Zero Trust: Não se deixe enganar! Nem tudo passa pela identidade

Acreditar que alcançar a Zero Trust tem tudo a ver com a identidade do utilizador é um mau entendimento do conceito, que pode conduzir a potenciais vulnerabilidades e, inerentemente, a problemas de cibersegurança.
2 de Abril, 2024

Qual é a relação entre a “confiança zero”, ou Zero Trust, e a identidade do utilizador? Não há dúvida que a identidade é um ponto chave para uma abordagem zero trust eficaz, mas não é o único, e o que está a acontecer é que a concentração cega das empresas neste elemento faz com que outros, igualmente críticos, estejam a passar por entre os pingos da chuva.

Acreditar que alcançar a Zero Trust tem tudo a ver com a identidade do utilizador é um mau entendimento do conceito, que pode conduzir a potenciais vulnerabilidades e, inerentemente, a problemas de cibersegurança – o tipo de eventos que a organização quer evitar ao adotar políticas de Zero Trust. 

A identidade é importante, mas está a tornar-se cada vez menos fiável. Durante muitos anos, as empresas utilizaram a autenticação multi-fator (MFA) para garantir a proteção dos seus dados sensíveis. No entanto, o cenário de ameaças está a evoluir e alguns especialistas estimam agora que até 70% das opções de MFA são tão fáceis de violar como a engenharia social e o phishing.

A Zero Trust deve ter sempre como pressuposto que o sistema pode ser, e será, comprometido. Quanto mais medidas forem implementadas para o proteger, mais confiança podemos depositar nele. Crucialmente, deve ser utilizado um único ponto de aplicação de políticas (PEP) para controlar o tráfego de informações provenientes destas diferentes medidas. 

A autenticação da identidade é uma das primeiras medidas, e uma das mais utilizadas para a confiança zero, e deve ser uma parte essencial de qualquer estratégia. Isto inclui elementos como a identidade descentralizada, estruturas MFA mais avançadas e métodos biométricos sem palavra-passe. No entanto, não é suficiente por si só.

Existem sete outros elementos que as empresas devem incluir na sua PEP para garantir uma infraestrutura de confiança zero segura e robusta:

Dispositivo – Não se trata apenas de saber quem é. É importante perceber que dispositivo está a utilizar. Um utilizador totalmente autenticado num dispositivo comprometido continua a ser um risco de segurança. A confiança zero deve diferenciar os dispositivos empresariais dos pessoais, examinar o estado do dispositivo, os níveis de correção e as configurações de segurança antes de conceder o acesso.

Localização – Com o aumento do trabalho híbrido, as organizações devem prever que os utilizadores tentem aceder aos dispositivos a partir de diferentes locais. Por conseguinte, deve existir um sistema que possa assinalar tendências invulgares. Por exemplo, se um utilizador tentar iniciar sessão num dia a partir de Londres e, na hora seguinte, a partir do outro lado do mundo, esta situação deve ser assinalada no sistema – não deve ser deixada ao acaso. Da mesma forma, o sistema deve assinalar se alguém está a iniciar sessão ao mesmo tempo a partir de dois locais diferentes. 

Aplicação – Com o aumento dos serviços na cloud, existem muitas aplicações concorrentes que desempenham a mesma função. Por conseguinte, as equipas de segurança devem examinar e aprovar aplicações específicas para utilização empresarial e, se necessário, aplicar controlos avançados e/ou restrições a aplicações não aprovadas para reduzir a potencial perda de dados. 

Instância – Dentro de cada aplicação na cloud, existem também diferentes tipos de instâncias da mesma aplicação. Por exemplo, muitas organizações permitem que os funcionários utilizem as suas aplicações cloud pessoais, como instâncias pessoais do Microsoft 365. No entanto, isto pode levar a um problema, especialmente se os dados confidenciais da empresa estiverem a ser partilhados com uma aplicação pessoal. Por conseguinte, cada instância de cada aplicação também deve ser compreendida. 

Atividade – A confiança zero estende-se à forma como as aplicações interagem umas com as outras e como acedem aos dados. Mesmo dentro de uma sessão de um único utilizador, as ações que uma aplicação executa em nome desse utilizador estão sujeitas a escrutínio.

Comportamento – A identidade pode conceder aos utilizadores o acesso inicial, mas o comportamento posterior deve ser continuamente analisado. Se um funcionário (ou entidade) começar a aceder subitamente a grandes volumes de dados ou descarregar ficheiros sensíveis, devem soar alarmes, mesmo que o utilizador tenha sido inicialmente autenticado.

Dados – No centro da Zero Trust estão os dados – trata-se de garantir a integridade e a confidencialidade dos dados. Isto significa encriptar os dados em repouso e em trânsito, e monitorizar os padrões de acesso aos dados para detetar anomalias, independentemente da identidade do utilizador. Isto incluiria medidas para automatizar a categorização dos dados e a implementação de controlos específicos ou melhorados, caso essa categoria o exija. 

A identidade é, inegavelmente, uma pedra angular do modelo de confiança zero, mas continua a ser apenas uma peça de uma estrutura complexa. Se uma organização se fixar demasiado na identidade, está a preparar-se para o fracasso e a arriscar-se ao tipo de violação cibernética que a confiança zero foi concebida para evitar.

A verdadeira confiança zero só é alcançada quando uma organização tem uma abordagem integrada e holística que considera todos os pontos de contacto, utilizadores e dispositivos.

Elizabeth Alves é Sales Director da Exclusive Networks Portugal

Opinião