Assumir que todos e tudo são uma potencial ameaça, até prova em contrário. Este é o princípio fundamental da estratégia de segurança Zero Trust. Por outras palavras, exige que todas as pessoas e dispositivos sejam totalmente autenticados antes de acederem a uma rede privada ou aos seus dados, independentemente de estarem dentro ou fora do perímetro da rede.
Coloquemos as coisas nestes termos: enquanto a estratégia de segurança mais tradicional nega o acesso a qualquer pessoa fora da rede e confia, por default, em qualquer pessoa que já esteja dentro do perímetro (o que pode ser problemático, caso um atacante consiga entrar na rede uma primeira vez), a abordagem Zero Trust não confia em ninguém por default e requer a verificação da identidade de todas as pessoas antes de conceder qualquer tipo de acesso.
No entanto, este modelo de segurança tem dividido opiniões: por um lado, algumas organizações ainda acreditam que a implementação do Zero Trust é demasiado cara e demorada; por outro, várias empresas influentes acreditam que é crucial no mundo moderno e pode economizar dinheiro a longo prazo, pois está comprovado que ajuda a prevenir violações de dados e ciberataques.
Antes de tirarmos qualquer conclusão, vamos conhecer os detalhes por trás da abordagem Zero Trust.
A história do Zero Trust
Apesar de ter as suas raízes ainda no século XX – nomeadamente na tese de doutoramento de Stephen Paul Marsh, em 1994 – o termo "Zero Trust" foi cunhado e popularizado por John Kindervag, um analista da empresa de pesquisa de mercado Forrester Research, em 2010. Na altura, foi ele quem introduziu a ideia de que uma organização não deveria confiar em nada nem ninguém, estivesse dentro ou fora da sua rede.
Ajudou bastante que o Google, alguns anos depois, tivesse anunciado a implementação do Zero Trust na sua rede, o que despertou um grande interesse por parte da comunidade tecnológica e de organizações em todo o mundo.
Kindervag e a Forrester Research continuaram a estudar e a aprofundar o conceito na década que se seguiu e, em 2020, publicaram vários relatórios sobre como as organizações poderiam implementá-lo.
5 pilares do Zero Trust
Eis o que diferencia o Zero Trust das abordagens de segurança tradicionais:
- Validação periódica de identidade
Ao fazer login numa rede Zero Trust, essa conexão expira periodicamente para forçar os utilizadores e dispositivos a serem novamente verificados e validados. - Princípio do Privilégio Mínimo (PoLP)
Os utilizadores apenas terão os acessos estritamente necessários, o que ajuda a minimizar a exposição de dados sensíveis. Esta estratégia põe de parte o uso de VPN, uma vez que esta concede acesso a toda a rede, a partir do momento em que os utilizadores se conectam. - Microssegmentação para prevenir movimentação lateral
Consiste em dividir a rede em segmentos menores e isolados. Esta prática ajuda a conter a propagação de um ataque, pois impede que um invasor se mova lateralmente dentro da rede - ou seja, que aceda e comprometa várias partes da rede. - Autenticação Multifator (MFA)
Para que um utilizador seja autenticado, não basta inserir uma password. O Zero Trust segue a abordagem de Autenticação de Dois Fatores (2FA), que é uma camada extra de segurança amplamente utilizada por empresas como o Google e o Facebook. Além da password, é necessário inserir um token de segurança (geralmente um código de seis dígitos enviado para outro dispositivo, como um telemóvel). - Monitorização contínua e encriptação
A abordagem Zero Trust é suportada por ferramentas de monitorização em tempo real para identificar e responder a atividades suspeitas. Também prioriza a encriptação de dados sensíveis, tornando-os ilegíveis para utilizadores não autorizados.
Quais são os benefícios?
De acordo com o Zero Trust Adoption Report 2021 da Microsoft, 96% dos responsáveis por tomadas de decisões de segurança afirmam que o Zero Trust é fundamental para o sucesso das suas organizações.
Mas quais são os benefícios específicos que o Zero Trust traz para a mesa?
- Redução da superfície de ataque e de potenciais danos (devido à microssegmentação);
- Redução do impacto causado por roubo de credenciais ou ataques de phishing (por exigir Autenticação Multifator);
- Tempos de deteção de falhas/ameaças mais rápidos;
- Redução do risco de exposição a dispositivos vulneráveis (como IoT – Internet of Things);
- Melhor desempenho da rede;
- Poupança a longo prazo (em 2022, o custo médio de uma violação de dados atingiu um valor recorde de €4,015 milhões / $4,35 milhões).
O que é o Zero Trust Network Access (ZTNA)?
É como uma VPN, mas otimizada para o modelo de segurança Zero Trust. Basicamente, é a tecnologia que permite que as organizações implementem o Zero Trust.
Ao contrário de uma VPN, o ZTNA concede acesso apenas às aplicações ou dados específicos solicitados, e nega acesso a todas as aplicações e dados por default.
Empresas de topo que seguem os princípios Zero Trust
Entre os maiores players que incorporam práticas Zero Trust na sua oferta de serviços encontramos:
- Google
Uma das primeiras empresas a apoiar publicamente esta estratégia. O seu próprio modelo de Zero Trust chama-se BeyondCorp. - Cisco
A plataforma Cisco SecureX oferece uma variedade de recursos de segurança, incluindo ZTNA. - Microsoft
A sua plataforma Azure Active Directory (AAD) disponibiliza recursos de gestão de identidade e acesso, que é uma prática Zero Trust.
Perspetivas para o futuro
De acordo com o relatório da Microsoft, a maioria das organizações prevê que a sua estratégia de Zero Trust aumente no curto prazo - 73% dos entrevistados espera que o seu orçamento para Zero Trust aumente.
A transição para o trabalho híbrido é um dos fatores que contribuem para a aceleração da adoção do Zero Trust, pois trata-se de um passo fundamental para manter a segurança nesse contexto.
Em conclusão, há um claro progresso na adoção do Zero Trust em diversos mercados e setores, e considerando que as organizações enfrentam ciberameaças cada vez mais sofisticadas, essa tendência veio para ficar.