Confie (só) na tecnologia

ENTENDA COMO A ESTRATÉGIA ZERO TRUST PODE AUXILIAR COMPANHIAS A GARANTIR A SEGURANÇA DE SEUS ATIVOS DIGITAIS

Segundo dados da consultoria Juniper Research, a estimativa de perdas globais relacionadas a fraudes digitais pode chegar a cerca de US$ 48 bilhões em 2023. Diante de um cenário tão preocupante, é essencial que as empresas não dediquem apenas esforços, mas também investimento para garantir a saúde de sua cibersegurança.

Uma das maiores tendências atuais nesse sentido é o chamado Zero Trust Network Access. De maneira geral, o conceito tem como base o ato de não confiar em absolutamente nada e ninguém dentro do ambiente de TI. Até o próximo ano, a estimativa é que pelo menos 40% de todo o uso de acesso remoto seja pautado na modalidade — de acordo com a consultoria Gartner.

“O modelo baseia-se na premissa de que nenhum usuário, dispositivo ou tráfego é totalmente confiável — sendo assim, teria potencial para ser comprometido a qualquer momento”, explica Daniel Bortolazo, Gerente de Engenharia e Arquitetura da Palo Alto Networks no Brasil. Diante dessa premissa, todos os aparelhos e seres humanos precisam ser verificados e autenticados continuamente antes de receber acesso a recursos ou dados sensíveis.

Esse processo deve ser feito através de uma abordagem embasada em uma política de cibersegurança muito clara, na qual os acessos sejam controlados com base na identidade. De acordo com Alexandre Nakano, Diretor de Segurança e Networking da Ingram Micro Brasil, isso exige que a autenticação e autorização dos acessos sejam realizadas de maneira constante – e não apenas com um login inicial, como é comum.

Bastante recente, o conceito surgiu em 2010, quando a empresa de pesquisa Forrester Research divulgou um relatório a respeito –criado por John Kindervag, pesquisador da companhia – e sugeriu o uso ao mercado.

COM O TRABALHO REMOTO EM ALTA, O GERENCIAMENTO DE DISPOSITIVOS MÓVEIS TAMBÉM NÃO PODE SER NEGLIGENCIADO PELAS EMPRESAS BRASILEIRAS

“A estratégia tomou maior notoriedade, no entanto, depois que gigantes como Netflix, Coca-Cola, Google e o governo norte-americano começaram a aplicá-la”, explica Bortolazo.

Hoje, esta já é amplamente reconhecida pelo mercado e tem sido usada com maior frequência pelas empresas. “Além disso, vem se tornando ferramenta importante para proteger negócios que têm adotado tecnologias em nuvem e de mobilidade – especialmente com a aceleração do trabalho remoto após a pandemia de covid-19”, aponta Nakano.

Comece hoje

Bortolazo explica que o primeiro passo para instalar o Zero Trust é identificar os ativos críticos – isto é, os dados e sistemas fundamentais para o funcionamento da companhia. Com o foco de proteção definido, chega a hora de identificar quais são os tipos de ameaça em potencial à sua segurança, como um malware ou os golpes de engenharia social. Outro ponto importante para ter sucesso com o Zero Trust é levar o conceito ao pé da letra. Isso significa adotar uma postura que assuma que todo acesso à rede é, de fato, potencialmente malicioso.

Além disso, nesse processo, é essencial não deixar de inspecionar todo o tráfego, e não apenas os usuários em si. Lembre-se de que, na prática, o objetivo do conceito é não apenas impedir, mas também limitar os possíveis impactos de um ataque.

Conceito na prática

Uma arquitetura Zero Trust envolve vários componentes de segurança. Entre eles, Nakano destaca autenticação e verificação de cada usuário (identidade), controle de acesso à informação apenas para pessoas autorizadas, e segmentação da rede para limitar o tráfego e ajudar a reduzir a superfície de ataque (microsegmentação).

