Zero Trust Model, o que é e como aplicar

postado em: Cibersegurança 0

Introdução

O zero trust model, que em português seria algo como modelo de confiança zero, é um conceito de cibersegurança que parte do princípio que podem ocorrer invasões vindas de usuário de fora mas também de dentro da rede.

Ou seja, é uma estratégia que visa validação e autorização de todos os usuários, independente da sua função na empresa, para garantir o máximo de segurança da informação.

A Forrester, empresa norte-americana de pesquisa de mercado e criadora do conceito Zero Trust em 2010, sugere a linha de pensamento em que as empresas jamais devem confiar em qualquer usuário que entre no seu perímetro, portanto, deve estabelecer procedimentos de verificação e autorização a todos, sem distinção.

Então, vamos entender mais sobre o zero trust model e também as formas de aplicá-lo na sua empresa para otimizar a sua cibersegurança.

zero trust o que é

O que é Zero Trust?

O nome é bem adequado, pois já indica exatamente do que se trata esse modelo de segurança da informação, baseado na premissa de que não se pode confiar em ninguém, desde o dono até o estagiário de uma empresa.

Quando a gente pensa na estrutura de uma companhia, alguns cargos naturalmente têm mais acessos que outros, afinal, ninguém pensa que um dos sócios, por exemplo, pode vazar uma informação.

Porém, o modelo zero trust propõe a ideia de que as vulnerabilidades podem vir de qualquer lugar, se não houver as devidas autorizações e validações dos usuários constantemente.

Assumir que um usuário que está acessando de dentro da rede não seja um invasor, abre uma brecha muito grande para ataques hacker, então deve-se desconfiar de todo mundo.

Não entenda isso como algo negativo, porque o intuito é apenas ser cauteloso com as verificações, pois o que muitos empresários não se dão conta é que o hack social é uma das táticas mais utilizadas.

Ou seja, usando um email com anexo infectado aplicando um phishing, alguém de fora pode se passar por algum funcionário e conseguir acessar o sistema de dentro da sua rede.

Portanto, com uma validação constante, as chances de barrar a entrada do invasor são bem maiores.

Como funciona o Zero Trust?

Para entender, vamos pensar no mundo analógico para fazer um paralelo.

Imagine que você é o dono de uma empresa, e sempre que chega com seu carro na portaria, abre o vidro para o porteiro ver que é você antes de liberar sua entrada.

Com o passar do tempo, você passa a conhecer bem o porteiro e vice-versa, então muitas vezes, só de ver seu carro chegando ele já libera a cancela sem fazer as devidas conferências, afinal, não tem como ser outra pessoa não é mesmo?

Num cenário hipotético onde alguém roube seu carro, ou mesmo chegue com um veículo muito parecido, as chances são que o porteiro libera a cancela sem conferir.

No aspecto digital é exatamente a mesma coisa, então aquela ideia de “poxa, eu vou ter que fazer login todo dia mesmo?” no modelo zero trust a resposta é sim.

Pode variar de cada tipo de modelo, mas na prática são todos muito parecidos e consiste em fazer a validação do usuário em toda e qualquer solicitação de acesso, mitigando assim as chances de um invasor conseguir entrar na rede.

zero trust história

História do Zero Trust: como surgiu e por que se tornou tão importante

O termo foi cunhado em 1994 pelo Stephen Paul Marsh, na sua tese de doutorado em segurança da computação, e partindo da premissa de que a confiança era um recurso finito que poderia ser calculado matematicamente e transcendia aspectos da moralidade humana e da ética.

O conceito começou a ser aplicado nas arquiteturas de TI bem mais a frente, e um dos marcos foi em 2009, quando o Google implementou o conceito nos seus servidores.

A adoção do modelo zero por parte de grandes empresas foi fundamental

O fato do Google ter implementado foi um marco porque estimulou que grandes empresas fizessem o mesmo, e assim tanto o termo quanto as práticas de zero trust foram ganhando popularidade no mercado.

Algo parecido a esse tipo de prática já era aplicado em agências do Governo Americano, principalmente após escândalos de vazamento de informação, então não demorou até as grandes empresas entenderem o quanto seus dados são valiosos.

