O normal pós-pandemia para as organizações globais significa cada vez mais o uso de tecnologia digital, apoiando práticas de trabalho mais flexíveis. Embora gigantes da tecnologia como o Twitter e Facebook tenham feito manchetes ao prometer a alguns funcionários que eles podem trabalhar em casa para sempre, a realidade para a maioria dos empregadores tende a ser diferente. Mais de 60% das empresas estão planejando promover o modelo de trabalho híbrido, fazendo com que seus funcionários passem parte da semana em casa e alguns dias no escritório. No entanto, isso também trará novos riscos cibernéticos, conforme descrevemos na primeira postagem desta série que examina os desafios de segurança para o modelo de trabalho híbrido.
A boa notícia é que para isso foi construído o modelo Zero Trust. Já obrigatório para as agências do governo federal dos EUA por uma nova ordem executiva presidencial, o modelo Zero Trust oferece uma maneira cada vez mais popular de minimizar o risco cibernético em um mundo de nuvem híbrida, trabalho remoto e agentes de ameaças persistentes.
Os desafios de proteger um esquema de trabalho híbrido
Os CISOs de hoje estão sob incrível pressão para proteger IP confidenciais e dados de clientes contra roubo, assim como sistemas críticos para evitar que os negócios sofram interrupções do serviço. Apesar do investimento em segurança cibernética, os casos de vazamentos de dados continuam aumentando. O custo dos vazamentos de dados é de uma média de quase US$ 3,9 milhões por incidente hoje, com as organizações normalmente levando centenas de dias antes de descobrir e conter esses ataques.
Com o surgimento do trabalho remoto em massa, e agora do trabalho híbrido, oferece-se ainda mais vantagens aos atores de ameaças. As organizações correm riscos em várias áreas, incluindo:
- Funcionários distraídos que trabalham em casa e têm maior probabilidade de clicar em links de phishing;
- Trabalhadores remotos usando laptops pessoais e dispositivos móveis, redes e dispositivos smart home potencialmente inseguros;
- VPNs vulneráveis e outros softwares não corrigidos em execução em sistemas domésticos;
- Endpoints com uma conexão RDP mal configurada, que podem ser facilmente sequestradas por meio de senhas previamente roubadas ou fáceis de quebrar. A ESET relatou um aumento de 140% nos ataques RDP no terceiro trimestre de 2020;
- Serviços em nuvem com controles de acesso fracos (senhas ruins e sem autenticação multifator).
Por que o modelo Zero Trust?
Em 2009, a Forrester desenvolveu um novo modelo de segurança da informação, denominado Modelo Zero Trust (ou confiança zero), que obteve ampla aceitação e adoção. Ele foi projetado para um mundo que entende que não se pode colocar todos os recursos de segurança no perímetro e, em seguida, confiar em tudo o que há dentro dele. Este é o mundo em que vivemos hoje, graças ao trabalho remoto e a confiança na nuvem.
O Zero Trust se baseia em um mantra de “nunca confie, sempre verifique” para ajudar a reduzir o impacto das brechas de segurança. Na prática, existem três princípios básicos:
- Todas as redes devem ser tratadas como não confiáveis
Se todas as redes não são confiáveis, os usuários também não são. Afinal, você não pode garantir que uma conta não foi sequestrada ou que um usuário não seja um insider malicioso. Isso significa conceder aos funcionários privilégios suficientes apenas para realizar o trabalho e, em seguida, auditar regularmente as permissões de acesso e excluir os que não são mais apropriados.
- Privilégios mínimos
Isso deve incluir redes domésticas, redes Wi-Fi públicas (por exemplo, em aeroportos e cafeterias) e até mesmo redes corporativas locais. Os cibercriminosos estão simplesmente determinados demais para que possamos presumir que ainda existam espaços seguros.
- Presumir a brecha
Todos os dias ouvimos notícias de um novo vazamento de dados. Ao manter uma mentalidade de alerta, as organizações ficarão vigilantes e continuarão a melhorar suas defesas com uma mentalidade resiliente sugerida pelo modelo Zero Trust. As brechas de segurança são inevitáveis – o que se busca é a redução de seu impacto.
Veja mais: Princípio do menor privilégio: a estratégia de limitar o acesso ao que é essencial
Como o modelo Zero Trust evoluiu
Quando o Zero Trust foi criado em 2009, era um modelo muito centrado em rede. Com o passar dos anos, ele evoluiu para um ecossistema completo. Em seu centro estão os dados críticos ou processos de negócios que devem ser protegidos. Em torno disso, estão quatro elementos principais: as pessoas que podem acessar esses dados, os dispositivos que os armazenam, as redes pelas quais fluem e os workloads que os processam.
Agora a Forrester adicionou outras camadas cruciais: automação e orquestração; e visibilidade e análise. Eles integram todos os controles de defesa profunda necessários para dar suporte ao Zero Trust.
Zero Trust nesta nova iteração é uma maneira perfeita de ajudar a mitigar os riscos de um ambiente de trabalho híbrido – ou seja, onde os perímetros são fluidos, os funcionários distribuídos devem ser continuamente autenticados e as redes são segmentadas para reduzir o potencial de disseminação de ameaças. Também ficou claro ao longo da pandemia que as VPNs, em muitos casos, foram incapazes de sustentar um grande número de funcionários remotos - tanto em termos de tráfego de entrada quanto na distribuição de patches. Eles são cada vez mais um alvo de ataques em si mesmo, especialmente se as soluções VPN estiverem desatualizadas e desprotegidas. Zero Trust é a melhor opção de longo prazo.
Como começar com o Zero Trust
Os dados mais recentes sugerem que quase três quartos (72%) das organizações estão planejando (42%) ou já implementaram (30%) Zero Trust. A boa notícia é que chegar lá não requer um grande esforço de remoção e substituição.
Na verdade, você já pode estar usando muitas das ferramentas e técnicas necessárias para começar. Isso inclui o seguinte:
Pessoas: controles de acesso baseados em funções, autenticação multifator, segregação de contas.
Workloads: a maioria dos provedores de nuvem criam controles aqui. As organizações devem usá-los para reduzir o acesso a diferentes workloads e fazer cumprir boas políticas.
Dispositivos: o gerenciamento de ativos o ajudará a entender o que você possui. Em seguida, use detecção e resposta de endpoint (EDR), firewalls baseados em host e muito mais para proteger esses ativos e evitar movimentos laterais.
Redes: a microssegmentação é a chave aqui. Use dispositivos de rede como roteadores e switches em combinação com listas de controle de acesso (ACLs) para limitar quem e o que podem se comunicar com diferentes partes da rede. O gerenciamento de vulnerabilidades também é importante.
Dados: classifique seus dados e aplique a criptografia aos tipos mais confidenciais em repouso e em trânsito. O monitoramento da integridade dos arquivos e a prevenção contra a perda de dados também podem ajudar a proteger as informações.
Finalmente, trata-se de adicionar orquestração e automação de segurança, além de recursos de análise de dados. Isso traz a consciência situacional de que as equipes de operações de segurança precisam para fazer seu trabalho com eficácia.