“Manter as autenticações e autorizações contínuas utilizando ferramentas como autenticação multifatorial (MFA), senhas fortes e certificados digitais também é uma boa abordagem”, diz o Gerente de Engenharia e Arquitetura da Palo Alto Networks no Brasil. Ele destaca também o modelo de autorizações granulares, no qual os usuários só podem acessar informações e sistemas que são necessários para suas funções dentro da companhia.

“As atividades dos usuários autorizados também devem ser continuamente verificadas e monitoradas, para detectar e impedir atividades suspeitas. O mesmo vale para as questões comportamentais a respeito do uso de informações confidenciais. Se utilizadas de maneira não usual, por exemplo, o acesso em questão deve ser bloqueado”, explica o Diretor de Segurança e Networking da Ingram Micro Brasil.

Com o trabalho remoto em alta, o gerenciamento de dispositivos móveis também não pode ser negligenciado pelas empresas. Por isso, o conceito exige o investimento em sistemas que garantam a segurança desses aparelhos onde quer que estejam.

Afinal, atualmente, estes são grandes portas de entrada para ataques cibernéticos.

“Durante a avaliação da infraestrutura existente é essencial, ainda, que todos os componentes trabalhem de maneira integrada, garantindo um ambiente de segurança abrangente”, destaca Nakano. Somado a isso, os já citados monitoramento e análise seguem como atividades determinantes para responder com maior rapidez às ameaças e anomalias.

“Por fim, é necessário ter em mente que a implementação do modelo Zero Trust é um processo contínuo, que deve ser adaptado às necessidades específicas de cada empresa”, aponta Bortolazo. Segundo ele, a contribuição e a educação dos colaboradores também são fundamentais para garantir a boa adesão. O mesmo vale para a validação contínua de sua postura de segurança e comportamento – que pode mudar ao longo do tempo.

Braço direito das empresas

“A maior vantagem desse conceito é que, ao não confiar em nada e ninguém, as companhias se transformam e se preparam para verificar qualquer acesso antes que informações sejam compartilhadas”, conta Nakano. Além disso, reduz o risco de punições relacionadas à violação das regras da Lei Geral de Proteção de Dados (LGPD).

Para Bortolazo, as principais funcionalidades do Zero Trust são os recursos de automação e integração, o alto controle de fluxo de rede entre todos os ativos (com política de acesso granular), a segmentação de rede, e a minimização do uso de VPNs e firewalls.

“Trata-se de uma postura de segurança bem aprimorada contra as ameaças mais avançadas. Como esta reduz a superfície de ataque e simplifica os quesitos de infraestrutura, a arquitetura ajuda a aumentar a confiança de rede, pois a equipe de TI consegue garantir que os usuários conectemse à internet com segurança – e sem a complexidade associada às abordagens legadas”, conta o Gerente de Engenharia e Arquitetura da Palo Alto Networks no Brasil.

O modelo também diminui a necessidade de implementação de novas tecnologias de segurança com arquiteturas complexas – facilitando a vida das equipes de TI e promovendo a economia de recursos. “Por esses e os demais motivos, Zero Trust é uma das abordagens mais promissoras para proteção de sistemas de dados críticos na atualidade”, garante Bortolazo.

Futuro brilhante

As redes de computadores e sistemas tornam-se mais complexas a cada dia. Por outro lado, os ciberataques têm se mostrado cada vez mais sofisticados. A soma disso gera um cenário no qual as empresas se vêem mais vulneráveis aos ataques – em especial com a maior adoção de tecnologias de virtualização.

Por isso, Nakano alerta que proteger o perímetro não é mais suficiente. “Então, esse modelo que assume que o sistema é hostil – e que a segurança deve ser aplicada em todas as camadas e não somente no tráfego externo – irá garantir maior proteção dos ativos valiosos das empresas.”

Para potencializar essa cultura, Bortolazo explica que é importante que as companhias implementem políticas de segurança cibernética – incluindo treinamento de conscientização para os colaboradores, revisões regulares e testes de penetração para identificar vulnerabilidades no sistema.

O investimento em tecnologias e ferramentas cada vez mais avançadas também será uma tendência impulsionadora para o conceito. Afinal, estimulará a maior aplicação do Zero Trust, transformando-o em padrão de cybersecurity para todas as empresas.