Zero Trust Security: muito mais que um Firewall
Zero Trust Security é um modelo de segurança de dados proposto em 2010 pela Forrester Research, que pode ser resumido pelo lema "nunca confie, sempre verifique". Sob este modelo, não existem interfaces, redes, dispositivos ou usuários confiáveis ou não confiáveis, todos são suspeitos até que se prove o contrário. Todo e qualquer acesso a um sistema deve ser constantemente validado, usuários e workloads devem ter apenas o mínimo de privilégios necessários para completar uma tarefa e microssegmentação deve ser usada para limitar o acesso aos recursos. Em resumo, "confiança não é um conceito que deve ser aplicado a usuários, pacotes, tráfego da rede ou dados", diz a Forrester Research em sua introdução ao conceito. O foco em autenticação contínua faz com que zero trust seja comumente confundido com um tipo de firewall. Algo compreensível, já que os firewalls são, há mais de 30 anos, a principal ferramenta à disposição dos profissionais de segurança para a proteção de seus sistemas. Mas zero trust vai muito além disso. Podemos dizer que se um firewall controla o acesso a recursos (uma rede ou um dispositivo), o modelo zero trust permite o controle do acesso aos dados, cada vez mais visados por cibercriminosos.
O valor dos dados
Um vazamento de dados pode prejudicar sua organização de várias formas. Em primeiro lugar, há os danos à imagem: clientes, parceiros e fornecedores confiam que sua empresa empregará todos os seus esforços para proteger as informações que são compartilhadas. O vazamento representa uma quebra dessa confiança, que pode levar à perda de clientes, suspensão de contratos e desmonte de parcerias. Além disso, dados operacionais, como planos de negócio, estratégias de marketing ou listas de clientes, podem ser usados como moeda de troca para extorsão. Já os dados de usuários podem ser utilizados de várias maneiras. Informações como números de cartão de crédito podem ser usados para a realização de compras fraudulentas. Mesmo dados aparentemente inócuos, como nomes, datas de nascimento e endereços de e-mail, são valiosos, já que podem ser cruzados com informações presentes em outros vazamentos para construir um perfil bastante completo de um usuário, o que pode levar a ataques mais sérios, como o roubo de identidade. Todo vazamento de dados tem um custo, que inclui despesas operacionais para análise e reparo da falha que permitiu que ele ocorresse, mitigação do impacto e reparações aos usuários afetados, entre outros fatores. E com a promulgação de legislação visando a proteção de dados e privacidade, como a GPDR na Europa e a LGPD no Brasil, esse custo é cada vez maior. Um relatório de 2022 da IBM chamado Cost of a Data Breach Report estimou que o custo médio de uma violação de dados foi de US$164 por registro de informações de identificação pessoal (PII, Personally Identifiable Information). Obviamente, quando um vazamento ocorre, ele não engloba apenas algumas dezenas ou centenas de registros. Para dar uma ideia da escala, em agosto de 2021 um vazamento de dados na operadora de telefonia norte-americana T-Mobile expôs dados de 76,6 milhões de clientes. Isso resultou em um pagamento de US$350 milhões em compensação às vítimas, mais US$150 milhões para melhorias nas medidas de proteção de dados. Ainda assim, em Janeiro de 2023 ela foi vítima de um novo vazamento, desta vez expondo dados de 37 milhões de clientes.
Como zero trust protege seus dados
A restrição de privilégios de acesso e a micro segmentação são as características de zero trust que ajudam a prevenir o vazamento de dados, pois impedem o movimento lateral durante um ataque. Em uma rede não segmentada, um invasor pode usar um dispositivo vulnerável de pouca importância, como uma impressora ou um sistema de teleconferência, como porta de entrada para um ataque. Uma vez dentro da rede, ele pode encontrar formas de "pular" para outros dispositivos com maiores privilégios de acesso, até chegar ao seu alvo. Por isso, muitas empresas já empregam segmentação de redes. Por exemplo, isolando sistemas críticos, como os que contém dados de cartão de crédito dos clientes ou processam a folha de pagamento, daqueles que fazem o controle de estoque. Ainda assim, há riscos. Se um invasor conseguir acesso à área onde estão os sistemas críticos, todos eles, e seus dados, estarão ao seu alcance. A microssegmentação leva o conceito de divisão mais além, ao nível dos hosts e tarefas. Um cliente pode ter permissão para acessar e gravar registros em um banco de dados apenas sob um conjunto de condições específicas, dificultando ainda mais o movimento lateral de um criminoso. Essa técnica ajuda a reduzir a superfície de ataque, conter rapidamente brechas, proteger aplicações críticas e até mesmo melhorar a compliance, já que a separação de dados considerados sensíveis é um requisito básico em todos os padrões de segurança.
Conclusão
O modelo zero trust é uma abordagem moderna para gerenciar os requisitos de segurança cada vez mais complexos das redes corporativas. Não é um produto, mas um processo. Para saber mais sobre como a Azion pode fortalecer sua infraestrutura e ajudar você a começar a implementar um modelo de segurança zero trust, entre em contato com nossos especialistas ou cadastre-se para um teste gratuito e experimente os benefícios de nossa plataforma hoje mesmo.
Para mais informações sobre Zero Trust Security, visite nosso site ou fale com um de nossos especialistas.