Esta fase da jornada Zero Trust abrange a identificação de maturidade, lacunas e riscos potenciais associados a inventários, fluxo de dados e trabalho na organização. Além disso, nesta fase, privilégios de acesso mínimos serão definidos para cada usuário, serviço ou dispositivo que solicita acesso a um ativo.
Uma maneira conveniente de colocar o controle de acesso em prática é usando frameworks. Por exemplo, ao atender requisitos de compliance e padrões internacionais de segurança ou ao obter certificações, a organização automaticamente avançará na implementação do Zero Trust. É aqui que a ISO/IEC 27002 entra em cena.
A seguir, vamos mergulhar um pouco mais fundo na ISO/IEC 27002 e explicar como ela pode ser aplicada na construção de controle de acesso em uma jornada Zero Trust.
Aplicando a ISO/IEC 27002 na criação de controles de acesso
Projetada para ser uma “referência na seleção de controles no processo de implementação de um sistema de gestão de segurança da informação baseado na ISO/IEC 27001”, a ISO/IEC 27002 aborda práticas em comum com os princípios Zero Trust.
Além das orientações no documento, a ISO/IEC 27002 visa estabelecer a premissa de que “tudo é proibido a menos que expressamente permitido”, substituindo a ideia de que “tudo é permitido a menos que expressamente proibido”.
Mas o que você precisa fazer para implementá-la em sua estratégia Zero Trust? Primeiro, você precisa atender a uma série de requisitos. Depois, abordar as responsabilidades dos usuários e do controle de acesso ao sistema e aplicações. Por último, você precisa escolher as tecnologias certas para implementar o projeto.
Na primeira parte do conteúdo, analisaremos os requisitos para controle de acesso especificados na ISO/IEC 27002, trazendo-os para o contexto Zero Trust.
Requisitos para controle de acesso baseados na ISO/IEC 27002
Esta é uma das etapas mais importantes neste momento da jornada porque é quando definimos a política de controle de acesso, incluindo redes e serviços de rede. Então, vamos dar uma olhada nesses requisitos.
Política de controle de acesso
De acordo com a ISO/IEC 27002, uma política de controle de acesso deve ser estabelecida, documentada e criticamente analisada, com base nos requisitos de segurança da informação e negócios descritos abaixo.
Requisitos de segurança para aplicações de negócios individuais
Este item inclui a classificação de informações, restrição e condições de compartilhamento em sintonia com as necessidades de negócios e procedimentos que abordamos em fases anteriores desta jornada.
É importante que todos os resultados de classificação sejam atualizados de acordo com o valor, sensibilidade e criticidade ao longo do seu ciclo de vida, já que um negócio é um organismo vivo que evoluirá, trazendo mudanças na forma como as informações devem ser tratadas.
Política para disseminação e autorização de informações
Este é o estabelecimento de regras para disseminação de informações. Por exemplo, a disseminação de dados classificados como altamente críticos, se permitida, é uma ação que requer autorização e procedimentos para a autenticação e validação do usuário e dispositivo configurados na arquitetura Zero Trust.
Consistência entre direitos de acesso e políticas de classificação
A classificação de uma informação é baseada em sua sensibilidade e criticidade operacional. Assim, as políticas de classificação de informações de sistemas e redes devem ser coerentes com os níveis de segurança do ativo classificado.
Por exemplo, se um ativo é essencial para a operação do negócio, o nível de proteção e controles de acesso para ele devem ser suficientes para garantir sua confidencialidade, integridade e disponibilidade.
Compliance e obrigações contratuais relacionadas à proteção de acesso
Controles específicos para conformidade com leis e obrigações contratuais, juntamente com as responsabilidades individuais para aplicá-los, devem ser definidos e documentados.
Considerando nossa jornada Zero Trust, o papel dos guardiões de dados neste tipo de monitoramento é fundamental, pois garante o uso de dados seguindo as permissões de acesso e seu papel no contexto da missão.
Gestão de direitos de acesso
De acordo com a ISO/IEC 27002, é recomendável que os direitos de acesso sejam gerenciados em um ambiente distribuído e conectado a uma rede capaz de reconhecer cada tipo de conexão disponível.
Um dos princípios fundamentais da arquitetura Zero Trust é a visibilidade. Portanto, quanto mais recursos de observabilidade a tecnologia oferece, maior será a eficiência da equipe no monitoramento de conexões, análise de dados de eventos e criação de regras de controle de acesso.
Segregação de funções de controle de acesso
A segregação de funções de controle de acesso é, basicamente, a atribuição de tarefas e funções como solicitações de acesso, autorização e administração não apenas a uma pessoa, mas a um grupo.
