Em um mundo de trabalho remoto, uma revolução de Zero Trust é necessária

No verão passado, policiais entraram em contato com a Apple e a Meta, exigindo dados de clientes em “solicitações de dados de emergência”. As empresas cumpriram. Infelizmente, os “oficiais” eram hackers afiliados a uma gangue cibernética chamada “Recursion Team” [“Equipe de Recursão” em tradução literal].

Cerca de três anos atrás, o CEO de uma empresa de energia com sede no Reino Unido recebeu uma ligação do CEO da empresa-mãe alemã da empresa, instruindo-o a transferir um quarto de milhão de dólares para um “fornecedor” húngaro. Ele obedeceu. Infelizmente, o “CEO” alemão era de fato um cibercriminoso usando tecnologia de áudio deepfake para falsificar a voz do outro homem.

Um conjunto de criminosos conseguiu roubar dados, o outro, dinheiro. E o motivo foi a confiança. A fonte de informação das vítimas sobre com quem estavam falando eram os próprios interlocutores.

O que é Zero Trust, exatamente?

O Zero Trust é uma estrutura de segurança que não depende da segurança do perímetro. A segurança de perímetro é o modelo antigo e onipresente que pressupõe que todos e tudo dentro do prédio e do firewall da empresa são confiáveis. A segurança é alcançada impedindo que pessoas fora do perímetro entrem.

Um estudante de doutorado do Reino Unido na Universidade de Stirling chamado Stephen Paul Marsh cunhou a frase “Zero Trust” em 1994. (Também chamado de “desperimetrização”, o conceito foi completamente desenvolvido em diretrizes como Forrester eXtended, Gartner’s CARTA e NIST 800- 207.)

A segurança do perímetro é obsoleta por vários motivos, mas principalmente devido à prevalência do trabalho remoto. Outras razões incluem: computação móvel, computação em nuvem e a crescente sofisticação dos ataques cibernéticos, em geral. E, é claro, as ameaças também podem vir de dentro.

Em outras palavras, não há mais network edge – não realmente – e mesmo na medida em que existam perímetros, eles podem ser violados. Uma vez que os hackers entram no perímetro, eles podem se movimentar com relativa facilidade.

Zero Trust visa corrigir tudo isso, exigindo que cada usuário, dispositivo e aplicativo passe individualmente por um teste de autenticação ou autorização toda vez que acessar qualquer componente da rede ou qualquer recurso da empresa.

As tecnologias estão envolvidas no Zero Trust. Mas o Zero Trust em si não é uma tecnologia. É uma estrutura e, até certo ponto, uma mentalidade. Nós tendemos a pensar nisso como uma mentalidade para arquitetos de rede e especialistas em segurança. Isso é um erro; precisa ser a mentalidade de todos os funcionários.

A razão é simples: a engenharia social é um hacking não técnico da natureza humana.

Porque apenas o Zero Trust pode vencer a engenharia social

Uma abordagem básica para aplicar Zero Trust ao desafio dos ataques de engenharia social é antiga e familiar. Digamos que você receba um e-mail afirmando que é do banco e que há um problema com sua conta. Basta clicar aqui para inserir seu nome de usuário e senha e resolver o problema, diz. A maneira certa de lidar com essa situação (se você não tiver certeza) é ligar para o banco e verificar.

Em qualquer tipo de ataque de engenharia social, a melhor prática é nunca usar o método de acesso fornecido a você, mas obter o seu próprio. Não use a pessoa que está entrando em contato com você como sua fonte de informação sobre quem está entrando em contato com você. Verifique independentemente sempre.

No passado, era fácil falsificar um e-mail. Estamos diante de um futuro imediato em que será igualmente fácil falsificar voz e vídeo ao vivo.

Além da falsificação de e-mail, as organizações também podem ser atacadas por phishing, vishing, smishing, spear phishing, snowshoeing, hailstorming, clone phishing, whaling, tabnabbing, tabnabbing reversa, in-session phishing, falsificação de site, manipulação de link, ocultação de link, typosquatting, IDN homograph attack, scareware, tailgating, baiting, DNS spoofing e muitos outros. Seu treinamento zero trust deve tornar os funcionários intimamente familiarizados com todos esses tipos de ataques. O simples conhecimento dos muitos métodos covardes para induzir os humanos a permitir o acesso não autorizado os ajuda a entender por que o Zero Trust é a resposta.

Em seu excelente livro de 2011, “Ghost in the Wires”, o ex-superhacker Kevin Mitnick descreve uma de suas técnicas de engenharia social mais eficazes: você vê funcionários do lado de fora de um prédio prestes a entrar e simplesmente os segue pela porta com a confiança de alguém que pertence ao local. Os funcionários leem universalmente essa confiança como toda a verificação de que precisam para manter a porta aberta para um estranho.

Quando a Apple e a Meta foram contatadas por policiais falsos, eles deveriam ter anotado os detalhes de quem os solicitantes alegavam ser, desligado o telefone e ligado para a agência para verificar.

Quando esse CEO do Reino Unido foi contatado por alguém alegando ser o CEO da empresa-mãe, a política deveria ter sido uma ligação de retorno e não uma transferência de fundos com base na ligação inicial.

Como adotar o Zero Trust para a engenharia social

A boa notícia é que, embora muitas empresas não tenham implementado Zero Trust, ou mesmo desenvolvido um roteiro, adotar seu uso contra a engenharia social pode ser implementado imediatamente.

Encontre uma maneira de autenticar cada participante em reuniões de áudio ou vídeo.

Em outras palavras, por meio de mudanças no treinamento, na política e na prática, qualquer comunicação recebida que solicite algo – transferir fundos, fornecer uma senha, alterar uma senha, clicar em um anexo, clicar em um link, deixar alguém entrar no prédio – precisa ser verificado e autenticado – tanto a pessoa quanto a via para a solicitação.

Quase todos os ataques de engenharia social envolvem o ator mal-intencionado ganhando a confiança de uma pessoa com acesso e, em seguida, abusando desse acesso.

O desafio de usar a cultura de treinamento e segurança para inspirar uma mentalidade de Zero Trust em todos os funcionários é que as próprias pessoas gostam de ser confiáveis. As pessoas ficam ofendidas quando dizem: “Deixe-me verificar você primeiro”.

Essa deve ser a maior parte do treinamento: fazer com que funcionários e líderes empresariais insistam em não serem confiáveis. Você não pode simplesmente confiar que as pessoas não confiam – você precisa fazer com que as pessoas insistam em não serem confiáveis.

Se um líder sênior enviar um anexo a um subordinado e o subordinado simplesmente fizer o download e abrir sem uma etapa adicional de verificação (digamos, ligar e perguntar), isso deve ser visto pelo líder como uma violação grave das práticas de segurança.

Culturalmente, a maioria das empresas está longe de adotar essa prática. E é isso que precisa ser repetido mil vezes: a autorização zero trust de tudo é para os confiáveis e não confiáveis.

Com tantos trabalhadores agora espalhados entre o escritório, em casa, em outros estados ou mesmo em outras nações, é hora de uma redefinição radical – uma revolução de Zero Trust, se você preferir – na forma como interagimos uns com os outros na comunicação empresarial cotidiana.