Zero Trust e Privileged Access Management

Exatamente desse cenário surge o termo Zero Trust, ou Zero Confiança: o conceito reforça a ideia de que o perigo não está só fora do ambiente de uma organização, mas também pode estar do lado de dentro. Esse ambiente pode ser comparado a um reino que possui muralhas, guardas e soldados para proteger seus portões, mas não se preocupa em se atentar a um servo ou membro da corte infiel.

O conceito de Zero Trust surgiu da Forrester – conhecida empresa americana de pesquisa de mercado – através de John Kindervag, um de seus executivos. Esse conceito enfatiza que nenhum tráfego é confiável, seja ele interno ou externo. Qualquer ativo ou dispositivo deve ser sempre analisado e verificado antes de se conectar a infraestrutura da organização e autorizar qualquer tipo de acesso.  

“Sempre verifique, nunca confie” é o conceito por trás do modelo Zero Trust: mesmo que algo tenha sido requisitado ou realizado por algum usuário teoricamente confiável, a recomendação diz que sempre deve ser verificado.   

Ameaças internas são inesperadas, porém muito possíveis:  não apenas terceiros, mas também colaboradores próprios que possuem acesso ou credenciais podem cometer erros acidentais ou propositais. Assim, os recursos, processos e metodologias disponíveis na organização devem ser aplicados na infraestrutura, visando a proteção interna da organização.

Porém, ameaças externas também se relacionam ao conceito de Zero Trust quando um hacker, por exemplo, consegue ultrapassar as barreiras externas de segurança e adentra o ambiente da organização. Se o ambiente não estiver devidamente protegido, o individuo pode encontrar um ambiente de livre acesso e não levantar suspeitas durante sua “visita”.   

Muitas tecnologias e modelos podem auxiliar na implementação de um sistema Zero Trust. No entanto, é necessário ter em mente que estes artifícios devem sustentar a ideia de que qualquer acesso requisitado deve ser provado que é um acesso confiável.

Algumas das ações relacionadas à implementação do modelo Zero Trust:

1. Classificação de dados: segregar e imputar o valor dos dados e informações que serão acessados, para que haja uma determinação de quem poderá acessá-los e de que forma, conforme a sua criticidade e classificação (secreta, confidencial, interna ou pública);
2. Monitoramento do ambiente de rede: analisar, assistir e conhecer o tráfego e as maneiras como as informações são transmitidas para identificar anormalidades facilmente;
3. Mapeamento dos riscos: entender os riscos aos quais os sistemas estão expostos tanto no ambiente externo quanto interno;
4. Documentação: adaptar políticas, procedimentos, manuais e outros documentos da nova realidade, oficializando o uso do modelo Zero Trust;
5. Identificação de papeis e acessos: talvez o ponto mais importante e a base da implementação do modelo Zero Trust seja entender quais os tipos de usuários presentes na rede, suas responsabilidades e o tipo de acesso que possuem. O objetivo é garantir que estes acessos sejam autênticos e confiáveis.

O modelo Zero Trust se concentra nos acessos e atividades realizadas pelos usuários dentro do sistema. Desta maneira, utilizar uma solução que automatiza a compreensão das ações realizadas pelos usuários (acessos e atividades) é fundamental para que o modelo Zero Trust seja devidamente implementado.

Uma solução de Privileged Access Management, ou PAM, no contexto do modelo Zero Trust, pode auxiliar os responsáveis pela Segurança da Informação em qualquer organização a implementar os conceitos associados a esse modelo.

Nesse contexto, o objetivo de uma solução PAM é realizar a gestão de acesso centralizada, a partir do controle, armazenamento, segregação e rastreamento de todas as credenciais de acesso do ambiente. A partir da utilização desse tipo de solução, é possível garantir que o acesso está sendo realizado de fato por um usuário e que este tem permissão de realizar o acesso.

Assim, as seguintes funcionalidades de uma solução PAM auxiliam organizações a implantar as práticas do modelo Zero Trust::

• • Gestão de Credenciais – a solução PAM deve permitir a definição de usuários administradores ou grupo de usuários que terão certos tipos de acessos e permissões em relação um dispositivo-alvo ou sistema, além de gerenciar o ciclo completo destas credenciais;
  • Segregação de Acessos – a solução deve conseguir isolar ambientes críticos e correlacionar eventos para identificar qualquer comportamento suspeito. Assim, é possível evitar que ocorram vazamentos de dados por um acesso não autorizado;

• Workflows de Aprovação – requisições de acesso devem ser facilmente configuráveis, permitindo respeitar fluxos de aprovação multiníveis e validação das justificativas fornecidas pelo usuário solicitante;

• Análise de comportamento – acompanhamento das atividades dos usuários e identificação e resposta a qualquer alteração nos padrões de comportamento e perfis de acessos dos usuários;

• • Acessos não autorizados – monitoramento de acessos realizados fora das políticas da organização como, por exemplo, um usuário que realize acessos diretos a um dispositivo através da senha de uma credencial cadastrada e não gerenciadas pela solução;
  • Análise de ações – análise das ações tomadas pelos usuários e a geração de alertas para identificação de fraudes ou ações indevidas;

• Bloqueio de Sessão – a solução PAM deve permitir a um administrador retomar o controle ou até bloquear uma sessão de usuário em uma série de ambientes ou sistemas operacionais;

Levando em conta as funcionalidades apresentadas, a correta implementação de uma solução PAM permite garantir que o acesso está sendo realizado de uma forma segura, independente do local ou dispositivo de acesso. Assim, credenciais com altas privilégios terão suas atividades monitoradas, assegurando que qualquer anormalidade em seus acessos estará sendo verificada.

O modelo Zero Trust pode até ser relativamente recente, porém em cenários atuais, onde vazamentos de dados são recorrentes, é de fato muito importante para qualquer organização que deseje obter maior maturidade em relação à proteção de seus dados. Utilizar soluções e meios já disponíveis, como uma solução PAM, já é um grande passo que pode ser dado para alcançar a adequação com o Zero Trust. A implementação deste modelo permite criar uma cultura de proteção do ambiente interno com a mesma força e preocupação que se protege o ambiente externo da organização.