Modelo de confiança zero ganha força com especialistas em segurança

"Nunca confie; sempre verifique." Parece senso comum, certo? Esse é o lema por trás de uma estratégia chamada Zero Trust, que está ganhando força no mundo da segurança cibernética. Envolve um departamento de TI verificando todos os usuários antes de conceder privilégios de acesso. O gerenciamento eficaz do acesso às contas é mais importante do que nunca, com 58% das pequenas e médias empresas (SMBs) relatando violações de dados em 2017, de acordo com o Relatório de investigação de violação de dados da Verizon de 2018.

O conceito Zero Trust foi fundado por John Kindervag, ex-analista da Forrester Research e atualmente CTO de campo da Palo Alto Networks. "Precisamos começar a fazer uma estratégia real, e é isso que o Zero Trust permite", disse Kindervag à platéia em 30 de outubro na SecurIT Zero Trust Summit, em Nova York. Ele acrescentou que a idéia de Zero Trust surgiu quando ele se sentou e realmente considerou o conceito de confiança, e como são os atores maliciosos que geralmente se beneficiam das empresas que confiam nas partes que não deveriam.

O Dr. Chase Cunningham se tornou o sucessor da Kindervag como Analista Principal da Forrester ao defender uma abordagem de Acesso de Confiança Zero. "Zero Trust é o que está envolvido nessas duas palavras, significando confiar em nada, não confiar em gerenciamento de senhas, não confiar em credenciais, não confiar em usuários e não confiar na rede", disse Cunningham à PCMag na Zero Trust Summit.

Kindervag usou o exemplo do Serviço Secreto dos EUA para ilustrar como uma organização deve acompanhar o que precisa proteger e quem precisa de acesso. "Eles monitoram e atualizam continuamente esses controles para que possam controlar o que transita no micro perímetro a qualquer momento", disse Kindervag. "Este é um método de proteção executiva da Zero Trust. É o melhor exemplo visual do que estamos tentando fazer na Zero Trust".

Zero Lições Aprendidas na OPM

Um exemplo perfeito de como o Zero Trust pode trabalhar para beneficiar organizações veio do ex-CIO do governo federal dos EUA. Na Zero Trust Summit, o Dr. Tony Scott, que ocupou o cargo de CIO dos EUA de 2015 a 2017, descreveu uma grande violação de dados que ocorreu no Escritório de Gerenciamento de Pessoas (OPM) dos EUA em 2014. A violação ocorreu devido a espionagem estrangeira em que informações pessoais e informações de antecedentes de liberação de segurança foram roubadas para 22, 1 milhões de pessoas, juntamente com dados de impressões digitais de 5, 6 milhões de pessoas. Scott descreveu como não apenas uma combinação de segurança digital e física teria sido necessária para evitar essa violação, mas também uma aplicação eficaz da política de Zero Trust.

Quando as pessoas se candidatavam a um emprego no OPM, elas preenchiam um questionário exaustivo do Formulário Padrão (SF) 86, e os dados eram guardados em uma caverna por guardas armados e tanques, disse ele. "Se você fosse uma entidade estrangeira e quisesse roubar essas informações, teria que invadir esta caverna na Pensilvânia e passar pelos guardas armados. Depois, teria que sair com caminhões de papel ou ter uma máquina Xerox muito rápida ou algo assim. ", Disse Scott.

"Teria sido monumental tentar escapar com 21 milhões de discos", continuou ele. "Mas lentamente, quando a automação entrou no processo do OPM, começamos a colocar essas coisas em arquivos de computador em mídia magnética e assim por diante. Isso tornou muito mais fácil o roubo". Scott explicou que o OPM não conseguiu encontrar o tipo equivalente de segurança efetiva que os guardas armados quando a agência entrou em operação. Após o ataque, o Congresso divulgou um relatório pedindo uma estratégia de Zero Trust para proteger esses tipos de violações no futuro.

"Para combater as ameaças persistentes avançadas que procuram comprometer ou explorar as redes de TI do governo federal, as agências devem adotar um modelo de segurança da informação e arquitetura de TI 'Zero Trust'", afirmou o relatório do congresso. O ex-representante dos EUA Jason Chaffetz (R-Utah), então presidente do Comitê de Supervisão, também escreveu um post sobre o Zero Trust na época, originalmente publicado pela Federal News Radio. "O Escritório de Gerenciamento e Orçamento (OMB) deve desenvolver diretrizes para os departamentos executivos e chefes de agência implementarem efetivamente o Zero Trust, juntamente com medidas para visualizar e registrar todo o tráfego da rede", escreveu Chaffetz.

