A verdade é que nunca se pode ter um ambiente sem confiança. No sentido literal, alcançar a confiança zero significa eliminar qualquer interação, e ninguém quer isso. Qualquer empresa em rede precisa ter algum grau de confiança para operar.
Steve Riley (*)
Todo mundo adora falar de “zero trust”, por diversas razões. A palavra “zero” tem um papel importante no universo da segurança da informação, como vulnerabilidades de dia zero. Mas também é um termo simples e chamativo, e por isso acaba se encaixando bem nas estratégias de marketing. Vender “zero trust” como uma solução sugere que todos os problemas simplesmente irão desaparecer, e tudo vai ficar muito mais fácil, se ninguém tiver que se preocupar com a confiança.
É justamente por isso que acabei me aborrecendo um pouco com esse termo. Quando ele é usado como um substantivo e não como um adjetivo para descrever algo, se torna uma falsa promessa. A verdade é que nunca se pode ter um ambiente sem confiança. No sentido literal, alcançar a confiança zero significa eliminar qualquer interação, e ninguém quer isso. Qualquer empresa em rede precisa ter algum grau de confiança para operar.
O que a maioria das pessoas quer dizer quando usam “zero trust” é a remoção da confiança implícita, e que normalmente é um alvo. O exemplo clássico disto é uma VPN. Se um empregado remoto se conecta a uma VPN, isso dá a ele um endereço IP em outra rede e ele pode ir a qualquer lugar que essa rede permita. Isso significa um alto grau de confiança implícita e os cibercriminosos adoram abusar desse tipo de liberdade.
É preciso começar a conversar sobre novas formas de reduzir os riscos atuais que existem devido a esse excesso de confiança implícita, buscando um equilíbrio entre bloquear tudo ou deixar o ambiente sem restrições.
Ao pensar em redes zero trust, se tirarmos toda a confiança implícita que vem com um endereço IP, e em vez disso aplicarmos princípios de confiança contínua e adaptativa, fica possível dar às pessoas acesso somente ao que elas precisam, somente quando precisam, e nada mais.
Para fazer qualquer coisa, é preciso pessoas para interagir com recursos e dados. Mas essa interação não tem que ser tudo ou nada. A segurança moderna deve ser capaz de permitir a avaliação contínua de quanta confiança um usuário deve obter para cada interação, com base em uma variedade de peças de contexto. Não apenas quem é o usuário, mas também variáveis como a qualidade de seu dispositivo, onde ele está e o nível de sensibilidade dos dados que estão sendo solicitados.
Gestão de identidade
Outro slogan moderno é “A identidade é o novo perímetro”. Qualquer projeto que vise reduzir a confiança implícita começa com uma base sólida de gestão de identidade e acesso (IAM). Mas, na realidade, a identidade é apenas um ponto em uma série de elementos contextuais necessários para se avaliar e conceder confiança de forma eficaz.
A identidade é universal, é fácil saber quem é o usuário humano. Quase sempre dá para identificar o dispositivo. Também é possível saber quais aplicações e serviços estão envolvidos, pois eles também possuem identidades. Mas não basta apenas autenticar uma aplicação. Ela também precisa se autenticar para o usuário, para que ele saiba que não está interagindo com algo que esteja tentando falsificar os segredos corporativos. Esta é a ideia que baseia a identificação e a autenticação mútua.
Isso significa que o contexto é o novo perímetro. Quando há visibilidade de todas as informações contextuais que envolvem uma interação, fica possível tomar uma decisão inteligente sobre o quanto de confiança deve se estender sob circunstâncias específicas e confirmadas. Ao mesmo tempo, é preciso ser capaz de avaliar continuamente essas condições. Se algo dentro do contexto mudar, então geralmente o nível de confiança da interação também precisa mudar.
Por exemplo, se um administrador estiver realizando uma função administrativa dentro de um conjunto de circunstâncias bastante normais (por exemplo, tempo, localização e dispositivo), ele está autorizado a desempenhar uma função administrativa não tão comum. Ainda assim, ele não possui implicitamente os direitos de admin por todo o tempo. Os privilégios são elevados somente quando eles estão realizando essas tarefas de admin em contextos de baixo risco.
Outro exemplo seria um funcionário viajando por alguma região do mundo que pode ser arriscada para certos tipos de dados. Se a interação do usuário começa com dados relativamente inofensivos, tudo bem. Mas se eles se moverem para interagir com dados que são propriedade intelectual confidencial, com base na localização física é possível restringir o acesso apenas para leitura em um navegador, ou até restringir totalmente o acesso.
Rumo a uma nova era: a segurança centrada no usuário
A forma tradicional de pensar sobre os perímetros ficou ultrapassada e não tem mais utilidade alguma. Em um mundo moderno e hiperconectado não há mais um único data center, agora são muitos polos de dados. É preciso implementar mecanismos que possam atribuir automaticamente apenas a confiança suficiente para a situação específica.
A política deve seguir os dados, não importa para onde eles vão, e deve oferecer o máximo de acesso possível dentro do contexto das exigências do negócio. Como parte disto, a equipe de segurança da informação precisa de uma reforma moderna, migrando do “Departamento do Não” para o “Departamento do Sim”.
Embora a simplicidade do “zero trust” absoluto seja sedutora, o conceito precisa ser aplicado a algo que é um pouco mais complexo e mais útil para reduzir o risco no mundo real. Se for implementado corretamente, um modelo de confiança adaptativa e contínua oferece uma abordagem realmente centrada nos usuários, dando às pessoas certas o nível certo de segurança.
(*) CTO de Campo da Netskope