A implantação do modelo de segurança baseado em Zero Trust ganhou espaço nos últimos tempos, promovendo entre as organizações o padrão de nunca confiar, sempre verificar antes de conceder acesso ao seu perímetro.

Essa prática é extremamente importante para garantir a segurança cibernética, sobretudo no contexto do trabalho remoto, com os colaboradores tendo acesso aos recursos da corporação de qualquer ambiente e dispositivo.

Sendo assim, preparamos este artigo explorando o conceito de Zero Trust e explicando sua relação com a ferramenta PAM. Para facilitar sua leitura, dividimos nosso texto por tópicos. São eles:

• O que é o conceito de Zero Trust?

• Quais são os três principais conceitos de Zero Trust?

• Qual é a sua importância?

• Quais as vantagens dessa abordagem?

• Como implementar esse modelo de segurança?

• Evolução do Zero Trust

• Sobre o PAM

• Zero Trust e PAM: como aplicar o conceito de confiança zero no gerenciamento de acesso privilegiado?

• Sobre o senhasegura

• Conclusão

Boa leitura!

O que é o conceito de Zero Trust?

Nunca confie, sempre verifique. Esse é o lema utilizado no modelo de cibersegurança Zero Trust. De acordo com esse conceito, o recomendado é conceder acesso privilegiado mínimo, depois de verificar quem é o solicitante, qual é o contexto da solicitação e o risco oferecido pelo ambiente de acesso.

Desse modo, é possível proteger ambientes de trabalho, como tecnologias em nuvem, SaaS, DevOps e automação robótica, reduzindo a superfície de ataque e diminuindo os custos para as organizações.

Na prática, o modelo de segurança Zero Trust recomenda que todos os usuários sejam verificados antes de obter acesso a determinado sistema a fim de protegê-lo contra ataques externos, malware e ameaças internas.

Ou seja, eles devem ser autenticados, autorizados e validados continuamente antes de receberem o acesso a aplicações e dados e durante esses acessos.

Para aplicar o conceito de confiança zero são utilizadas tecnologias avançadas, entre elas, IAM (Gestão de Identidade e Acesso), autenticação multifator, proteção de identidade e segurança de endpoint.

Também é necessário promover a criptografia de dados, proteção de e-mail e verificação da higiene de ativos e terminais para se conectar a aplicativos. 

Quais são os três principais conceitos de Zero Trust?

O modelo de segurança Zero Trust é baseado em três aspectos, que devem ser considerados pelas organizações. São eles:

• Políticas

Para garantir a segurança digital por meio do modelo de segurança Zero Trust, é fundamental criar e implementar rigorosos controles de segurança, garantindo o acesso aos ambientes de TI somente para determinadas pessoas em circunstâncias específicas.

• Automação

Por meio da automação, é possível implementar o conceito de Zero Trust, evitando falhas humanas e corrigindo eventuais desvios imediatamente.

• Visibilidade

Para proteger os dispositivos e ativos de TI, é indispensável identificá-los e monitorá-los. Afinal, é impossível proteger o que não é gerenciado, e é impossível gerenciar o que não se conhece. Ou seja, para proteger adequadamente a sua infraestrutura, é necessário saber quais equipamentos a empresa dispõe ou têm acesso.

Qual é a sua importância?

Empresas do mundo inteiro enfrentam problemas relacionados à ameaças internas, geradas por terceiros ou até mesmo por erros, acidentais ou não, cometidos por colaboradores e ex-funcionários.

Sendo assim, corporações gigantes, como o Google, passaram a adotar o modelo de segurança baseado em Zero Trust, já que o antigo modelo “confiar, mas verificar”, mostrou-se insuficiente para garantir a segurança digital. 

Em 2015, o Escritório de Gestão de Pessoal dos EUA sofreu ataques cibernéticos, motivando a Câmara dos Deputados a sugerir a adoção do Zero Trust por instituições governamentais. Isso porque adotar o conceito de confiança zero garante o controle eficaz de redes, aplicativos e dados. 

Assim, em 2021, o presidente Joe Biden assinou a Ordem Executiva para Melhoria da Cibersegurança da Nação. Essa ordem considera a implantação de políticas baseadas em Zero Trust em todos os órgãos do governo americano. 

Outro importante motivo para aderir ao modelo de segurança baseado em Zero Trust é a possibilidade de proporcionar segurança digital ao trabalho remoto. 

Quais as vantagens dessa abordagem?

