Zero Trust e segurança cibernética: o que é e por que é importante

Parece que todos os fornecedores de segurança cibernética estão falando de 'Zero Trust' como uma resposta a ataques cibernéticos cada vez mais perigosos, mas os especialistas em segurança cibernética do Reino Unido alertam os clientes que sua definição é um pouco escorregadia e eles devem proceder com cautela.

Parece que todos os fornecedores de segurança cibernética estão falando de ‘Zero Trust’ como uma resposta a ataques cibernéticos cada vez mais perigosos, mas os especialistas em segurança cibernética do Reino Unido alertam aos clientes que sua definição é um pouco incerta e eles devem proceder com cautela.

O National Cyber ​​Security Center (NCSC) do Reino Unido disse esta semana que Zero Trust se tornou um “termo muito na moda” no mundo da tecnologia. Para lidar com o caráter escorregadio de sua definição, o NCSC delineou algumas armadilhas e problemas que as organizações que realizam uma migração de Zero Trust devem estar atentas.

Então, o que é Zero Trust, de acordo com o NCSC?

Zero Trust é a ideia de remover a confiança inerente de uma rede. O simples fato de um dispositivo estar no lado “confiável” interno de um firewall ou VPN, basta para que ele não seja considerado como confiável por padrão”.

“Em vez disso, você deve procurar criar confiança nas várias transações que ocorrem. Você pode fazer isso desenvolvendo um contexto por meio da inspeção de uma série de sinais. Esses sinais são informações como a integridade ou localização do dispositivo e podem dar a confiança necessária para conceder acesso a um recurso.”

No entanto, o NCSC reconhece que nem todas as organizações estarão prontas para adotar uma arquitetura Zero Trust. Ele também enfatizou que não é um padrão ou especificação, mas sim “uma abordagem para projetar uma rede” – o que significa que pode ser difícil saber se você está fazendo certo ou não.

Além disso, pode haver custos diretos e indiretos que surgem de uma migração para um projeto de rede de Zero Trust. Os custos diretos incluem novos produtos, dispositivos e serviços. Os custos indiretos incluem treinamento de engenheiros, novos custos de licenciamento e assinaturas. O NCSC observa que esses custos contínuos podem, no entanto, ser menores do que o custo de manutenção e atualização dos serviços de rede existentes.

“Mudar para uma arquitetura Zero Trust pode ser um exercício muito perturbador para uma organização”, alerta o NCSC. “Pode levar vários anos para migrar totalmente para este modelo devido à extensão em que mudanças podem ser necessárias em sua empresa.

“Definir um estado final para uma migração é difícil quando o modelo que você deseja pode evoluir durante a implementação.”

Existem também implicações mais amplas para as muitas organizações que executam grandes sistemas que simplesmente não combinam com os conceitos de Zero Trust, por exemplo, um sistema de folha de pagamento legado que carece de métodos de autenticação modernos, como autenticação de dois fatores.

Depois, há produtos e serviços que não combinam bem com Zero Trust, como arquiteturas BYOD. As organizações podem ter dificuldades para avaliar se os dispositivos são seguros sem invadir a privacidade dos funcionários. Como alternativa, uma rede desconectada (Air-gapped) pode não ser capaz de usar um serviço de Zero Trust baseado em nuvem.

Por fim, o NCSC avisa sobre o bloqueio de fornecedor e bloqueio de nuvem que pode restringir a capacidade de uma organização de mover alguns sistemas para outros serviços no futuro.

Nas semana anteriores, o Google anunciou um compromisso de US$ 10 bilhões para ajudar os EUA a melhorar a segurança de infraestrutura crítica após uma reunião com o presidente dos EUA, Joe Biden. A Microsoft comprometeu US$ 20 bilhões. Ambas as empresas estão se concentrando em recursos de Zero Trust para lidar com os recentes ataques de ransomware e cadeia de suprimentos de software em infraestruturas críticas. A IBM também está aumentando seus serviços de Zero Trust por meio da categoria relativamente nova de serviços Secure Access Service Edge (SASE). Todos os três, incluindo mais 15 fornecedores, estão trabalhando com o NIST dos EUA para criar benchmarks para arquiteturas de Zero Trust.

Parece que todos os fornecedores de segurança cibernética estão falando de 'Zero Trust' como uma resposta a ataques cibernéticos cada vez mais perigosos, mas os especialistas em segurança cibernética do Reino Unido alertam os clientes que sua definição é um pouco escorregadia e eles devem proceder com cautela.

O NCSC apresenta cinco razões pelas quais Zero Trust pode ser uma boa filosofia a ser adotada:

  • Em um modelo de Zero Trust, cada ação que um usuário ou dispositivo executa está sujeita a alguma forma de decisão política. Isso permite que a organização verifique todas as tentativas de acesso a dados ou recursos, “tornando a vida de um invasor muito difícil”.
  • O Zero Trust permite fortes autenticação e autorização, enquanto reduz a sobrecarga de rede de estender sua rede corporativa até as casas dos usuários.
  • Alguns controles de segurança de Zero Trust podem permitir uma experiência do usuário muito melhor. Por exemplo, ao usar o logon único, os usuários só precisam inserir as credenciais uma vez, em vez de sempre que quiserem usar um aplicativo diferente.
  • Maior controle sobre o acesso aos dados significa que você pode conceder acesso a dados específicos para o público certo.
  • Aprimorar sua capacidade de registro para incluir eventos de dispositivos e serviços do usuário oferece uma imagem muito mais rica do que está acontecendo em seu ambiente, permitindo detectar comprometimentos com mais precisão.

Fonte: www.zdnet.com

Posts relacionados: Reino Unido lança orientação sobre a adoção de uma arquitetura Zero Trust / NSA lança novo guia sobre implementação do modelo de segurança Zero Trust e Onde o “Zero Trust” começa e por que é importante?