Você confia na rede da sua organização? Você acha que a implantação de soluções de segurança baseadas em perímetro, como firewalls ou VPNs, é suficiente? Você confia em seus funcionários? Você confia nos dispositivos usados por eles?
Se sua resposta para qualquer uma das perguntas acima for sim, você pode querer pausar, repensar e ler este blog para obter uma nova perspectiva!
Com a transformação digital exponencial ocorrendo a cada dia, o perímetro da rede está sendo redefinido continuamente. Portanto, tornou-se imperativo que as organizações organizassem suas estratégias de defesa com novas abordagens de segurança.
Zero Trust é uma abordagem de segurança que funciona com o princípio de “nunca confiar, sempre verificar“. Ela enfatiza que nenhum usuário, dispositivo ou rede pode ser inerentemente confiável, independentemente da localização, ou seja, tanto dentro quanto fora dos muros corporativos.
Nesta primeira parte, apresentaremos os princípios básicos do modelo Zero Trust e algumas das melhores práticas que você deve seguir para construir sua própria rede Zero Trust.
Diretrizes para um modelo Zero Trust
O modelo Zero Trust visa fortalecer e blindar as organizações, ajudando-as a adotar uma abordagem holística em direção a uma forte postura de segurança cibernética. Isso pode ser alcançado quando as organizações seguem diferentes técnicas e estratégias de acordo com os requisitos de sua infraestrutura e não apenas seguindo uma estratégia independente. Algumas das diretrizes do Zero Trust são as seguintes:
1. Microssegmentação
A microssegmentação é um dos aspectos mais importantes do modelo Zero Trust. É o processo de dividir o perímetro da rede em zonas pequenas e seguras que são mais gerenciáveis. Essas zonas são chamadas de microsegmentos. Esses microsegmentos, em comparação com grandes redes, são muito mais fáceis de monitorar, implementar políticas de segurança específicas e estabelecer acesso e controles granulares. Isso, por sua vez, oferece melhor visibilidade e acesso a recursos de rede, aplicações e dados individuais.
A microssegmentação garante que a superfície de ataque seja a menor possível. Dessa forma, diminui as chances da organização ser vítima de ataques cibernéticos. Ele impede o movimento do tráfego lateralmente dentro da rede, ou seja, servidor para servidor, aplicações para servidor, etc. Existem várias maneiras pelas quais as organizações podem criar microsegmentos. Por exemplo, as organizações podem criá-los com base na localização, ativos de dados privilegiados, identidade do usuário (funcionários ou usuários de terceiros), informações de identificação pessoal, máquinas virtuais, aplicações importantes, software etc.
2. Autenticação multifator
Forneça acesso autenticado e autorizado a todos os usuários e recursos de rede por meio de métodos de segurança como autenticação multifator (MFA). A MFA exige que os usuários comprovem e verifiquem sua identidade usando vários fatores de autenticação, como a combinação usual de nome de usuário e senha, uma verificação de impressão digital e um código ou senha de uso único (OTP) enviado ao dispositivo móvel. Ao contrário da autenticação de dois fatores, a MFA deve incluir um mínimo de três fatores para autenticar um usuário. Esses três fatores podem ser algo que o usuário conhece (senha), algo que o usuário possui (OTP na aplicação autenticadora) e algo que o usuário é (biometria, como impressão digital).
No entanto, também é importante que as organizações considerem o fato de que a MFA pode ser contornada por invasores cibernéticos, e é por isso que elas devem ter métodos de MFA fortes em vigor.
3. Logon único
O logon único (SSO) permite que os usuários façam logon uma vez com suas credenciais e tenham acesso a todas as suas aplicações. O SSO funciona por meio da troca de um token de autenticação entre a aplicação e o provedor de identidade. Sempre que um usuário faz login, esse token é criado e lembrado para estabelecer o fato de que o usuário foi verificado. Qualquer aplicação ou portal que o usuário tentar acessar será verificado primeiro com o provedor de identidade para confirmar a identidade do usuário.