Zero confiança no mundo real

Em um exemplo do mundo real de uma implementação do Zero Trust, o Google implantou internamente uma iniciativa chamada BeyondCorp destinada a mover controles de acesso do perímetro da rede para dispositivos e usuários individuais. Os administradores podem usar o BeyondCorp como uma maneira de criar políticas granulares de controle de acesso para o Google Cloud Platform e o Google G Suite com base no endereço IP, no status de segurança do dispositivo e na identidade do usuário. Uma empresa chamada Luminate fornece segurança Zero Trust como um serviço baseado no BeyondCorp. O Luminate Secure Access Cloud autentica usuários, valida dispositivos e oferece um mecanismo que fornece uma pontuação de risco que autoriza o acesso ao aplicativo.

"Nosso objetivo é fornecer com segurança acesso a qualquer usuário, de qualquer dispositivo, a qualquer recurso corporativo, independentemente de onde ele esteja hospedado, na nuvem ou no local, sem implantar nenhum agente no terminal ou qualquer dispositivo, como redes privadas virtuais (VPNs), firewalls ou proxies no site de destino ", disse Michael Dubinsky, chefe de gerenciamento de produtos da Luminate, à PCMag na Hybrid Identity Protection (HIP) Conference 2018 (HIP2018) em Nova York.

Uma disciplina chave de TI na qual a Zero Trust está ganhando força rapidamente é o gerenciamento de identidades. Isso é provável porque 80% das violações são causadas pelo uso indevido de credenciais privilegiadas, de acordo com o relatório "Forrester Wave: Gerenciamento de identidade privilegiada, terceiro trimestre de 2016". Os sistemas que controlam o acesso autorizado a um grau mais granular podem ajudar a evitar esses incidentes.

O espaço de gerenciamento de identidades não é novo, e há uma longa lista de empresas que oferecem essas soluções, sendo provavelmente a mais difundida a Microsoft e sua plataforma Active Directory (AD), incorporada no ainda popular sistema operacional Windows Server (OS). No entanto, existem vários players mais novos que podem oferecer não apenas mais funcionalidade que o AD, mas também podem facilitar a implementação e a manutenção do gerenciamento de identidades. Essas empresas incluem players como Centrify, Idaptive, Okta e SailPoint Technologies.

E enquanto aqueles que já investiram no Windows Server podem se recusar a pagar mais por tecnologia em que acreditam que já investiram, uma arquitetura de gerenciamento de identidade mais profunda e com melhor manutenção pode gerar grandes dividendos em violações impedidas e auditorias de conformidade. Além disso, o custo não é proibitivo, embora possa ser significativo. Por exemplo, o Centrify Infrastructure Services começa em US $ 22 por mês por sistema.

Como funciona a Zero Trust

"Uma das coisas que o Zero Trust faz é definir a segmentação da rede", disse Kindervag. A segmentação é um conceito chave tanto no gerenciamento de rede quanto na cibersegurança. Envolve dividir uma rede de computadores em sub-redes, lógica ou fisicamente, para melhorar o desempenho e a segurança.

Uma arquitetura Zero Trust vai além de um modelo de perímetro, que abrange a localização física de uma rede. Envolve "empurrar o perímetro até a entidade", disse Cunningham.

"A entidade pode ser um servidor, um usuário, um dispositivo ou um ponto de acesso", disse ele. "Você empurra os controles para o nível micro, em vez de pensar que construiu um muro realmente alto e que está seguro". Cunningham descreveu um firewall como parte de um perímetro típico. "É um problema de abordagem, estratégia e perímetro", observou ele. "Os muros altos e a grande coisa: eles simplesmente não funcionam".

Para obter acesso a uma rede, um aspecto antigo da segurança era o uso de roteadores, de acordo com Danny Kibel, o novo CEO da Idaptive, uma empresa de gerenciamento de identidades que está saindo do Centrify. Antes da Zero Trust, as empresas verificariam e depois confiariam. Mas com a Zero Trust, você "sempre verifica, nunca confia", explicou Kibel.

O Idaptive oferece uma plataforma de acesso de nova geração que inclui SSO (Logon único), autenticação multifator adaptativa (MFA) e gerenciamento de dispositivos móveis (MDM). Serviços como o Idaptive fornecem uma maneira de criar os controles necessariamente granulares no acesso. Você pode provisionar ou cancelar o provisionamento com base em quem precisa acessar vários aplicativos. "Dá essa capacidade refinada para a organização controlar seu acesso", disse Kibel. "E isso é super importante para as organizações que estamos vendo, porque há muita expansão em termos de acesso não autorizado".

