A identidade é importante, mas está a tornar-se cada vez menos fiável. Durante muitos anos, as empresas utilizaram a autenticação multi-fator (MFA) para garantir a proteção dos seus dados sensíveis. No entanto, o cenário de ameaças está a evoluir e alguns especialistas estimam agora que até 70% das opções de MFA são fáceis de violar através de engenharia social e phishing.
O conceito Zero Trust é um dos mais falados atualmente, mas a incorreta interpretação de tudo o que este envolve está a criar vulnerabilidades e, inerentemente, problemas de cibersegurança – o tipo de eventos que as empresas querem evitar ao adotarem políticas de Zero Trust. A autenticação da identidade é uma das primeiras medidas, e uma das mais utilizadas para a confiança zero, e deve ser uma parte essencial de qualquer estratégia. Isto inclui coisas como a identidade descentralizada, estruturas MFA mais avançadas e métodos biométricos sem palavra-passe. No entanto, não é suficiente por si só.
A Exclusive Networks e a Netscope, ajudaram-nos a listar os sete elementos que deve incluir na execução das suas políticas de segurança da sua empresa para garantir uma infraestrutura de zero trust segura e robusta:
Dispositivo – Não se trata apenas de saber quem é. É importante perceber que dispositivo está a utilizar. Um utilizador totalmente autenticado num dispositivo comprometido continua a ser um risco de segurança. A confiança zero deve diferenciar os dispositivos empresariais dos pessoais, examinar o estado do dispositivo, os níveis de correção e as configurações de segurança antes de conceder o acesso.
Localização – Com o aumento do trabalho híbrido, as organizações devem prever que os utilizadores tentem aceder aos dispositivos a partir de diferentes locais. Por conseguinte, deve existir um sistema que possa assinalar tendências invulgares. Por exemplo, se um utilizador tentar iniciar sessão num dia a partir de Londres e, na hora seguinte, a partir do outro lado do mundo, esta situação deve ser assinalada no sistema – não deve ser deixada ao acaso. Da mesma forma, o sistema deve assinalar se alguém está a iniciar sessão ao mesmo tempo a partir de dois locais diferentes.
Aplicação – Com o aumento dos serviços na cloud, existem muitas aplicações concorrentes que desempenham a mesma função. Por conseguinte, as equipas de segurança devem examinar e aprovar aplicações específicas para utilização empresarial e, se necessário, aplicar controlos avançados e/ou restrições a aplicações não aprovadas para reduzir a potencial perda de dados.
Instância – Dentro de cada aplicação na cloud, existem também diferentes tipos de instâncias da mesma aplicação. Por exemplo, muitas organizações permitem que os funcionários utilizem as suas aplicações cloud pessoais, como instâncias pessoais do Microsoft 365. No entanto, isto pode levar a um problema, especialmente se os dados confidenciais da empresa estiverem a ser partilhados com uma aplicação pessoal. Por conseguinte, cada instância de cada aplicação também deve ser compreendida.
Atividade – A confiança zero estende-se à forma como as aplicações interagem umas com as outras e como acedem aos dados. Mesmo dentro de uma sessão de um único utilizador, as ações que uma aplicação executa em nome desse utilizador estão sujeitas a escrutínio.
Comportamento – A identidade pode conceder aos utilizadores o acesso inicial, mas o comportamento posterior deve ser continuamente analisado. Se um funcionário (ou entidade) começar a aceder subitamente a grandes volumes de dados ou descarregar ficheiros sensíveis, devem soar alarmes, mesmo que o utilizador tenha sido inicialmente autenticado.
Dados – No centro da Zero Trust estão os dados – trata-se de garantir a integridade e a confidencialidade dos dados. Isto significa encriptar os dados em repouso e em trânsito, e monitorizar os padrões de acesso aos dados para detetar anomalias, independentemente da identidade do utilizador. Isto incluiria medidas para automatizar a categorização dos dados e a implementação de controlos específicos ou melhorados, caso essa categoria o exija.
A identidade é, inegavelmente, uma pedra angular do modelo de confiança zero, mas continua a ser apenas uma peça de uma estrutura complexa. Se uma organização se fixar demasiado na identidade, está a preparar-se para o fracasso e a arriscar-se ao tipo de violação cibernética que a confiança zero foi concebida para evitar.
A verdadeira confiança zero só é alcançada quando uma organização tem uma abordagem integrada e holística que considera todos os pontos de contacto, utilizadores e dispositivos.