Nos últimos anos, se você fosse jogar um bingo de segurança cibernética em conferências, sem dúvida marcaria "blockchain", "defesa em profundidade", "segurança por design" e, recentemente, "confiança zero", também conhecido como Zero Trust. O modelo, inclusive, ultimamente tem chamado a atenção por mudar as defesas de perímetros tradicionais baseados em rede para se concentrar em usuários, ativos e comportamentos. Zero Trust, como o nome indica, pressupõe desconfiar de usuários e dispositivos.
A abordagem Zero Trust emprega um controle de perímetro mais granular com base na identidade (ou seja, usuários), dispositivos, geolocalização e padrões históricos de uso para identificar se algo deve ser confiável na empresa. Existem várias maneiras de colocar o conceito em prática, desde microssegmentação e análise até gestão de identidade e acesso (IAM) e autenticação multifator (MFA).
A segurança Zero Trust é um conceito bem estabelecido no setor de segurança. Mas estamos vendo outro conceito chamando a atenção, o Zero Touch, que complementa o modelo Zero Trust e outros esforços de segurança automatizando áreas que se beneficiam de um processo prático, como o acesso a dados confidenciais.
Mas tudo isso seria mero hype de marketing de produto ou um futuro promissor?
Definindo confiança zero: jamais confie, verifique sempre
Desde que a Forrester cunhou o termo, Zero Trust deixou de ser uma simples visão e passou a ser uma abordagem de segurança cibernética inevitável. De acordo com a Forrester, "O Zero Trust é um modelo de segurança da informação que nega acesso a aplicações e dados por padrão. No entanto, a prevenção de ameaças é alcançada apenas concedendo acesso a redes e cargas de trabalho utilizando políticas informadas por verificação contínua, contextual e baseada em risco entre usuários e seus dispositivos associados." A arquitetura vai além dos endereços IP, portas e protocolos aprovados para validação, como já foi o caso com perímetros tradicionalmente definidos. Mesmo que o tráfego já esteja presente, ele é tratado com confiança zero.
Consequentemente, há uma segurança mais forte que acompanha a carga de trabalho, mesmo quando os perímetros mudam, seja na cloud, contêiner, ambiente híbrido ou on premise.
No entanto, há uma ressalva. A empresa de pesquisa Gartner® prevê que 60% das organizações adotarão a segurança Zero Trust até 2025; mais da metade, no entanto, não conseguirá obter os benefícios. Adotar o modelo Zero Trust, embora "extremamente poderoso", exigiria uma mudança cultural e uma comunicação clara vinculada aos resultados de negócios para ser bem-sucedido. Afinal, não é como simplesmente instalar novos produtos de segurança. Como qualquer outra transformação digital, será necessária uma forte colaboração de parceiros, clientes e do setor para conectar a segurança em todo o ecossistema.
Definindo o modelo Zero Touch: segurança via automação
Errar é humano, mas explorar é o jogo de quem cria as ameaças. Quando se pensa nas pessoas que compõem a equação de segurança cibernética, o relatório de investigações de violação de dados de 2022 (DBIR, na sigla em inglês) aponta que 82% das violações vêm de erros em eventos centrados em humanos. Essa descoberta se alinha com as empresas que buscam estratégias de segurança importantes que mitiguem esse risco.
É aí que entra a segurança Zero Touch, que é um processo em que os dispositivos são configurados e provisionados por um usuário autorizado (leia-se administrador) para automatizar tarefas repetitivas, minimizar pontos de interação humana e reduzir erros.
Obviamente nós, humanos, temos certas habilidades que não podem ser replicadas pela automação de segurança ou pela "máquina". Pelo menos não agora. Mas a máquina ajuda a resolver problemas como falta de habilidades de segurança e ineficiências operacionais nas organizações que, em última análise, contribuem para a postura de segurança. Os sistemas automatizados podem permitir que a resposta a incidentes identifique riscos de segurança que precisam ser priorizados sem ter que verificar tudo. Alerta de fadiga, alguém?
Problemas de segurança que os modelos Zero Trust e Zero Touch corrigem
As infraestruturas digitais não param de evoluir e os pontos de acesso continuam aumentando. Os modelos de segurança reconhecem que, enquanto houver intervenção humana ou confiança inerente haverá possibilidade de problemas de segurança. A exposição ou exploração de dados pode ocorrer propositalmente (por exemplo, por meio de um agente interno mal-intencionado que causa danos à empresa ou um agente externo que compromete as credenciais dos colaboradores) ou acidentalmente (por meio de alguém que fez uma configuração incorreta ou clicou em um e-mail de phishing).
Por isso o setor está percebendo como uma abordagem de segurança de confiança zero complementaria os avanços tecnológicos e a aceleração dos negócios digitais. A adoção de uma abordagem centrada em identidade e baseada em risco estabelece a base de segurança necessária. Com uma enxurrada constante de ameaças cibernéticas enfrentada pelas equipes de segurança, a automação está se tornando uma resposta para lidar com eficiência com phishing comum, riscos internos e outros alertas.
Tanto o modelo Zero Trust quanto o Zero Touch são promissores como modelos de segurança e, juntos, podem funcionar bem na implementação de medidas rigorosas. Modelos bem definidos devem nortear uma infraestrutura mais simplificada, melhor experiência do usuário e defesas de segurança aprimoradas, permitindo assim uma transformação digital segura.
Zero Trust e Zero Touch na prática
Empresas de todo o mundo estão priorizando ideias "resistentes ao tempo" para seus negócios a fim de melhorar a segurança cibernética e obedecer aos regulamentos de proteção de dados. E, para alguns, isso pode significar a implementação dos modelos Zero Trust e Zero Touch como parte da estratégia.
Com o Zero Trust, você terá todas as informações contextuais sobre como os usuários lidam com as aplicações, quando os acessam e onde interagem com os dispositivos a qualquer momento. A autenticação contínua em segundo plano responderá adequadamente às "transações" que o usuário está fazendo. Já as transações de baixo risco previstas podem ser feitas sem interação direta do usuário, enquanto tarefas de alto risco podem exigir verificação ou controles adicionais. A autenticação contínua feita por Zero Trust permite uma experiência Zero Touch para o usuário.
As implementações, no entanto, não são criadas da mesma forma. O problema é que essas abordagens são tão seguras quanto os "blocos de segurança" sobre os quais são construídas. Para começar, uma postura de segurança Zero Trust ainda pode estar longe de ser completamente alcançada, mas grandes empresas de tecnologia começaram a adotar o Zero Trust em suas arquiteturas como parte dos esforços para melhorar a segurança da cadeia de fornecimento e as normas gerais de segurança.
Nandita Bery e Samantha Goyagoy, equipe Infosec da Equinix.