A ironia da confiança zero

A confiança zero é um dos termos menos compreendidos da segurança cibernética, no entanto, é o mais moderno. Olhando para os últimos anos, pode-se facilmente entender o porquê. Hoje em dia, a confiança está em falta. Dados os aumentos exponenciais nos ataques de ransomware e cryptojacking para aumentar as tensões geopolíticas, estes são tempos difíceis – especialmente quando se trata de administrar uma empresa. Portanto, não é surpresa que o conceito de “confiança zero” e suas supostas implicações se refiram a uma ampla gama de empresas.

A ironia é que, para ativar uma estrutura de confiança zero, você precisa ter um repositório altamente validado de identidades, ativos, aplicativos e redes nos quais possa confiar.

Então, o que é exatamente a confiança zero?

Embora os motivadores das conversas sobre segurança cibernética possam ter mudado – de um boom da distribuição da força de trabalho na era da pandemia para uma mudança em direção a infraestruturas de nuvem híbrida – o termo “confiança zero” não mudou. Cunhado pela primeira vez em 1994, o conceito foi posteriormente desenvolvido em uma filosofia de segurança holística pelo ex-analista da Forrester, John Kindervag. O termo circulava anteriormente em todo o setor como políticas de “negar por padrão” ou “nunca confiar, sempre verificar”.

Simplificando, a confiança zero é uma estratégia de segurança. De forma mais ampla, é uma mentalidade de segurança corporativa, que considera todos os terminais e contas como não confiáveis. Enquanto outros sistemas de segurança – como a filosofia de perímetro preferida – podem exigir apenas autenticação baseada em localização ou de dois fatores, com a confiança zero, os usuários e aplicativos recebem acesso apenas quando e onde precisam.

Ao negar o acesso por padrão, uma abordagem de confiança zero impõe um sistema dinâmico e contínuo de verificação para usuários e seus dispositivos. Na situação atual, na qual as violações de dados não são mais uma questão de saber se ocorrerão, mas de quando ocorrerão, a confiança zero permite que as empresas protejam melhor os dados e minimizem o impacto potencial de um ataque, além de facilitar uma resposta rápida e mais precisa.

Hotel de perímetro versus hotel de confiança zero

Imagine que a rede da sua empresa é um hotel em que o acesso aos quartos é regulado com cartão de acesso do tipo chave mestra. Antes, quando os visitantes faziam check-in neste hotel – vamos chamá-lo de hotel de perímetro – eles passavam por um breve processo de verificação de identidade antes de receber o cartão de acesso. Com o cartão de acesso em mãos, eles tinham mais ou menos autonomia, com acesso a todos os quartos do hotel, exceto aqueles que estavam especificamente trancados de outra forma.

Quando os visitantes fazem check-in no hotel de confiança zero, no entanto, a situação é inversa. Mesmo após o processo de check-in muito mais completo do hotel, o cartão de acesso do visitante não funciona mais como uma chave mestra de acesso total. Nesse cenário, todas as portas estão trancadas para eles, exceto aquelas que foram especificamente destrancadas. Eles podem solicitar acesso a algumas dessas portas destrancadas, mas isso só será concedido no momento em que for absolutamente necessário.

Na verdade, no hotel de confiança zero, o cartão de acesso tem menos poder do que isso. Os visitantes obtêm acesso verificando quem são por meio de muitos fatores diferentes – todos significativamente mais precisos do que aquele pequeno retângulo de plástico, que pode ser facilmente perdido ou roubado. Isso, por sua vez, economiza o tempo que o visitante precisa para procurar o incômodo cartão de acesso na bolsa, ao mesmo tempo em que garante que o quarto em que está entrando é exatamente aquele em que precisa estar.

Agora, o proprietário do hotel pode ficar tranquilo, sabendo que sua propriedade está o mais segura possível e ainda operando conforme planejado.

Aqui reside a ironia da confiança zero

Para que uma arquitetura de confiança zero funcione, uma empresa deve ser capaz de contar com o repositório altamente validado de identidades, ativos, aplicações e redes mencionado acima. Em outras palavras, nas estruturas de segurança – para verificação, monitoramento e armazenamento de dados – que compõem essa abordagem abrangente.

Na Kyndryl, gostamos de pensar na confiança zero como cinco pilares de segurança integrados: identidade, dispositivo, rede, aplicação e dados. Na maioria das empresas, os sistemas de segurança cibernética são isolados – com um departamento lidando com verificações de identidade, outro com segurança de endpoint, outro com firewall e assim por diante. Com a confiança zero, a segurança se torna um sistema integrado de 360 graus em que a comunicação e a colaboração entre esses pilares ou departamentos são fundamentais e as identidades, senhas e ativos de rede são centralizados em repositórios confiáveis.

Simples em teoria – até a hora de colocar essas práticas em funcionamento

Parte da dificuldade é que a confiança zero requer uma mudança fundamental na mentalidade de segurança em nível organizacional. O primeiro passo é parar de conceituar essa abordagem como uma política ou produto de one stop shop. Em vez disso, ela deve ser entendida como um processo de segurança dinâmico e em evolução, sem ponto final fixo.

Este é um dos maiores desafios do sistema. No entanto, também é uma das maiores vantagens da confiança zero. Ao adotar essa política adaptável e baseada em riscos, as empresas têm o poder de criar um conjunto de práticas de segurança exclusivamente adequadas às suas necessidades e metas em constante mudança. É por isso que, na Kyndryl, adotamos uma abordagem individualizada e em fases para alinhar a confiança zero com os perfis de risco individuais de cada empresa, bem como com suas outras principais iniciativas de transformação de TI, com foco no que é mais importante para a segurança e o futuro dos negócios.

Neste mundo em rápida evolução e nestes tempos inquietantes, pode ser difícil, senão impossível, decidir em que e em quem confiar – e quando confiar. Quando se trata de segurança cibernética, a confiança zero é a melhor resposta que temos para tomar nossas decisões.

Clique abaixo para ouvir meus colegas da Kyndryl e eu discutirmos sobre como a mudança no cenário de ameaças pode afetar sua estratégia de segurança cibernética.