O perímetro de uma organização é cada vez maior, mais dinâmico e difuso, estendendo-se aos próprios dispositivos de acesso dos usuários e aos serviços em nuvem. Portanto, não é mais garantia suficiente confie cegamente na medida em que o acesso e a atividade interna da rede de uma organização são sempre legítimos.
Estima-se que 1 em cada 3 incidentes de segurança tem origem em usuários internos para a própria organização devido descuidos ou atividades maliciosas internas (insiders)ou são baseados no roubo de credenciais legítimas através de ataques de hackers. phishing ou malware.
Figura 1. Fases de um ataque de phishing ou malware com comprometimento das credenciais de um usuário.
Por isso, é necessário acompanhar a transformação digital do negócio com uma transformação equivalente da estratégia de segurança. Isto proporcionará uma nova abordagem que transforma a segurança num facilitador de negócios, aumenta a produtividade e a mobilidade, acelera a adoção da nuvem, melhora a resiliência da infraestrutura e a continuidade dos negócios. Para isso é essencial conhecer o estado da segurança de uma organização e desenhar uma estratégia de segurança cibernética a curto, médio e longo prazo, desenvolvendo um Plano Diretor de Segurança.
Modelos de confiança zero. Começo
Esta transformação da cibersegurança deve ser apoiada por modelos Confiança Zero (Zero Trust), onde são aplicados principalmente 3 princípios básicos:
1. NUNCA CONFIE, SEMPRE VERIFIQUE.
Não confiar que a pessoa que acessa um recurso é sempre quem diz ser ou que o acesso é legítimo por padrão. A identidade de um usuário não é mais suficiente para decidir se o acesso é confiável. Eles devem ser aplicados políticas que minimizam riscos associados a ataques como roubo de credenciais ou roubo de identidade, verificando cada acesso, em todos os momentos e a partir do máximo de dados possível. Estes incluem o identificador do dispositivo a partir do qual é acedido, o local de origem do acesso, a data e hora do acesso ou a frequência dos acessos a partir do dispositivo.
2. DEFINIR PRIVILÉGIO MÍNIMO
Conceda aos usuários o número mínimo de permissões necessárias para realizar seus trabalhos. Nem mais nem menos do que precisam. Deve haver uma necessidade clara e autorização prévia para que um usuário acesse dados ou ativos corporativos. Para tal, deve ser incentivada a utilização de soluções de controlo de acesso baseadas em funções ou atributos, além de realizar uma classificação adequada da sensibilidade dos dados de uma organização (informações pessoais, informações confidenciais, informações confidenciais).
3. ASSUMA A GAP.
Adotar uma mentalidade em que a organização e os seus colaboradores estejam sempre preparados para o “pior cenário” e pode responder adequadamente a um incidente de segurança, facilitando a resiliência da infraestrutura de TI e a continuidade dos negócios. Qualquer atividade na rede de uma organização deve ser considerada hostil por padrão, uma vez que o risco pode vir de fora, mas também de dentro. como comentamos anteriormente. Por esta razão é necessário ter Serviços de monitoramento de segurança contínuo 24 horas por dia, 7 dias por semana, aplicar por padrão a criptografia de todo o tráfego da rede e técnicas de microssegmentação para minimizar o impacto de um possível incidente. Você também deve ter planos comprovados de continuidade de negócios e recuperação de incidentes.
Modelos de confiança zero. Domínios
Estes princípios devem ser aplicados no 5 domínios principais de uma organização:
- Identidade: Usando soluções para gerenciamento centralizado de identidade e acesso. Aplicando soluções de autenticação de múltiplos fatores resistentes a ataques de phishing e avaliando continuamente cada acesso.
- Dispositivos: Com a realização de inventários de dispositivos autorizados, a aplicação de políticas de segurança corporativa nos referidos dispositivos e a utilização de soluções de proteção de endpoints e resposta automática. (Soluções EDR – Detecção e Resposta de Endpoint).
- Redes: Promover e maximizar o isolamento e separação de redes e ambientes (microssegmentação) e criptografia de solicitações de domínio e tráfego de rede interna.
- Formulários: Não presumir que os aplicativos internos são seguros e livres de riscos e projetar uma estratégia apropriada para auditorias técnicas e testes de penetração contínuos.
- Dados: Com uma categorização de sensibilidade de dadosa conceção de políticas de acesso baseadas no menor privilégio, na auditoria contínua do acesso e na encriptação/encriptação de dados tanto na origem como em trânsito.
Modelos de confiança zero. Desafios em ambientes OT/IoT
A expansão de dispositivos IoT, como dispositivos SCADA, sensores ou controladores, em setores como industrial ou utilitários, acrescenta novos desafios à adoção de modelos Zero Trust. Alguns dos principais desafios são:
- Existência de redes ainda mais extensas para cobrir o aumento exponencial de dispositivos.
- Maior heterogeneidade de dispositivoscom diferentes modelos, fabricantes, coexistência de dispositivos legados e atuais…
- Um volume muito grande desses dispositivos não possui recursos de controle de acessosendo baseado em designs muito básicos.
- A camada de segurança e controle de acesso é movida para a própria rede.
Portanto, é necessário levar em consideração uma série de requisitos na hora de definir a estratégia de adoção de modelos Zero Trust nestes cenários:
- Reforçar o registo e a identificação de todos os dispositivos legítimosestabelecendo mecanismos de autenticação baseados na utilização de credenciais renováveis.
- Limite o acesso de uma forma muito granularcom a aplicação estrita do menor privilégio e do isolamento, segmentação e proteção de rede.
- Definir uma revisão contínua de vulnerabilidades e uma estratégia de atualização e correção dos dispositivos.
- Usando soluções para monitorar a atividade desses dispositivos na rede, incluindo capacidades de detecção e resposta.
Conclusões
A adoção de estratégias Zero Trust permite focar a proteção nos dados, aplicações, ativos e serviços críticos de uma organização, mas facilitando, capacitando e priorizando o negócio, sua resiliência e continuidade. Da mesma forma, permite adaptar a segurança de forma dinâmica à transformação do negócio e da infraestrutura de TI e proporcionando uma visão de dentro para fora da organização, destacando a desconfiança.
Mas é importante compreender que esta adoção por si só é um caminho que não pode ser realizado com sucesso se não for feito através de uma estratégia de curto, médio e longo prazo e com um plano de maturidade gradual e abrangente, e acompanhado por um parceiro tecnológico .como o Viewnext, que pode guiar essa jornada.