O SSO permite que os usuários criem e lembrem uma senha forte para sua conta em vez de várias. A abordagem também ajuda a evitar a fadiga da senha e a diminuir a superfície de ataque. Além disso, garante que nenhuma senha repetida seja usada pelos usuários para acessar vários portais e aplicações. Do ponto de vista da segurança, o SSO fornece visibilidade central de todas as atividades do usuário a partir de um local central. Ele permite que as organizações implementem políticas de senha mais fortes para toda a organização.
4. Princípio do menor privilégio
O princípio do privilégio mínimo (POLP) é um dos fundamentos do Zero Trust. Ele permite que os usuários acessem apenas os dados, aplicações e serviços necessários para realizar seus trabalhos. Como os usuários são o elo mais fraco de qualquer organização, essa política garante que eles tenham acesso aos recursos apenas quando necessário. Algumas das maneiras de implementar o POLP são:
- Controle de acesso baseado em função: cada usuário tem permissão ou acesso negado a dados ou recursos de rede com base em sua função na organização. Por exemplo, um funcionário da equipe financeira teria acesso apenas a dados relacionados a finanças e não poderia acessar informações fora de seu escopo.
- Gerenciamento de acesso privilegiado just-in-time: O acesso a recursos e aplicações é concedido por um período de tempo predeterminado. Decorrido o tempo definido, o acesso concedido aos usuários é revogado automaticamente. Por exemplo, um usuário que precisa acessar um portal apenas por alguns dias em uma semana teria acesso apenas para esses dias específicos; eles não teriam acesso permanente 24 horas por dia, 7 dias por semana.
- Acesso suficiente aos recursos: os usuários recebem apenas acesso adequado aos recursos ou serviços que são exigidos por eles para realizar suas tarefas, e não mais do que isso. Por exemplo, um usuário requer acesso a um relatório, mas precisa trabalhar apenas com uma parte dele. Em casos como esse, o usuário obtém acesso apenas às partes do relatório necessárias para seu trabalho.
- Controle de acesso baseado em risco: O acesso aos usuários é dado com base nas pontuações de risco associadas a eles. Os usuários com pontuações de risco mais altas são obrigados a enfrentar desafios de autenticação adicionais, enquanto os usuários com pontuações de risco mais baixas serão obrigados a seguir o método geral de nome de usuário/senha. Por exemplo, um usuário que faz login com credenciais corretas, mas de um novo dispositivo ou de um novo local, pode passar por uma etapa adicional de verificação de segurança.
5. Monitoramento contínuo e atividades de auditoria do usuário
É importante que todas as atividades do usuário sejam continuamente monitoradas e auditadas. Uma abordagem proativa de procurar qualquer ameaça potencial ajuda a prevenir ataques maliciosos. Os dados de log devem ser ingeridos por uma solução SIEM, devem ser analisados posteriormente e alertas em tempo real devem ser configurados caso alguma atividade incomum seja detectada.
6. Monitore os dispositivos
Dispositivos de monitoramento com controles rígidos também são parte integrante da rede Zero Trust. É importante monitorar o número de dispositivos que têm acesso à rede e verificar se eles foram autorizados a acessar os recursos da rede. As organizações também devem acompanhar os dispositivos não gerenciados e gerenciados e garantir que esses dispositivos sejam corrigidos e atualizados regularmente. Para dispositivos BYOD e convidados na rede, controles de acesso rigorosos e métodos de detecção de ameaças devem ser seguidos para reduzir o risco de uma superfície de ataque expandida.
Então, como você começa a trabalhar para criar uma arquitetura Zero Trust para sua própria organização? Na segunda parte desse post, apresentaremos algumas das práticas comuns, porém essenciais, que devem ser adotadas para construir um ambiente Zero Trust. Não perca!
Além disso, uma solução SIEM como o ManageEngine Log360 ajuda as organizações a manter um ambiente Zero Trust com seus recursos UEBA e CASB. Agende uma demonstração personalizada e fale com nossos especialistas em produtos para saber mais sobre isso.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Kritika Sharma.