Como você viu, adotar o conceito de Zero Trust é essencial para proporcionar cibersegurança às organizações na atualidade. Entre seus benefícios, podemos destacar:

• Diminuição do risco superior ao reduzir a superfície de ataque e controlar o movimento lateral na rede;
• Segurança digital e suporte aprimorados para colaboradores móveis e remotos;
• Defesa de aplicativos e dados, independentemente de estarem on premises ou na nuvem;
• Forte proteção contra ameaças avançadas, como APTs (Ataque Persistente Avançado).

Por fim, a segurança baseada em Zero Trust permite segmentar a rede por identidades, grupo e função, contribuindo para conter ameaças cibernéticas e reduzir eventuais danos. 

Como implementar esse modelo de segurança?

A aplicação do modelo de segurança baseado em Zero Trust exige que os acessos solicitados sejam comprovadamente confiáveis. Para isso, é necessário:

• Classificar dados

O primeiro passo para implementar esse modelo de segurança em sua empresa é segregar e imputar valor nos dados a serem acessados, definindo quem pode acessá-los e como, conforme sua classificação (secreto, confidencial, interno ou público) e urgência. 

• Monitorar ambientes de rede

Para detectar irregularidades, é de suma importância conhecer o tráfego e os meios pelos quais as informações são compartilhadas.

• Mapear riscos

Outra medida essencial é mapear os riscos externos e internos aos quais os sistemas estão expostos. 

• Oficializar a utilização da abordagem

Também é fundamental adequar políticas, procedimentos, manuais e outros documentos ao modelo de segurança baseado em Zero Trust, oficializando a adoção dessa abordagem. 

• Identificar acessos

Por fim, é absolutamente indispensável compreender quais são os tipos de usuários na rede, suas funções e o tipo de acesso que possuem. Com isso, é possível autenticá-los, garantindo um elevado nível de segurança.  

Evolução do Zero Trust

O conceito de Zero Trust surgiu em 2010, como uma expressão cunhada pela Forrester, que era sinônimo da abordagem de segurança microssegmentação e se relacionava à criação de zonas seguras em data centers e soluções em nuvens, utilizadas para proteger individualmente cargas de trabalho. 

Essa abordagem tornou-se útil na medida que os mecanismos de segurança tradicionais se mostraram ineficientes diante de tecnologias como a computação em nuvem, virtualização e dispositivos móveis.

Antes disso, as empresas vinham construindo muros em torno de seus dados confidenciais, que eram transmitidos por meio de dispositivos físicos ou a partir de um ponto de acesso à internet, protegendo, monitorando e controlando essas informações. 

Na prática, é possível proteger dispositivos físicos mediante o gerenciamento de sistemas e antivírus. Porém, a abordagem em profundidade se mostrou insuficiente para serviços de TI executados fora do perímetro de segurança. 

Por esse motivo, os fornecedores de produtos e serviços relacionados à segurança digital têm aderido ao modelo de segurança baseado em Zero Trust desde 2010, incluindo todos os tipos de solução cibernética.

Mais recentemente, a Forrester publicou seu relatório anual “The Forrester Wave: Zero Trust eXtended (ZTX) Ecosystem Providers, Q4 2018”, definindo sete controles considerados princípios básicos dessa abordagem. São eles: 

• Segurança de rede;
•  Segurança de dispositivos;
• Segurança de identidade;
• Segurança de aplicativos;
• Segurança da dados;
• Análise de segurança; e
• Automação de segurança. 

Já o Gartner propôs a abordagem de Avaliação de Confiança e Risco Adaptativos Contínuos (CARTA), que também traz sete princípios, sendo a confiança zero sua primeira etapa. Esse conceito relaciona-se ao equilíbrio entre risco e confiança, considerando a confiança necessária para obter acesso a ativos de alto valor. 

Sobre o PAM

Em geral, as organizações contam com dados sigilosos e ativos digitais que não devem ser acessados por todos os usuários sob o risco de vazamentos gerados por falhas humanas ou até mesmo a ação de hackers, que capturam contas autorizadas para se movimentar pela rede.

Para evitar esse tipo de problema, recomenda-se o uso do Privileged Access Management (PAM), uma ferramenta de segurança digital que possibilita reduzir o privilégio dos usuários ao mínimo necessário para executar suas funções. 

Em resumo, o PAM permite armazenar e salvar credenciais de usuários autorizados na rede e gerenciar suas contas, registrando suas atividades e concedendo acesso apenas se apresentarem justificativas. 

