Por que Zero Trust também é necessária no mundo real
Zero Trust é uma das tendências quentes em cibersegurança atualmente. Há poucos anos, era percebida como uma abordagem meio acadêmica com foco em “microsegmentação” e depois autenticação multifatores. Agora, é vista de forma mais geral como um conjunto de princípios orientadores que exige permissão explícita para todo acesso e uso de recursos digitais. Em resumo, é simplesmente a forma certa de fazer cibersegurança.
Seu Caminho para o Zero Trust
Mas a necessidade de Zero Trust não termina na borda cibernética. Com tantos processos se tornando digitais em nossas vidas diárias, a forma como essas informações são controladas tem impacto direto no mundo real.
Um exemplo do mundo real de por que Zero Trust é importante
Peguei o carro para ir à farmácia para buscar uma receita que um médico tinha acabado de enviar. Poucos minutos depois, recebi uma mensagem de texto da farmácia dizendo que era “cedo demais” e que eles só processaraõ a receita daqui a dois meses. Então, eu telefonei para a farmacêutica para verificar. Ela olhou os meus registros e disse: “Sua seguradora falou que a receita foi aviada em 25 de dezembro em [outra rede de farmácias]”, então você vai precisar esperar. Hum... Não. “Eu acabei de receber a receita. Antes disso, passei dois anos sem ir ao médico. E com certeza não fui a uma farmácia no Natal, menos ainda em outra rede.”
Felizmente, uma hora no telefone com a seguradora esclareceu tudo. Mas a forma como isso ocorreu é um exemplo dos problemas que Zero Trust tem o objetivo de combater.
Um mês antes (no Natal), alguém com o mesmo aniversário que eu precisou solicitar ou refazer uma receita do mesmo medicamento relativamente comum. Foi à farmácia que, por coincidência, fica a cerca de 50 km da minha casa. Tinha a mesma seguradora que eu e o nome era parecido com o meu (um conjunto de fatores comuns).
Nos EUA, agora a maioria das farmácias usa a data de nascimento como identificador primário ao pesquisar pessoas. Em seguida, perguntam seu nome e selecionam em uma lista de pessoas com aquele aniversário. Às vezes, perguntam se você ainda tem a seguradora que está listada nos registros deles. Mas, neste caso, era Natal, a pessoa provavelmente estava com pressa e o balconista não ouviu o nome direito ou não reparou que havia várias pessoas com nomes parecidos. Complicou.
Avaliação da situação do ponto de vista da segurança
Do ponto de vista da segurança, há vários erros. O identificador primário (data de nascimento) que a farmácia usou não é exclusivo. Eles não fizeram uma correspondência exata do identificador secundário (nome e sobrenome), que também não é exclusivo. E o nome da seguradora também não é. Em geral, eles não conferem o único dado exclusivo: seu número de ID do seguro. Isso provavelmente ocorre porque tornaria o processamento mais lento—e isso incomodaria os clientes. No entanto, pular esse passo também significa que qualquer pessoa que foi autenticada usando os atributos não exclusivos é implicitamente "confiável" para ter acesso a recursos (medicamentos, neste caso) que não deveria ter.
É o que Zero Trust ajuda a corrigir: garante que as pessoas tenham permissão explícita em cada passo do processo. As pessoas costumavam pensar que a conveniência (para o usuário e as equipes de segurança) compensava o risco potencial. No entanto, como sabemos tão bem, vivemos em outro mundo agora e os pressupostos antigos não se aplicam mais. As abordagens de segurança antigas também não. Felizmente, novas abordagens de segurança, como Secure Access Service Edge (SASE), estão ganhando tração rapidamente e fornecem um método para entregar Zero Trust como um serviço (ZTaaS). Mas esse é um tema para outro dia.
Para quem quiser se aprofundar, este é um vídeo onde Petko Stoyanov, CTO, Governos Globais, Forcepoint explica como os controles de identidade se encaixam em uma arquitetura ZeroTrust adaptável.
