Mesmo que o caminho seja árduo, estabelecer confiança é fundamental e vale tanto para dentro quanto fora de redes corporativas.
Nunca confiar, sempre verificar é a premissa do Zero Trust Network — Rede de Confiança Zero. Quando se trata de dados em rede, todo o cuidado é pouco. A Rede de Confiança Zero foi criada em 2009 por Forrester Research com o objetivo de motivar as empresas a monitorar todo o tráfego na rede para detectar qualquer tipo de falha e comportamento fora do padrão.
Não se trata, de desconfiar do usuário. Na verdade, a meta é rastrear todo o tráfego para detectar movimentos incomuns e impedir que pessoas mal-intencionadas violem dados corporativos confidenciais.
A Rede de Confiança Zero é uma maneira simples e eficiente de garantir a segurança na rede. Mesmo que nos modelos tradicionais em TI ela sempre foi montada acreditando que os dados internos são confiáveis, isso sempre foi um risco. Da forma tradicional, os Malwares conseguem entrar sem serem notados e fazem uma varredura nas informações de forma livre.
Há três princípios de modelo de Confiança Zero. São eles:
1- Certificação
Todos os recursos são acessados de forma segura, não importa a localização. Isso significa proteger os dados internos e os dados externos das ameaças dentro da empresa da mesma forma. Pode ser em uma nuvem pública, nuvem privada ou híbrida. O importante é que seja segura.
2- Inspeção
Há dois métodos na metodologia de zero confiança que são úteis e ajudam a ganhar visibilidade do movimento na rede: registro e inspeção. O registro é fundamental para criar dados para uma auditoria. Caso alguém tenha movido ou deletado um arquivo da rede, você consegue identificar quem foi, que horas e como aconteceu.
Para fazer uma inspeção, é possível fazer uma automatização no processo e programar alertas em tempo real. Assim, é descoberto tudo no momento da ação. Por isso, é importante registrar todos os acessos e inspecionar arquivos e e-mails.
3- Adoção
Adotar uma estratégia menos privilegiada é uma forma de fazer com que os usuários acessem a rede de forma restrita, apenas para o essencial. É como se as pessoas só pudessem saber o estritamente necessário para executar suas funções.
Em grandes empresas, por exemplo, é comum acontecer uma rotatividade de funcionários em diversos cargos e setores. Principalmente quando se trata de colaboradores mais antigos, que atuam há anos na empresa. Quando há mudanças de setor ou dedicação exclusiva a alguns projetos temporários, esses funcionários têm acesso às pastas e arquivos na rede que não tinham antes.
Mesmo que esse acesso seja temporário, é preciso fazer um controle do uso e acesso dessas pastas e não permitir que o que era para ser por um tempo determinado se torne permanente. Quando os funcionários possuem mais acessos que o necessário, geralmente eles não comunicam ao setor de TI.
Por esse motivo, revisar periodicamente todas essas permissões e identificar usuários inativos garante uma política de privilégios mínimos. Para por essa medida em prática é preciso monitorar constantemente as atividades dos colaboradores. Caso ele não esteja acessando uma pasta por meses, pode significar que não há mais interesse nos dados contidos naquele local.
Como o Google faz
Não existe uma fórmula específica para implantar uma Rede de Confiança Zero. De maneira geral, as empresas adquirem Firewall de Nova Geração que fazem filtragens, inspeção profunda, detectam malware, entre outros. Aplicam, assim, um modelo de privilégios mínimos, registram acessos e fazem autenticações com algumas ferramentas, entre elas, Palo Alto e VMware NSX.
O gigante de buscas Google é mais radical e pratica o “nunca confiar, sempre verificar”. Para isso, a Google criou seu próprio framework de segurança: o BeyondCorp. Por meio dele, é possível fazer um controle através dos dispositivos individuais e de usuários sem usar a VPN.
As formas de implementação da Rede de Confiança Zero são vastas. Avisar seu cliente e ajudá-lo a adotar essa ferramenta seguramente trará um upgrade na estrutura defensiva contra ameaças para evitar a violação de dados.
Escreva seu comentário