Kibel definiu a abordagem do Idaptive ao Zero Trust com três etapas: verificar o usuário, verificar seu dispositivo e só então permitir o acesso a aplicativos e serviços apenas para esse usuário. "Temos vários vetores para avaliar o comportamento do usuário: localização, velocidade geográfica, hora do dia, hora da semana, que tipo de aplicativo você está usando e, em alguns casos, como está usando esse aplicativo", disse Kibel.. O Idaptive monitora as tentativas de login bem-sucedidas e com falha para ver quando precisa reconsiderar a autenticação ou bloquear completamente um usuário.

Em 30 de outubro, o Centrify introduziu uma abordagem de segurança cibernética chamada Zero Trust Privilege, na qual as empresas concedem o acesso menos privilegiado necessário e verificam quem está solicitando o acesso. As quatro etapas do processo do Zero Trust Privilege incluem verificar o usuário, examinar o contexto da solicitação, proteger o ambiente do administrador e conceder a menor quantidade de privilégios necessária. A abordagem do Zero Trust Privilege da Centrify envolve uma abordagem em fases para reduzir o risco. Ele também traz uma transição do PAM (Privileged Access Management) herdado, que é um software que permite às empresas restringir o acesso a novos tipos de ambientes, como plataformas de armazenamento em nuvem, projetos de big data e até projetos avançados de desenvolvimento de aplicativos personalizados em execução na Web de nível empresarial. instalações de hospedagem.

Um modelo da Zero Trust assume que os hackers já estão acessando uma rede, disse Tim Steinkopf, presidente da Centrify. Uma estratégia para combater essa ameaça seria limitar o movimento lateral e aplicar a AMF em todos os lugares, de acordo com Steinkopf. "Sempre que alguém está tentando acessar um ambiente privilegiado, você precisa ter imediatamente as credenciais e o acesso certos", disse Steinkopf à PCMag. "A maneira de fazer cumprir isso é consolidar identidades e, então, você precisa do contexto da solicitação, ou seja, quem, o que, quando, por que e onde". Depois disso, você concede apenas a quantidade de acesso necessária, disse Steinkopf.

"Você está entendendo o contexto do usuário; nesse caso, pode ser um médico, uma enfermeira ou outra pessoa tentando acessar os dados", disse Dubinsky. "Você pega o contexto do dispositivo no qual eles estão trabalhando, o contexto do arquivo que eles estão tentando acessar e, em seguida, precisa tomar uma decisão de acesso com base nisso."

MFA, confiança zero e práticas recomendadas

Um aspecto fundamental de um modelo de Zero Trust é a autenticação forte, e permitir vários fatores de autenticação faz parte disso, observou Hed Kovetz, CEO e co-fundador da Silverfort, que oferece soluções de MFA. Com a falta de perímetros na era da nuvem, há uma necessidade maior de autenticação do que nunca. "A capacidade de realizar MFA de qualquer coisa é quase um requisito básico do Zero Trust, e é impossível fazer hoje, porque o Zero Trust vem da idéia de que não há mais perímetros", disse Kovetz à PCMag no HIP2018. "Então, qualquer coisa está se conectando a qualquer coisa e, nesta realidade, você não tem um gateway ao qual possa aplicar controle".

Cunningham, da Forrester, delineou uma estratégia chamada Zero Trust eXtended (XTX) para mapear as decisões de compra de tecnologia para uma estratégia de Zero Trust. "Realmente analisamos as sete partes de controle que você precisa para gerenciar um ambiente com segurança", disse Cunningham. Os sete pilares são automação e orquestração, visibilidade e análise, cargas de trabalho, pessoas, dados, redes e dispositivos. Para ser uma plataforma ZTX, um sistema ou tecnologia teria três desses pilares, além dos recursos da interface de programação de aplicativos (API). Vários fornecedores que oferecem soluções de segurança se encaixam em vários pilares da estrutura. O Centrify oferece produtos que tratam da segurança de pessoas e dispositivos, a Palo Alto Networks e a Cisco oferecem soluções de rede, e as soluções Security Guardium da IBM focam na proteção de dados, observou Cunningham.