Os princípios da arquitetura zero trust

Em tese, o modelo zero trust se baseia em 5 princípios:

  • Todo usuário de uma rede sempre será considerado hostil 
  • Ameaças externas e internas estão atacando a rede o tempo todo
  • A confiabilidade da rede não pode ser definida apenas por sua localidade
  • Todos os dispositivo, fluxo de rede e usuário sempre serão autenticados e autorizados
  • As políticas devem ser calculadas a partir de tantas fontes de dados possíveis e precisam ser dinâmicas

Esses princípios são a base do conceito zero trust, e aí vale para arquitetura de T.I ou qualquer outra aplicação que vise aumentar a segurança de um local ou sistema.

Fontes de dados e serviços de computação: todos são recursos

Toda informação produzida ou armazenada nos servidores da sua empresa, bem como os softwares utilizados, tudo isso é vulnerável e precisa de validação prévia dentro do modelo zero trust.

Quando pensamos em invasão de forma geral, imaginamos o hacker acessando o computador como um todo, mas muitas vezes, basta um acesso ao site da sua empresa para que ela consiga entrar na sua rede.

Por isso, mantenha softwares sempre atualizados e crie barreiras para dificultar a entrada não autorizada, e para isso, considerar o zero trust model pode ser uma solução e tanto.

Proteger toda a comunicação independente da localização

Aquele servidor secreto que só os gerentes conhecem, pode parecer seguro para você, mas considerando a metodologia de confiança zero, ele está tão vulnerável quanto qualquer outro sistema.

Isso vale para arquivos em nuvem, armazenados em HDs externos e até documentos físicos, pois considerando que o objetivo dos hackers é extrair informação, qualquer brecha pode ser explorada.

Por isso o zero trust é tão eficiente, pois trabalha com a ideia de que se algo pode dar errado, é exatamente ali que o erro vai acontecer, por mais improvável que pareça no primeiro momento.

É seguir uma política de que ninguém é confiável, nem você mesmo.

Conceder acessos somente para o que é necessário, sem privilégios

Sem essa ideia de acesso único, onde no primeiro login o usuário já pode usufruir de toda informação contida ali no sistema.

Quando falamos de confiança zero, é sem privilégios.

Imagine que você deixe a visita entrar na sua casa, e quando menos percebe ela já está no seu quarto, abrindo a geladeira, usando o banheiro e por aí vai.

Isso não seria nada agradável, certo? O mínimo que se espera é que a pessoa peça permissão para usar o banheiro ou mesmo para pegar algo de geladeira, e isso vale para os sistemas de uma empresa.

Portanto, se o usuário pediu acessos a X dados, e agora vai precisar de dados Y, terá que solicitar acesso mais uma vez.

Nunca confiar: sempre verificar os acessos

“Ele é o gerente, pode liberar.” É após frases como essas que um sistema é invadido, por isso que o zero trust model entende todos os usuários como iguais, sem distinção por cargos ou hierarquias.

Acredite, os hackers estão cada vez mais sofisticados, e se você der privilégios de acesso a um usuário, é justamente ele que será o alvo dos ataques.

Monitoramento contínuo

Esse é outro conceito do modelo zero confiança, não basta pedir autorização para entrar, tem que ter alguém ali de olho no que o usuário está fazendo.

Isso serve para notar quando há alguma irregularidade no comportamento, que se percebido pode ser removido da rede na hora.

Hoje em dia, com o aumento dos trabalhos em home office, nada impede que após autenticado o dispositivo do usuário, outra pessoa acesse a máquina, portanto, ao notar um padrão de comportamento não usual, o gestor do sistema pode remover os acessos por segurança.

Uso das informações monitoradas para melhoria da segurança

O monitoramento constante também ajuda para que sejam aplicadas melhorias na cibersegurança como um todo, pois observando os padrões dos usuários, é possível estabelecer rotinas de acesso mais adequadas a cada necessidade.

A segurança da informação está acima de tudo, porém, nada impede que seu time de T.I. consiga usar estratégias para que a produtividade não seja afetada por tantas verificações de autenticidade.

Nesse ponto, ter dados bem completos dos usuários é fundamental para que estratégias possam ser desenvolvidas sem que se comprometa a segurança.

zero trust componentes

Componentes da arquitetura zero trust

A metodologia zero trust não é algo simples, e na verdade compete em vários princípios como já mencionamos e deve ser aplicada de ponta a ponta dos sistemas na empresa.

