Zero Trust não é uma escolha – A Perspectiva do endpoint (Parte 1)

17/11/2021 mindsecblog Artigos, Notícias 1

Zero Trust não é uma escolha – A Perspectiva do endpoint (Parte 1). Com base na pesquisa que fiz no LinkedIn alguns dias atrás, que teve mais de 4.500 vizualizações, o tema “Zero Trust” foi o mais votado. Conforme o resultado reproduzido abaixo e como promessa é dívida, aqui está o artigo esperado. 😉

Não foi fornecido texto alternativo para esta imagem

Não é uma surpresa essa preferência pelo Zero Trust: com o passar dos anos, à medida em que muitos ambientes se interconectaram no ecossistema, cada vez mais os perímetros passaram a perder suas fronteiras. Dito isso, gostaria de destacar este tema em uma série de quatro artigos – entendo que é super-relevante no momento atual discorrer sobre esse assunto.

Uma das primeiras publicações nas quais encontrei o tema Zero Trust foi uma do Forrester que li em 2010 e tinha o título “No More Chewy Centers: Introducing The Zero Trust Model Of Information Security”: era uma abordagem sobre a mudança da mentalidade baseada na crença de que bastava um perímetro robusto e a empresa estaria protegida, assim como todos os ativos dentro dele estariam seguros.

Esse tema passou a ser realidade nas empresas com a chegada da pandemia – justamente quando o modelo de Home Office se tornou necessário para a continuidade das operações e sobrevivência dos negócios.

No modelo anterior, os dispositivos recebiam ou deveriam conter “todas as políticas” de proteção de segurança e todas as atualizações, e até mesmo as credenciais dos funcionários tinham uma obrigatória e periódica troca de senhas. No novo modelo em que passamos a sobreviver, dispositivos passaram a ser compartilhados com familiares, os colaboradores não trocam mais suas senhas, não há mais atualização dos sistemas operacionais e softwares. E para piorar, todos esses dispositivos continuam com a capacidade de se conectarem à rede interna da empresa através de VPNs: elas que antes eram usadas somente pelo time de tecnologia, agora passam a ser utilizadas por todos, já que não foi possível viabilizar outro método devido à inesperada pandemia.

Entramos numa tempestade perfeita: os dispositivos, cuja segurança era minimamente “confiável”, passaram a ser totalmente suspeitos em relação à sua efetiva postura de segurança.

Nesse cenário, num momento em que não podemos confiar em nada, e com um modelo perfeito para o comprometimento do nosso ambiente interno, o conceito de Zero Trust cai como uma luva. Como ponto de partida para a consolidação da desconfiança obrigatória e fundamental do Zero Trust, sugiro a observação destes dois pequenos cenários:

Origem de conexões: todos meus usuários são do Brasil? Alguém estará viajando em uma pandemia? Houve alteração de localidades? Está havendo acessos em horários fora do expediente? Estas e muitas outras perguntas podem ser feitas ao se olhar para o escopo da origem das conexões.

Pensando na postura dos dispositivos: existe uma solução para verificar minimamente as características do dispositivo? Por exemplo: há MDM (Mobile device Management)? Posso autorizar este dispositivo entrar em meu ambiente? É possível acrescentar algumas checagens de postura, como verificação da existência de uma solução anti-malware, patches atualizados, máquinas no domínio, existência de certificados nos dispositivos e muitos outros controles. Adicionalmente, é recomendável a utilização de MFA/2FA para as conexões.

Veja: são medidas simples. Mas neste primeiro perímetro “endpoint” já conseguimos criar uma camada significativa para iniciar uma proteção de Zero Trust – não confiando minimamente nos dispositivos que estão conectando em nossa rede.

Espero que você tenha gostado deste artigo. Fica o convite para deixar seu Like, curtir, comentar e compartilhar com os amigos para os quais o assunto fará sentido.

Lembre-se #juntossomosmaisfortes

Por: Alex Amorim