Um modelo de confiança zero também deve envolver túneis criptografados, uma nuvem de tráfego e criptografia baseada em certificado, disse Steinkopf. Se você está enviando dados de um iPad pela Internet, deseja verificar se o destinatário tem direito de acesso, explicou. A implementação de tendências tecnológicas emergentes, como contêineres e DevOps, pode ajudar a combater o abuso de credenciais privilegiadas, de acordo com Steinkopf. Ele também descreveu a computação em nuvem como estando na vanguarda de uma estratégia da Zero Trust.

Dubinsky da Luminate concorda. Para pequenas e médias empresas, recorrer a uma empresa em nuvem que fornece gerenciamento de identidades ou MFA como serviço transfere essas responsabilidades de segurança para empresas especializadas nessa área. "Você quer descarregar o máximo possível para empresas e pessoas responsáveis ​​por seu trabalho diário", disse Dubinsky.

O potencial da estrutura de confiança zero

Embora os especialistas reconheçam que as empresas estão adotando o modelo Zero Trust, principalmente no gerenciamento de identidades, alguns não vêem a necessidade de grandes mudanças na infraestrutura de segurança para adotar o Zero Trust. "Não tenho certeza de que seja uma estratégia que eu gostaria de adotar em qualquer nível hoje", disse Sean Pike, vice-presidente de programa do grupo de produtos de segurança da IDC. "Não tenho certeza de que o cálculo do ROI exista em um período de tempo que faça sentido. Há várias mudanças na arquitetura e questões de pessoal que, em minha opinião, tornam o custo proibitivo como estratégia".

No entanto, Pike vê potencial para Zero Trust em telecomunicações e IDM. "Eu acho que existem componentes que podem ser facilmente adotados hoje que não exigirão mudanças na arquitetura de atacado - identidade, por exemplo", disse Pike. "Enquanto eles estão associados, meu forte sentimento é que a adoção não é necessariamente uma mudança estratégica em direção à Zero Trust, mas sim uma abordagem para abordar novas maneiras como os usuários se conectam e a necessidade de se afastar de sistemas baseados em senha e melhorar o gerenciamento de acesso", Pike explicado.

Embora o Zero Trust possa ser interpretado como um conceito de marketing que repete alguns dos princípios padrão de segurança cibernética, como não confiar nos participantes da rede e precisar verificar os usuários, ele serve a um objetivo como plano de jogo, de acordo com especialistas. "Sou um grande defensor do Zero Trust, de avançar para esse tipo de mantra estratégico e singular e de defendê-lo dentro da organização", disse Cunningham, da Forrester.

As idéias da Zero Trust introduzidas pela Forrester em 2010 não são novas para o setor de segurança cibernética, observou John Pescatore, diretor de tendências emergentes de segurança do SANS Institute, uma organização que fornece treinamento e certificação em segurança. "Essa é praticamente a definição padrão de segurança cibernética - tente tornar tudo seguro, segmentar sua rede e gerenciar privilégios de usuário", disse ele.

Pescatore observou que, por volta de 2004, uma organização de segurança agora extinta chamada Jericho Forum apresentou idéias semelhantes às da Forrester em relação à "segurança sem perímetro" e recomendou apenas permitir conexões confiáveis. "É como dizer: 'Mude para um lugar que não tenha criminosos e clima perfeito, e você não precisa de um telhado ou portas em sua casa'", disse Pescatore. "A Zero Trust, pelo menos, trouxe de volta o senso comum de segmentação - você sempre segmenta da Internet com um perímetro".

• Além do perímetro: como lidar com a segurança em camadas Além do perímetro: como lidar com a segurança em camadas
• Empreendimento de Nova York busca estimular empregos, inovação em segurança cibernética Empreendimento de Nova York busca estimular empregos, inovação em segurança cibernética
• Como se preparar para sua próxima falha de segurança Como se preparar para sua próxima falha de segurança

Como alternativa ao modelo Zero Trust, a Pescatore recomendou seguir os Critical Security Controls do Center for Internet Security. No final, o Zero Trust certamente pode trazer benefícios, apesar do hype. Mas, como Pescatore observou, seja chamado Zero Trust ou algo mais, esse tipo de estratégia ainda exige controles básicos.

"Não muda o fato de que, para proteger os negócios, você precisa desenvolver processos e controles básicos de higiene de segurança, além de ter uma equipe qualificada para mantê-los funcionando de maneira eficaz e eficiente", disse Pescatore. Isso é mais do que um investimento financeiro para a maioria das organizações, e é uma empresa que precisa se concentrar para ter sucesso.