Num contexto marcado por uma transformação digital acelerada e o contínuo crescimento do número e sofisticação das ciberameaças, o modelo de “Confiar, mas verificar” na cibersegurança fica cada vez mais arredado das boas práticas na gestão da segurança da informação.
O crescimento explosivo dos incidentes com consequências impactantes nas operações de setores essenciais à continuidade do desenvolvimento das atividades socioeconómicas, que vão desde o Ransomware aos Databreachs iniciados, na sua grande maioria, através do comprometimento de credenciais recorrendo a técnicas de engenharia social, reforçou a necessidade de combater estas ameaças através de novas abordagens de cibersegurança. O Zero Trust, ou Confiança Zero, surge justamente para responder a estes desafios, representando uma mudança basilar no paradigma na cibersegurança.
O Zero Trust representa um afastamento radical do modelo de segurança convencional, baseado em princípios aparentemente simples, mas profundamente impactantes passando a adotar o modelo “Nunca confie, sempre verifique”, ao invés de partir da visão tradicional de que tudo o que está dentro da rede da empresa é confiável, este modelo passa a assumir que tudo o que está dentro do nosso “castelo” já está ou vai ser comprometido.
A implementação do Zero Trust será absolutamente crítico nos próximos anos pelas organizações para garantir que estas conseguem mitigar os impactos severos dos ciberataques. O Zero Trust não é apenas um conjunto de tecnologias que se colocam em casa para resolver o problema, é uma nova postura de cibersegurança. Na prática, o Zero Trust, procura responder aos seguintes princípios-chave:
- Verificar: todos os utilizadores, dispositivos ou sistemas que tentem aceder aos recursos devem ser autenticados e autorizados.
- Limitar o “raio de impacto”: mínimo de acessos necessários para cumprir as tarefas, reduzindo o risco de acesso não autorizado e o impacto.
- Monitorizar de forma contínua: monitorização e análise contínuas do tráfego de rede, do comportamento do utilizador e da atividade dos sistemas para detetar e responder a potenciais ameaças em tempo real.
- Adaptar e responder: Recolher dados de comportamento e contexto de todo o ambiente tecnológico para poder obter uma resposta rápida e incisiva.
O relatório global “State of Zero Trust de 2023” da Fortinet, revela que os esforços das organizações para implementar têm caminhado no sentido positivo (66%), mas que ainda existem muitas barreiras à implementação devido à falta de integração entre as diferentes soluções disponíveis no mercado (48%).
Quais os passos para implementar Zero Trust numa organização?
Para garantir uma transição segura de uma abordagem tradicional para uma abordagem de segurança Zero Trust, reduzindo os riscos de cibersegurança devemos começar por:
1. Identificar e classificar ativos:
Devem ser identificados os ativos digitais da organização, incluíndo dados, aplicações, servidores e serviços. De seguida, devem ser identificados os ativos mais críticos para a continuidade do negócio e priorizada a sua proteção.
2. Controlar a Identidade e Acessos:
Implementar soluções robustas de Gestão de Identidade e Acesso (IAM), incluindo autenticação multifator (MFA), para verificar e autorizar utilizadores/dispositivos. Não deve ser esquecido o princípio do menor privilégio para limitar o acesso apenas ao que é necessário para cada utilizador/dispositivo.
3. Segmentar a Rede:
Dividir a rede em segmentos permitindo apenas o tráfego necessário entre elas de forma a limitar as oportunidades de movimento lateral dos atacantes e reduzir a superfície de ataque.
4. Monitorizar e analisar continuamente:
Implementar soluções de monitorização em tempo real dos sistemas e aplicações, como um SIEM e assegurar que existem profissionais especializados a analisar continuamente o estado de segurança da infraestrutura.
5. Proteger os endpoints e os dados:
Implementar segurança nos dispositivos de endpoint com soluções como deteção e resposta de endpoint (EDR) e assegurar que são sempre aplicadas as atualizações de segurança. Deve ainda criptografar todos os dados confidenciais em trânsito e em repouso protegendo-os contra acessos não autorizados.