Assumir que todos e tudo são uma potencial ameaça, até prova em contrário. Este é o princípio fundamental da estratégia de segurança Zero Trust. Por outras palavras, exige que todas as pessoas e dispositivos sejam totalmente autenticados antes de acederem a uma rede privada ou aos seus dados, independentemente de estarem dentro ou fora do perímetro da rede.

 

Coloquemos as coisas nestes termos: enquanto a estratégia de segurança mais tradicional nega o acesso a qualquer pessoa fora da rede e confia, por default, em qualquer pessoa que já esteja dentro do perímetro (o que pode ser problemático, caso um atacante consiga entrar na rede uma primeira vez), a abordagem Zero Trust não confia em ninguém por default e requer a verificação da identidade de todas as pessoas antes de conceder qualquer tipo de acesso.


No entanto, este modelo de segurança tem dividido opiniões: por um lado, algumas organizações ainda acreditam que a implementação do Zero Trust é demasiado cara e demorada; por outro, várias empresas influentes acreditam que é crucial no mundo moderno e pode economizar dinheiro a longo prazo, pois está comprovado que ajuda a prevenir violações de dados e ciberataques.


Antes de tirarmos qualquer conclusão, vamos conhecer os detalhes por trás da abordagem Zero Trust.

 

A história do Zero Trust

Apesar de ter as suas raízes ainda no século XX – nomeadamente na tese de doutoramento de Stephen Paul Marsh, em 1994 – o termo "Zero Trust" foi cunhado e popularizado por John Kindervag, um analista da empresa de pesquisa de mercado Forrester Research, em 2010. Na altura, foi ele quem introduziu a ideia de que uma organização não deveria confiar em nada nem ninguém, estivesse dentro ou fora da sua rede.


Ajudou bastante que o Google, alguns anos depois, tivesse anunciado a implementação do Zero Trust na sua rede, o que despertou um grande interesse por parte da comunidade tecnológica e de organizações em todo o mundo.

 

Kindervag e a Forrester Research continuaram a estudar e a aprofundar o conceito na década que se seguiu e, em 2020, publicaram vários relatórios sobre como as organizações poderiam implementá-lo.

 

5 pilares do Zero Trust

Eis o que diferencia o Zero Trust das abordagens de segurança tradicionais:

  1. Validação periódica de identidade
    Ao fazer login numa rede Zero Trust, essa conexão expira periodicamente para forçar os utilizadores e dispositivos a serem novamente verificados e validados.

  2. Princípio do Privilégio Mínimo (PoLP)
    Os utilizadores apenas terão os acessos estritamente necessários, o que ajuda a minimizar a exposição de dados sensíveis. Esta estratégia põe de parte o uso de VPN, uma vez que esta concede acesso a toda a rede, a partir do momento em que os utilizadores se conectam.

  3. Microssegmentação para prevenir movimentação lateral
    Consiste em dividir a rede em segmentos menores e isolados. Esta prática ajuda a conter a propagação de um ataque, pois impede que um invasor se mova lateralmente dentro da rede - ou seja, que aceda e comprometa várias partes da rede.

  4. Autenticação Multifator  (MFA)
    Para que um utilizador seja autenticado, não basta inserir uma password. O Zero Trust segue a abordagem de Autenticação de Dois Fatores (2FA), que é uma camada extra de segurança amplamente utilizada por empresas como o Google e o Facebook. Além da password, é necessário inserir um token de segurança (geralmente um código de seis dígitos enviado para outro dispositivo, como um telemóvel).

  5. Monitorização contínua e encriptação
    A abordagem Zero Trust é suportada por ferramentas de monitorização em tempo real para identificar e responder a atividades suspeitas. Também prioriza a encriptação de dados sensíveis, tornando-os ilegíveis para utilizadores não autorizados.

 

Quais são os benefícios?

De acordo com o Zero Trust Adoption Report 2021 da Microsoft, 96% dos responsáveis por tomadas de decisões de segurança afirmam que o Zero Trust é fundamental para o sucesso das suas organizações.


Mas quais são os benefícios específicos que o Zero Trust traz para a mesa?

  • Redução da superfície de ataque e de potenciais danos (devido à microssegmentação);
  • Redução do impacto causado por roubo de credenciais ou ataques de phishing (por exigir Autenticação Multifator);
  • Tempos de deteção de falhas/ameaças mais rápidos;
  • Redução do risco de exposição a dispositivos vulneráveis (como IoT – Internet of Things);
  • Melhor desempenho da rede;
  • Poupança a longo prazo (em 2022, o custo médio de uma violação de dados atingiu um valor recorde de €4,015 milhões / $4,35 milhões).

 

O que é o Zero Trust Network Access (ZTNA)?

É como uma VPN, mas otimizada para o modelo de segurança Zero Trust. Basicamente, é a tecnologia que permite que as organizações implementem o Zero Trust.


Ao contrário de uma VPN, o ZTNA concede acesso apenas às aplicações ou dados específicos solicitados, e nega acesso a todas as aplicações e dados por default.

 

Empresas de topo que seguem os princípios Zero Trust

Entre os maiores players que incorporam práticas Zero Trust na sua oferta de serviços encontramos:

  • Google
    Uma das primeiras empresas a apoiar publicamente esta estratégia. O seu próprio modelo de Zero Trust chama-se BeyondCorp.
  • Cisco
    A plataforma Cisco SecureX oferece uma variedade de recursos de segurança, incluindo ZTNA.
  • Microsoft
    A sua plataforma Azure Active Directory (AAD) disponibiliza recursos de gestão de identidade e acesso, que é uma prática Zero Trust.

 

Perspetivas para o futuro

De acordo com o relatório da Microsoft, a maioria das organizações prevê que a sua estratégia de Zero Trust aumente no curto prazo - 73% dos entrevistados espera que o seu orçamento para Zero Trust aumente.


A transição para o trabalho híbrido é um dos fatores que contribuem para a aceleração da adoção do Zero Trust, pois trata-se de um passo fundamental para manter a segurança nesse contexto.


Em conclusão, há um claro progresso na adoção do Zero Trust em diversos mercados e setores, e considerando que as organizações enfrentam ciberameaças cada vez mais sofisticadas, essa tendência veio para ficar.
Partilha este artigo