Zero Trust Security é um modelo de segurança de dados proposto1 em 2010 pela Forrester Research, que pode ser resumido pelo lema “nunca confie, sempre verifique”. Nesse modelo, não existem interfaces, redes, dispositivos ou usuários confiáveis ou não confiáveis em sua infraestrutura de TI: todos são suspeitos até que se prove o contrário.
Todo e qualquer acesso a um sistema deve ser constantemente validado, usuários e workloads devem ter apenas o mínimo de privilégios necessários para completar uma tarefa e microssegmentação deve ser usada para limitar o acesso aos recursos.
Em resumo, “confiança não é um conceito que deve ser aplicado a usuários, pacotes, tráfego da rede ou dados”, diz a Forrester Research em sua introdução ao conceito.
O foco em autenticação contínua faz com que zero trust seja comumente confundido com um tipo de firewall. Algo compreensível, já que os firewalls são, há mais de 30 anos, a principal ferramenta à disposição dos profissionais de segurança para a proteção de suas redes.
Mas o controle de acesso é apenas uma das muitas faces de Zero Trust Security. O conceito vai muito além das redes e pode (e deve) ser aplicado a outros aspectos da sua operação, como dados, usuários, dispositivos, workloads e mais. Destes, o controle de acesso aos dados é um dos mais importantes, já que eles são cada vez mais visados por cibercriminosos.
O valor dos dados
Um vazamento de dados pode prejudicar sua organização de várias formas. Em primeiro lugar, há os danos à imagem: clientes, parceiros e fornecedores confiam que sua empresa empregará todos os seus esforços para proteger as informações que são compartilhadas. O vazamento representa uma quebra dessa confiança, que pode levar à perda de clientes, suspensão de contratos e desmonte de parcerias.
Além disso, dados operacionais, como planos de negócio, estratégias de marketing ou listas de clientes, podem ser usados como moeda de troca para extorsão. Já os dados de usuários podem ser utilizados de várias maneiras.
Informações como números de cartão de crédito podem ser usados para a realização de compras fraudulentas. Mesmo dados aparentemente inócuos, como nomes, datas de nascimento e endereços de e-mail, são valiosos, já que podem ser cruzados com informações presentes em outros vazamentos para construir um perfil bastante completo de um usuário, o que pode levar a ataques mais sérios, como o roubo de identidade.
Todo vazamento de dados tem um custo, que inclui despesas operacionais para análise e reparo da falha que permitiu que ele ocorresse, mitigação do impacto e reparações aos usuários afetados, entre outros fatores. E com a promulgação de legislação visando a proteção de dados e privacidade, como a GPDR na Europa e a LGPD no Brasil, esse custo é cada vez maior.
Um relatório de 2022 da IBM chamado Cost of a Data Breach Report2 estimou que o custo médio de uma violação de dados foi de US$164 por registro de informações de identificação pessoal (PII, Personally Identifiable Information). Obviamente, quando um vazamento ocorre, ele não engloba apenas algumas dezenas ou centenas de registros.
Para dar uma ideia da escala, em agosto de 2021 um vazamento de dados na operadora de telefonia norte-americana T-Mobile expôs3 dados de 76,6 milhões de clientes. Isso resultou em um pagamento de US$350 milhões em compensação às vítimas, mais US$150 milhões para melhorias nas medidas de proteção de dados. Ainda assim, em Janeiro de 2023 ela foi vítima de um novo vazamento4, desta vez expondo dados de 37 milhões de clientes.
Como zero trust protege seus dados
A microssegmentação e restrição de privilégios de acesso são algumas das características de zero trust que ajudam a prevenir o vazamento de dados, pois impedem o movimento lateral durante um ataque.
Em uma rede não segmentada, um invasor pode usar um dispositivo vulnerável de pouca importância, como uma impressora ou um sistema de teleconferência, como porta de entrada para um ataque. Uma vez dentro da rede, ele pode encontrar formas de “pular” para outros dispositivos com maiores privilégios de acesso, até chegar ao seu alvo.
Por isso, muitas empresas já empregam segmentação de redes. Por exemplo, isolando sistemas críticos, como os que contêm dados de cartão de crédito dos clientes ou processam a folha de pagamento, daqueles que fazem o controle de estoque. Ainda assim, há riscos. Se um invasor conseguir acesso a partes da rede onde estão os sistemas críticos, todos eles, e seus dados, estarão ao seu alcance.
Assim, a microssegmentação leva o conceito de divisão mais além, ao nível dos hosts e tarefas, e também se aplica a permissões de acesso. Por exemplo, em vez de uma permissão geral de “acesso aos bancos de dados” para quaisquer aplicações que necessitem, um cliente pode ter permissão para acessar e gravar registros em um banco de dados apenas sob um conjunto de condições específicas.
Técnicas de “device fingerprinting” podem ser utilizadas para liberar o acesso apenas se o pedido vier de um dispositivo específico. Ou então, network lists baseadas em endereços de IP, ASN e geolocalização do usuário podem ser usadas para filtrar o acesso. Em nosso exemplo, se um criminoso tentar acessar o banco de dados usando um dispositivo não autorizado, ou a partir de uma localização não aprovada, o acesso será negado.
Essa abordagem ajuda a reduzir a superfície de ataque, conter brechas rapidamente, proteger aplicações críticas e até mesmo melhorar a compliance, já que a separação e o tratamento diferenciado de dados considerados sensíveis (como informações pessoais) são um requisito básico em todos os padrões de segurança.
Conclusão
O modelo zero trust é uma abordagem moderna para gerenciar os requisitos de segurança cada vez mais complexos das redes corporativas. Não é um produto, mas um processo. Para saber mais sobre como a Azion pode fortalecer sua infraestrutura e ajudar você a começar a implementar um modelo de segurança zero trust, entre em contato com nossos especialistas.
Referências
1 No More Chewy Centers: The Zero Trust Model Of Information Security
2 Cost of a data breach 2022
3 Deadline Passes on T-Mobile’s $350 Million Settlement Days After Another Data Breach
4 T-Mobile data breach exposes about 37 mln accounts
