Recentemente, a agência nacional de segurança dos EUA, a NSA (National Security Agency) publicou a orientação “Embracing a Zero Trust Security Model.”
Este guia mostra como a implantação dos princípios de segurança Zero Trust pode ajudar os profissionais de segurança cibernética a proteger redes corporativas e dados confidenciais com mais eficácia e assertividade.
Mas afinal, o que é Zero Trust?
A NSA responde: "O Zero Trust é um modelo de segurança, um conjunto de princípios de design de sistema e uma estratégia de gerenciamento de sistema e segurança cibernética coordenada com base no reconhecimento de que existem ameaças dentro e fora dos limites tradicionais da rede. O modelo de segurança Zero Trust elimina a confiança implícita em qualquer elemento, nó ou serviço e, em vez disso, requer verificação contínua da imagem operacional por meio de informações em tempo real alimentadas por fontes múltiplas para determinar o acesso e outras respostas do sistema.
O modelo de segurança Zero Trust pressupõe que uma violação é inevitável ou provavelmente já ocorreu, portanto, limita constantemente o acesso apenas ao que é necessário e procura atividades anômalas ou maliciosas.
Zero Trust incorpora monitoramento de segurança abrangente; controles de acesso granulares baseados em risco; e automação da segurança do sistema de maneira coordenada em todos os aspectos da infraestrutura, a fim de focar na proteção de ativos críticos (dados) em tempo real em um ambiente de ameaças dinâmico. Este modelo de segurança centrado em dados permite que o conceito de acesso com privilégios mínimos seja aplicado a todas as políticas de acesso, permitindo ou negando acesso a recursos com base na combinação de vários fatores contextuais. "
Adote um mindset Zero Trust
No documento, a agência recomenda que para lidar de forma adequada com o ambiente de ameaças moderno é necessário:
Monitoramento de sistema coordenado e agressivo, gerenciamento de sistema e recursos de operações defensivas.
Assumir que todas as solicitações de recursos críticos e todo o tráfego de rede podem ser maliciosos.
Presumir que todos os dispositivos e infraestrutura podem estar comprometidos.
Aceitar que todas as aprovações de acesso a recursos críticos incorrem em risco e estar preparado para realizar avaliações rápidas de danos, controle e operações de recuperação.
Além disso, uma solução Zero Trust requer habilidades operacionais que:
Nunca confiem, sempre verifiquem – Trate cada usuário, dispositivo, aplicativo / carga de trabalho e fluxo de dados como não confiável. Autentique e autorize explicitamente cada um com o mínimo de privilégios necessários usando políticas de segurança dinâmicas.
Presumam violação – Operar e defender conscientemente os recursos com a suposição de que um adversário já está presente no meio ambiente. Negue por padrão e examine profundamente todos os usuários, dispositivos, fluxos de dados e solicitações de acesso. Registre, inspecione e monitore continuamente todas as alterações de configuração, acessos a recursos e tráfego de rede em busca de atividades suspeitas.
Verifiquem explicitamente – O acesso a todos os recursos deve ser conduzido de maneira consistente e segura, usando vários atributos (dinâmicos e estáticos) para derivar níveis de confiança para decisões de acesso contextual aos recursos.
Aproveite os conceitos de design Zero Trust
Outras recomendações da NSA ao projetar uma solução Zero Trust são:
Defina os resultados da missão – Derive a arquitetura Zero Trust de requisitos de missão específicos da organização que identificam os Dados / Ativos / Aplicativos / Serviços (DAAS) críticos.
Arquitete de dentro para fora – primeiro, concentre-se na proteção de DAAS essenciais. Em segundo lugar, proteja todos os caminhos para acessá-los.
Determine quem/o que precisa de acesso ao DAAS para criar políticas de controle de acesso – Crie políticas de segurança e aplique-as consistentemente em todos os ambientes (LAN, WAN, endpoint, perímetro, dispositivo móvel, etc.).
Inspecione e registre todo o tráfego antes de agir – Estabeleça visibilidade total de todas as atividades em todas as camadas dos terminais e da rede para permitir análises que podem detectar atividades suspeitas.
Maturidade Zero Trust
A NSA recomenda que os esforços do Zero Trust devem ser planejados como um roteiro de amadurecimento contínuo, desde a preparação inicial até os estágios básicos, intermediários e avançados, com a proteção da segurança cibernética, a resposta e as operações melhorando ao longo do tempo.
A complexidade cada vez maior dos ambientes de rede e a capacidade crescente de ameaças cibernéticas de comprometê-los exige uma mudança no foco defensivo.
A mentalidade Zero Trust concentra-se em proteger dados críticos e caminhos de acesso, eliminando a confiança tanto quanto possível, juntamente com a verificação regular de cada acesso permitido.
Quando implementado de maneira adequada e completa, o Zero Trust é capaz de prevenir, detectar e conter invasões de maneira mais rápida e eficaz do que as arquiteturas e abordagens de segurança cibernética tradicionais e menos integradas.
Entre em contato conosco e descubra como podemos ajudá-lo a proteger o seu negócio!
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!