Como falamos no exemplo lá em cima, não basta uma estratégia de zero trust nas suas redes, se a entrada de qualquer pessoa no servidor é facilitada, é preciso que o conceito seja aplicado em toda estrutura

Falando dos sistemas digitais em si, a arquitetura deve ser pensada para dar a você o controle e gestão de todos os acessos.

ZTNA: explicamos melhor para você

Zero Trust Network Access é um dos modelos mais utilizados na cibersegurança baseada em confiança zero.

Com ele, é possível controlar os fluxos de rede entre todos os ativos, verificar identidade e conceder acesso à nuvem, e até conceder permissão para aplicações específicas e não a rede toda.

Outro recurso do ZTNA é a autenticação multifator (MFA) que cria mais uma camada de segurança para o acesso.

Além disso, tem muitas outras vantagens a oferecer que sua empresa precisa conhecer.

zero trust vantagens

Vantagens de adotar o modelo zero trust

Com algumas tecnologias de ZTNA, você pode conceder aos usuários privilégios mínimos a todas as aplicações, eliminar VPN e ainda melhorar o desempenho das aplicações.

E tudo isso pode ser feito também aos funcionários remotos, pois há sistemas que aplicam o conceito também a segurança em nuvem, dando bastante liberdade aos seus funcionários e tranquilidade a você gestor.

Acesso seguro para funcionários e parceiros

No modelo confiança zero, você é quem tem o controle de todos os acessos e em vários níveis de permissão, portanto, pode conceder aos funcionários e até parceiros, somente as informações pertinentes.

Isso ajuda a manter o ambiente da sua rede bem mais seguro, e permite que colaboradores possam trabalhar de forma remota, sem que isso represente qualquer risco para a empresa.

Mais segurança, menos ataques mal-intencionados

Com esse recurso de conceder acesso somente a partes específicas do seu sistema, mesmo na hipótese de um ataque mal-intencionado, o usuário não conseguirá fazer um grande estrago, pois está limitado aquele acesso mínimo.

Arquitetura menos complexa: economia de tempo e recursos de TI

Toda a implementação de uma arquitetura zero trust é bem mais simples, pois cada acesso é validado, então é um trabalho ativo e automatizado por um bom software, que vai economizar tempo e recursos do seu time de TI.

Uma solução robusta de ZTNA vai garantir uma ótima proteção para os dados da sua empresa, com muito menos esforço empregado.

O que uma organização precisa para implementar Zero Trust?

Se você entender o conceito de zero trust model, é possível aplicá-lo em todas as áreas da sua empresa, pois acredito que você não faça grandes acordos sem antes a elaboração de um contrato, e isso não quer dizer que você desconfie da outra parte, mas é um protocolo que garante segurança jurídica.

Na cibersegurança o princípio é o mesmo, então, não é porque o CEO está na empresa há décadas que não deva ser autenticado, afinal, é um procedimento de segurança que nada tem a ver com confiar ou não na pessoa.

E a melhor forma de ter essa segurança nos seus sistemas é implementando uma solução de ZTNA eficiente para o seu negócio.

Aqui mesmo na Vantix, oferecemos uma solução de segurança da informação que visa proteger e corrigir todas as brechas que possam existir nos seus sistemas, sem falar na nossa ferramenta de pentest que simula ataques a fim de encontrar vulnerabilidades que passam despercebidas à primeira olhada.

Mas quando o assunto é o modelo de confiança zero, temos o que você precisa.

Conheça a solução Zero Trust da Vantix para ter uma proteção 360º na sua organização. Clique e veja todas as informações!

Conclusão

A segurança das informações da sua empresa é algo extremamente valioso, então não dá para tratar isso de qualquer jeito, é preciso se resguardar em todos os pontos.

Aplicando um modelo zero trust nos seus sistemas, você garante várias camadas de segurança nos acessos dos usuários e ainda pode controlar o quanto cada um terá de informações disponíveis.

De fato é uma forma bem eficiente de aprimorar a sua cibersegurança, por isso, vale a pena conhecer o que a Vantix pode fazer por você.

Seguir Team VIVA:
Especialistas em Cibersegurança e Privacidade de Dados, Pentest, SOC, Firewall, Segurança de API e LGPD.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *