hacks impactando a arquitetura local em ascensão, mais e mais empresas estão migrando para a nuvem.
A boa notícia é que o Zero Trust está se movendo rapidamente com ele.
Relacionado: Principais violações de dados de segurança na nuvem nos últimos anos
Ao estabelecer uma arquitetura Zero Trust na nuvem, as empresas podem proteger dados confidenciais e reduzir a exposição de ativos vulneráveis em sua rede.
Além disso, à medida que a cultura de trabalho remoto se intensifica e os cibercriminosos desenvolvem novas maneiras de explorar vulnerabilidades, as empresas que dependem da infraestrutura local arriscam a interrupção.
Nunca confie; Sempre verificar
Com base no número de violações de dados direcionadas às organizações, é evidente que a abordagem da velha escola em relação à segurança não é suficiente. Enquanto muitos acreditam que Zero Trust é caro e demorado, é um antídoto fantástico para os problemas de segurança do momento.
O modelo Zero Trust procura remover sistemas baseados em confiança simplesmente porque são explorados com muita frequência em ataques cibernéticos. Ele funciona com base no princípio de que tudo e todos devem ser verificados antes de obter acesso aos recursos da rede. Essa é uma busca valiosa para empresas que buscam reduzir riscos e melhorar sua postura de segurança.
O modelo de segurança tradicional provou ser ineficaz contra ransomware. Saiba por que a confiança zero é a melhor abordagem para derrotar ataques cibernéticos.
Leia a seguir
- Segurança
- Segurança on-line
- Cíber segurança
- Privacidade on-line
- Tecnologia de Negócios
Fawad é engenheiro de TI e comunicação, aspirante a empreendedor e escritor. Ele entrou na área de redação de conteúdo em 2017 e trabalhou com duas agências de marketing digital e vários clientes B2B e B2C desde então. Ele escreve sobre segurança e tecnologia na MUO, com o objetivo de educar, entreter e envolver o público.
Assine a nossa newsletter
Junte-se à nossa newsletter para dicas de tecnologia, análises, e-books gratuitos e ofertas exclusivas!
Clique aqui para assinar
