Qual é a relação entre zero trust e identidade do usuário? Não há dúvida que a identidade é um componente fundamental de uma abordagem eficaz deste conceito, mas o risco é quando os líderes se concentram tanto nesta parte que se esquecem que há muito mais para se preocupar. Acreditar que alcançar o zero trust se resume à identidade do usuário é um equívoco do conceito. Essa concepção errônea pode gerar vulnerabilidades que, por sua vez, podem resultar em grandes riscos para a segurança cibernética – exatamente aquilo que a empresa estava tentando evitar ao implementar zero trust.
É cada vez mais difícil confiar — A identidade é, de fato, um fator fundamental, e muitas empresas já estabeleceram há anos o duplo fator de autenticação (MFA) para garantir a proteção dos dados confidenciais. No entanto, o cenário de ameaças está em evolução e alguns especialistas agora estimam que até 70% das opções de MFA são fáceis de violar por meio de engenharia social e phishing.
Fora do mundo da segurança cibernética, não confiaríamos em alguém com base em apenas um fator. A confiança é um processo multifacetado que deve ser desenvolvido ao longo do tempo. Da mesma forma, deve haver várias formas de verificação para que o zero trust seja alcançado. Simplificar demais a complexidade desse processo pode dar a falsa sensação de segurança e gerar oportunidade para uma grande violação cibernética.
Um ponto para várias medidas — O zero trust deve começar com a suposição de que seu sistema pode e será comprometido. Quanto mais medidas forem implementadas para protegê-lo, mais podemos confiar nesse sistema. Crucialmente, um único ponto de aplicação de políticas (PEP) deve ser utilizado para controlar o tráfego de informações que fluem dessas diferentes medidas.
A autenticação de identidade é uma das primeiras medidas para o zero trust – e uma das mais usadas – e deve ser parte essencial de qualquer estratégia. Isso inclui também identidade descentralizada, estruturas de MFA mais avançadas e métodos biométricos sem senha. Entretanto, ela não é suficiente por si só.
Aqui estão sete outros elementos que os líderes devem considerar para garantir uma infraestrutura segura e robusta de zero trust:
Dispositivo — Não se trata apenas de quem você é, mas do dispositivo que está usando. Um usuário totalmente autenticado em um dispositivo comprometido ainda é um risco à segurança. O zero trust deve diferenciar dispositivos corporativos e pessoais, examinar a integridade de cada um, os níveis de patch e as configurações de segurança antes de conceder acesso.
Local — Com o aumento do trabalho híbrido, é previsível que os usuários tentem acesso de diferentes locais. Portanto, deve haver um sistema que possa sinalizar tendências incomuns. Por exemplo, se um usuário tentar o login em um dia de Londres e, na hora seguinte, do outro lado do mundo, isso deve ser sinalizado no sistema – não pode passar batido. Da mesma forma, o sistema deve alertar se alguém estiver fazendo login ao mesmo tempo em dois locais diferentes.
App — Com o aumento dos serviços em nuvem, há muitas aplicações concorrentes que executam a mesma função. Portanto, as equipes de segurança devem examinar e aprovar aplicações específicas para uso corporativo e, quando necessário, implementar controles avançados e/ou restrições em aplicações não aprovadas para reduzir a possível perda de dados.
Instância — Dentro de cada aplicação em nuvem há também diferentes tipos de instâncias. Por exemplo, muitas empresas permitem que os funcionários usem apps de nuvem pessoais, como Microsoft 365. No entanto, isso pode gerar um problema, principalmente se dados corporativos confidenciais forem compartilhados com um aplicativo pessoal. Portanto, cada instância de cada aplicação também deve ser compreendida.
Atividade — O zero trust se estende à forma como as aplicações interagem umas com as outras e como acessam os dados. Mesmo dentro da sessão de um único usuário, as ações que uma aplicação realiza em nome desse usuário estão sujeitas a análise.
Comportamento — A identidade pode conceder aos usuários o acesso inicial, mas o comportamento posterior deve ser continuamente examinado. Se um funcionário (ou entidade) acessar grandes volumes de dados repentinamente ou fizer download de arquivos confidenciais, o alarme deverá soar, mesmo que o usuário tenha sido inicialmente autenticado.
Dados — No centro do zero trust estão os dados, ou seja, o principal é garantir a integridade e a confidencialidade dos dados. Isso significa criptografar os dados em repouso e em trânsito e monitorar os padrões de acesso aos dados em busca de anomalias, independentemente da identidade do usuário. Isso incluiria medidas para automatizar a categorização de dados e a implementação de controles específicos ou aprimorados, caso essa categoria exija.
É inegável que a identidade é a base do modelo de zero trust, mas ela continua sendo apenas uma peça de uma estrutura complexa. Se a estratégia estiver fixada excessivamente na identidade, a empresa estará se preparando para o fracasso e correndo o risco de sofrer o tipo de violação cibernética que o zero trust foi criado para evitar.
O verdadeiro zero trust só é alcançado quando há uma abordagem integrada e holística que considera todos os pontos de contato, usuários e dispositivos. Ao incorporar todos os oito elementos em sua abordagem de zero trust (incluindo a identidade), é possível operar com muito mais confiança e a segurança pode se tornar um verdadeiro facilitador, viabilizando a inovação e a adaptação a qualquer necessidade da empresa, seja ela a adoção de novas aplicações, integração de IA, expansão para novos mercados ou incentivo ao trabalho híbrido.
. Por: Neil Thacker, CISO para a região EMEA da Netskope.