Esta distribuição de funções é relevante no contexto Zero Trust, pois é uma medida que ajuda a prevenir o movimento lateral de um ator malicioso, já que nenhum usuário administrativo tem amplas permissões e privilégios para serem explorados.
Requisitos para a autorização formal de solicitações de acesso
Para tornar possível a correlação entre usuários e suas responsabilidades e ações, é indispensável que cada um tenha um ID de usuário único, que deve ser concedido por um processo formal de inscrição e revogação que inclui documentação e regras de emissão.
Esta prática também é um requisito para uma estratégia Zero Trust, começando com um processo formal para a criação de IDs de usuário com privilégios mínimos, de forma que cada usuário só tenha acesso às funções, recursos e ativos necessários para a tarefa em questão.
Requisitos para a análise crítica periódica dos direitos de acesso
Uma arquitetura Zero Trust eficiente exige que os proprietários dos ativos realizem, em intervalos regulares, análises críticas dos direitos de acesso do usuário. A frequência é crucial para garantir que privilégios não autorizados não sejam obtidos.
É recomendável fazer este tipo de análise sempre que um funcionário é promovido, realocado ou demitido, ou quando começa a realizar diferentes tipos de trabalho na organização.
Neste ponto, há algo que devemos observar: quanto maior o nível de criticidade ou sensibilidade dos ativos envolvidos, mais frequente deve ser a análise crítica. Usuários de sistema como “sysadmin”, “administrator”, “root”, “apache” e “nginx”, para citar alguns, requerem este nível de cuidado.
A razão é que eles possuem privilégios que interagem diretamente com o sistema operacional e até mesmo com o gerenciamento de identidade. A apropriação de contas como estas por um ator malicioso é um risco real para todo o negócio.
Nesses casos, você deve considerar monitorar ou até mesmo desativar o usuário, além de não permitir acesso remoto a essas contas. Lembre-se de que as políticas de acesso devem se aplicar não apenas a pessoas, mas também a contas de usuário usadas por sistemas.
Devemos enfatizar que a análise crítica recorrente é necessária tanto para garantir que o acesso permaneça restrito aos usuários corretos quanto para manter o controle de acesso atualizado e alinhado com sua estratégia Zero Trust.
Revogação de direitos de acesso
Para impedir que trabalhadores que tiveram suas atividades, contratos ou acordos encerrados de corromper ou comprometer a integridade, confidencialidade ou disponibilidade dos ativos da empresa, os direitos de acesso devem ser revogados ou ajustados. Com a revogação gradual de privilégios, isso pode ser feito assim que o término ocorrer, ou até mesmo antes.
Arquivamento de logs de eventos relevantes
Todos os eventos significativos relacionados à gestão de IDs de usuário e informações de autenticação secretas devem ser arquivados seguindo as diretrizes de controle de acesso estabelecidas na estratégia Zero Trust.
Com esses arquivos, a equipe de segurança e os guardiões de dados terão os recursos essenciais de observabilidade que podem ser usados para auditoria e análise de vulnerabilidade relacionadas ao controle de acesso.
Regras para acesso privilegiado
Os direitos de acesso privilegiado devem ser gerenciados por um processo de autorização formal baseado em uma política de controle de acesso estabelecida, e a concessão de privilégios de acesso mínimos deve ser colocada em prática.
Acesso a redes e serviços de rede
Este segundo requisito garante que os usuários só tenham acesso às redes e serviços de rede que eles estão especificamente autorizados a usar. Para isso, as políticas desta fase da jornada Zero Trust devem estabelecer:
-
Quais redes e serviços de rede são permitidos e as maneiras pelas quais eles podem ser acessados.
-
Procedimentos para conceder autorização de acesso e controles de gerenciamento para proteger o acesso às conexões de rede e serviço.
-
Requisitos de autenticação de usuário.
Ao mesmo tempo em que essas ações são fáceis de implementar, elas são cruciais para prevenir, entre outras ameaças, conexões não autorizadas e inseguras que podem ser letais para a organização—um risco que cresceu com a expansão do trabalho remoto.
Quando falamos sobre segurança no ambiente de trabalho, devemos pensar nos paradigmas que promovem o controle de acesso em ambientes modernos, como segurança de perímetro, segmentação de rede e observabilidade, e são aderentes aos princípios Zero Trust para redes.
Próximos passos para a implementação do controle de acesso
Agora que você conhece os requisitos, iremos para a terceira e última fase da jornada, onde falaremos sobre as responsabilidades do usuário, controle de acesso ao sistema e aplicação e tecnologias indispensáveis para construir um controle de acesso que atenda aos requisitos de um modelo de segurança Zero Trust.
Para receber o próximo conteúdo sobre a série Zero Trust, inscreva-se em nossa newsletter preenchendo o formulário abaixo.