Zero Trust e PAM: como aplicar o conceito de confiança zero no gerenciamento de acesso privilegiado?

Associada ao conceito de Zero Trust, uma solução PAM proporciona segurança digital às empresas. Sua função é promover o gerenciamento de acesso centralizado por meio do controle, armazenamento, segregação e rastreamento das credenciais com acesso ao ambiente de TI.

Desse modo, é possível certificar-se que o acesso está sendo realmente efetuado por um usuário e que este tem permissão para acessar àquele ambiente.

Os principais recursos do PAM que permitem às organizações aplicarem práticas de Zero Trust são:

• Gerenciamento de credenciais

Com o PAM associado ao Zero Trust, é possível definir administradores e grupos de usuários, estipulando seus acessos e permissões e gerenciando o ciclo completo de suas credenciais.

• Segregação de acesso

Essa solução também permite isolar ambientes críticos e detectar atividades suspeitas, evitando problemas decorrentes do acesso não autorizado.

• Workflows de aprovação

As solicitações de acesso do PAM são fáceis de configurar e possibilitam cumprir fluxos de aprovação multinível e validar justificativas concedidas pelos solicitantes. 

• Análise de comportamento

Outra funcionalidade do PAM, que otimiza o modelo de segurança Zero Trust, é o monitoramento das ações dos usuários, que permite identificar e responder à mudanças nos seus padrões de comportamento e perfis de acesso. 

• Acesso não autorizado

O PAM possibilita ainda negar acesso a usuários que estejam fora das políticas da empresa, por exemplo, utilizando a senha de uma credencial não administrada pela solução. 

• Análise das ações

O PAM também analisa atividades efetuadas por usuários e gera alertas que permitem detectar ações inadequadas ou fraudes. 

• Bloqueio de Sessão

Por fim, sempre que houver uma atividade suspeita, o administrador pode bloquear a sessão de usuário em ambientes de TI ou sistemas operacionais. 

Sobre o senhasegura

O PAM senhasegura permite gerenciar de maneira segura credenciais genéricas e privilegiadas, garantindo o armazenamento protegido, segregação de acesso e rastreabilidade de uso.

Com isso, o PAM possibilita às organizações adotarem o Zero Trust e a respeitarem os mais rigorosos controles de acesso a credenciais com privilégios de maneira automatizada e centralizada, prevenindo ataques cibernéticos e vazamento de informações sigilosas. 

Confira alguns benefícios do PAM senhasegura para sua empresa:

• Controle do uso indevido de privilégios;
• Gerenciamento de senhas codificadas com segurança;
• Proteção contra ameaças internas e roubo de dados críticos;
• Monitoramento e registro das atividades realizadas durante sessões privilegiadas;
• Redefinição automática das senhas ou com base em uma programação estabelecida; e
• Emissão de relatórios de auditoria de forma simplificada a partir de um repositório central de dados de auditoria.

Conclusão

Nesse artigo, você viu que:

• O modelo de segurança baseado em Zero Trust recomenda nunca confiar, sempre verificar;
• Isso significa que antes de conceder um acesso privilegiado é necessário verificar quem é o solicitante, qual o contexto da sua solicitação e os riscos oferecidos pelo ambiente de acesso;
• Essa medida possibilita proteger ambientes de TI de ataques externos, malware e ameaças internas;
• Para aplicar o conceito de confiança zero são utilizadas tecnologias avançadas;
• O modelo de segurança Zero Trust é baseado em três aspectos: políticas, automação e visibilidade;
• Grandes corporações, como o Google, utilizam esse conceito em suas práticas;
• Entre os benefícios gerados pelo modelo de segurança baseado em Zero Trust destaca-se a segurança digital aprimorada para equipes móveis e remotas;
• Para implementar esse modelo de segurança, é necessário classificar dados, monitorar ambientes de rede, oficializar a utilização da abordagem e identificar acessos.
• O conceito de Zero Trust surgiu em 2010 e evoluiu até os tempos atuais;
• O PAM é uma solução que possibilita reduzir o privilégio dos usuários ao mínimo necessário para executar suas funções;
• Associado ao conceito de Zero Trust, o PAM garante segurança digital às empresas, promovendo o gerenciamento de acesso centralizado por meio do controle, armazenamento, segregação e rastreamento das credenciais com acesso ao ambiente de TI.

Quer saber como o Zero Trust e o PAM podem contribuir com a segurança digital de sua organização? Entre em contato conosco.