A Segurança Zero Trust é um modelo de segurança de dados proposto em 2010 pela Forrester Research, que pode ser resumido pelo lema “nunca confie, sempre verifique”. Sob este modelo, não existem interfaces, redes, dispositivos ou usuários confiáveis ou não confiáveis em sua infraestrutura de TI, e todos são suspeitos até que se prove o contrário.
Qualquer acesso a um sistema deve ser constantemente validado, usuários e cargas de trabalho devem ter apenas os privilégios mínimos necessários para completar uma tarefa, e a microssegmentação deve ser usada para limitar o acesso aos recursos.
Em resumo, “Confiança não é um conceito que deve ser aplicado a usuários, pacotes, tráfego de rede ou dados”, diz a Forrester Research em sua introdução ao conceito.
O foco na autenticação contínua faz com que o zero trust seja comumente confundido com um tipo de firewall. Isso é compreensível, já que firewalls têm sido, por mais de 30 anos, a principal ferramenta disponível para profissionais de segurança protegerem suas redes.
Mas o controle de acesso é apenas uma das muitas faces da Segurança Zero Trust. O conceito vai além das redes e pode (e deve) ser aplicado a outros aspectos da sua operação, como dados, usuários, dispositivos, cargas de trabalho e mais. Entre esses, o controle de dados é um dos mais importantes, já que os dados são cada vez mais alvos de cibercriminosos.
Quanto valem seus dados?
Uma violação de dados pode prejudicar sua organização de muitas maneiras. Primeiro, há danos à imagem pública da empresa: clientes, parceiros e fornecedores confiam que sua empresa usará seus melhores esforços para proteger informações compartilhadas. Um vazamento representa uma quebra dessa confiança, o que pode levar à perda de clientes, cancelamento de contratos e desmonte de parcerias.
Além disso, dados operacionais como planos de negócios, estratégias de marketing ou listas de clientes podem ser usados como moeda de troca para extorsão. Dados de usuários também podem ser usados de várias maneiras: informações como números de cartão de crédito podem ser usadas para fazer compras fraudulentas. Mesmo dados aparentemente inofensivos como nomes, datas de nascimento e endereços de e-mail são valiosos, pois podem ser cruzados com informações encontradas em outros vazamentos para construir um perfil perigosamente completo de um usuário, o que pode levar a ataques mais sérios, como roubo de identidade.
Cada violação de dados tem um custo, que inclui despesas operacionais para analisar e reparar a falha que a originou, mitigação de impacto e compensação aos usuários afetados, entre outros fatores. E com a promulgação de legislações voltadas para proteção de dados e privacidade, como o GDPR na Europa e a LGPD no Brasil, esse custo está aumentando.
O Relatório de Custo de uma Violação de Dados da IBM, de 2024, estimou que o custo médio de uma violação de dados era de $164 por registro de Informação Pessoalmente Identificável (PII). Claro, quando ocorre um vazamento, ele não abrange apenas algumas dezenas ou centenas de registros.
Para dar uma ideia da escala, em agosto de 2021, um vazamento de dados na operadora de telefonia americana T-Mobile expôs dados de 76,6 milhões de clientes. Isso resultou em um pagamento de US$350 milhões em restituição às vítimas, além de despesas de US$150 milhões para melhorias nas medidas de proteção de dados. Ainda assim, em janeiro de 2023, a empresa foi vítima de um novo vazamento, desta vez expondo dados de 37 milhões de clientes.
Como o Zero Trust protege seus dados
A microssegmentação e a restrição de privilégios de acesso são alguns dos recursos do zero trust que ajudam a prevenir vazamentos de dados, pois bloqueiam o que é conhecido como “movimento lateral” durante um ataque.
Em uma rede não segmentada, um atacante poderia usar um dispositivo vulnerável de baixa importância, como uma impressora ou um sistema de teleconferência, como porta de entrada para um ataque. Uma vez dentro da rede, eles podem encontrar maneiras de “pular” para outros dispositivos com maiores privilégios de acesso até atingir seu alvo.
Portanto, muitas empresas já empregam a segmentação de rede. Por exemplo, isolando sistemas críticos, como aqueles que contêm dados de cartão de crédito de clientes ou processam folha de pagamento, daqueles que lidam com inventário. Ainda assim, existem riscos. Se um atacante obtiver acesso à área onde estão os sistemas críticos, todos eles e seus dados estarão ao alcance.
A microssegmentação leva o conceito de particionamento mais longe ao nível de hosts e tarefas, e também se aplica a permissões de acesso. Por exemplo, em vez de uma permissão geral de “acesso ao banco de dados” para cada aplicação que possa precisar disso, um cliente pode ter permissão para acessar e escrever registros em um servidor de banco de dados apenas sob um conjunto de condições específicas.
Outro bom exemplo é que técnicas de impressão digital de dispositivos podem ser usadas para permitir acesso apenas se a solicitação vier de um dispositivo específico, ou listas de redes baseadas em endereços IP, ASN e geolocalização do usuário podem ser usadas para filtrar o acesso. Em nosso exemplo anterior, se um criminoso tentar acessar o banco de dados usando o dispositivo errado, ou de um local não aprovado, o acesso será negado.
Essa abordagem ajuda a reduzir a superfície de ataque, conter rapidamente violações, proteger aplicações críticas e até mesmo melhorar o compliance, já que separar dados sensíveis (como informações pessoalmente identificáveis) do resto é um requisito essencial em todos os padrões de segurança.
Conclusão
O modelo zero trust é uma abordagem moderna para gerenciar requisitos de segurança cada vez mais complexos de redes corporativas. Não é um produto, mas um processo. Para saber mais sobre como a Azion pode fortalecer sua infraestrutura e ajudá-lo a começar a implementar um modelo de Segurança Zero Trust, entre em contato com nossos especialistas.