Classificando o hype de confiança zero da realidade
A confiança zero não é um produto, mas uma metodologia de segurança baseada em conceitos de defesa em profundidade
Parece que todo mundo está jogando “bingo de palavras da moda” quando se trata de confiança zero e sua implementação, e isso começa com a orientação do governo. Os comentários da Casa Branca em janeiro sobre a Estratégia Federal Zero Trust do Escritório de Administração e Orçamento (OMB) para todas as agências e departamentos federais foram pragmáticos e aspiracionais. A observação deles, citando a vulnerabilidade do Log4j como exemplo, resume bem: “A estratégia de confiança zero permitirá que as agências detectem, isolem e respondam mais rapidamente a esses tipos de ameaças”.
Para que uma estratégia de confiança zero seja bem-sucedida, no entanto, aqueles que a implementam devem entender o que é e os princípios básicos em que se baseia.
A confiança zero é nova?
Em uma discussão individual sobre o tópico de confiança zero, na Black Hat, Douglas McKee, Principal Engenheiro e Diretor de Pesquisa de Vulnerabilidades da Trellix, observou que a realidade é que “defesa em profundidade” e “princípio do acesso menos privilegiado” são as porcas e parafusos por trás da nova palavra da moda, confiança zero.
Os CISOs que trabalham com operações de negócios devem colaborar e coordenar o acesso às informações necessárias para que os colegas possam ser bem-sucedidos em sua parte da missão geral. O que eles não precisam é de acesso desimpedido e contínuo à informação quando não é necessário. Isso requer monitoramento contínuo e dinâmico das necessidades em todo o ecossistema corporativo. Quando os indivíduos mudam de função, suas necessidades se ajustam, assim como seu acesso permitido. Quando os indivíduos partem, seu acesso deve ser encerrado. Facilmente dito, mas aparentemente tão difícil de ser realizado para tantas entidades.
Como Joe Payne, CEO da Code42, disse: “Permita que seu pessoal faça seu trabalho de maneira confiável com um guarda-chuva ao seu redor para que, se eles se aventurarem longe dos processos e procedimentos – por exemplo, carregar para armazenamento baseado na web – eles sejam corrigido no momento”.
A confiança zero não pode existir sem acesso menos privilegiado
Aí está o atrito. Se os CISOs não estão exercendo a doutrina do acesso menos privilegiado, não há como se aventurar fora dos limites, pois o acesso é permitido e autorizado. Como um velho de cabeça branca da contrainteligência, devo observar: detectar o roubo de informações por um indivíduo que permanece dentro de sua raia é um trabalho pesado. Com isso quero dizer, o indivíduo segue todos os processos e procedimentos corporativos, acessando apenas o que, naturalmente, tem acesso, podendo aproveitar e saindo, praticamente, impune.
O problema de percepção da confiança zero
A confiança zero é mais complexa do que uma palavra da moda. Steve Malone, Vice-Presidente de Gerenciamento de Produtos da Egress, observa: “A confiança zero, infelizmente, tem um pouco de problema de percepção: muitas vezes é deturpada pelos fornecedores, o que faz com que os compradores a entendam mal. A coisa mais importante a se entender sobre confiança zero é que não é um produto! Não é algo que você pode comprar de um único fornecedor. A confiança zero é uma metodologia de segurança, uma estrutura de tecnologias e práticas recomendadas que uma organização precisa definir e adotar em seus ambientes de TI ao longo do tempo. Pense nisso como uma paranóia saudável e contínua!”
Malone está certo. A paranóia saudável e contínua mantém todos atentos e focados em como as informações são acessadas, movidas e armazenadas. Essa maneira de pensar precisa ser adotada desde o C-suite até o colaborador individual, pois a implementação de segurança pode ser apoiada pelo CISO e sua equipe de gurus de segurança da informação.
A confiança zero não pode ser implementada com um único produto
Malone continua: “Algumas organizações têm dificuldade em implementar uma estratégia de confiança zero. O maior erro que vejo é que as equipes de segurança não entendem o que significa uma verdadeira “abordagem de confiança zero”. Algumas organizações acreditam que a confiança zero pode ser alcançada usando soluções de segurança individuais aqui e ali para fornecer uma “solução rápida” para o problema. No entanto, confiança zero é mais do que implantar soluções individuais”.
Malone conclui: “Não se deixe enganar pelo nome chique. Confiança zero não é apenas mais uma palavra da moda nem um único produto. É uma iniciativa crítica de segurança”.
A importância das pessoas, processos e tecnologia não pode ser exagerada. Eles são fundamentais para os princípios de acesso menos privilegiado e a implementação estratégica da defesa em profundidade. Embora a implementação universal da confiança zero simplesmente não exista, os princípios da confiança zero existem, e a confiança é a chave para o sucesso da estratégia de confiança zero. Sem confiança, estamos, como diria a marinha, afundados.