Por Marian Alvarez e João Miguel Mesquita
O teletrabalho que foi implementado devido ao imperativo da pandemia mostrou mais do que nunca que os perímetros de segurança estavam a expandir-se para um infinito quase incontrolável. Em muitas organizações, os responsáveis pela cibersegurança pensam em aplicar o paradigma do Zero Trust como uma estratégia para limitar os riscos tanto quanto possível, mas sem a consciência dos utilizadores dos procedimentos e da usabilidade, e sem investimento para implementar esta nova filosofia e a automatização que exige, os profissionais do setor de TI não o veem generalizado a curto ou médio prazo.
A Definição de Zero Trust indica que é uma estratégia de cibersegurança que impede que as fugas de dados atinjam os seus objetivos. Com esta “arquitetura”, cada dispositivo, aplicação e micro serviço é responsável pela sua própria segurança.
Nova filosofia nas estratégias tradicionais
Como seres humanos que somos, socializamos e confiamos nos outros a um certo nível. A informação partilhada está relacionada com o nível de confiança (ou seja, quanto maior o nível de sensibilidade da informação, maior o nível de confiança). Este mesmo conceito é o que foi aplicado na arquitetura de TI até que um analista da Forrester lançou o conceito Zero Trust em 2010, que se baseia na premissa de que a confiança não pode ser concedida para sempre e deve ser continuamente avaliada.
Com o Zero Trust efetivamente, para todos os efeitos práticos, não há perímetro. Um especialista explicou-nos que “este perímetro livre consiste em fingir que todos os dispositivos estão ligados a uma rede aberta ao público e, portanto, tudo deve ser suspeito, e tudo deve ser autenticado, autorizado e validado”. Ou seja, a segurança do perímetro está a ficar confusa devido à enorme complexidade da infraestrutura de rede que tem de ser gerida.
Para a maioria dos gestores especializados em e cibersegurança, o Zero Trust não é uma filosofia assim tão nova, embora implique uma mudança de paradigma em termos de perspetivas tradicionais. A necessidade de proteger os nossos sistemas de informação e proteger o que é considerado o “elo mais fraco”, que normalmente é o utilizador, sempre foi considerada.
Sabemos bem que os responsáveis pela gestão de cibersegurança terão mais trabalho pela frente para atingir dentro da sua organização a filosofia “Zero Trust”, na consciência do utilizador, os especialistas reconhecem que hoje com o surgimento de soluções cloud, software como serviço (SaaS), soluções descentralizadas, dispositivos médicos ligados à Internet (IoMT), etc., a barreira do perímetro é cada vez mais turva, por isso é necessário tomar medidas de segurança adicionais para permitir que estes novos ambientes sejam protegidos.”
Zero Trust, pandemia e teletrabalho
Existem alguns especialistas que não acreditam que a pandemia tenha afetado muito a implementação da política do Zero Trust nas empresas, “porque apesar de ter afetado todo o tipo de organizações, afetou em grande parte as empresas cuja transformação digital foi adiada e onde em muitos casos não tinham ligações adequadas ao exterior”, pelo que foram obrigadas a implementar acessos remotos que inicialmente não tinham previsto, esperado a médio ou longo prazo.
No entanto, estes especialistas, reconhecem que, como resultado de teletrabalho forçado, um grande número de funcionários acabou por trabalhar nos seus portáteis pessoais com anti malware gratuito, ligado a um router doméstico provavelmente mal configurado. “E este cenário, tão comum nos últimos tempos”, explicam, “gerará grandes problemas de cibersegurança ao longo do tempo e o regresso da normalidade, porque os invasores têm tido um caminho aberto e fácil de explorar para muitas organizações e estão a desdobrar as suas capacidades dentro delas para os explorar quando o considerarem mais rentável”.
As grandes empresas, que já tinham acesso remoto e medidas de segurança mais ou menos maduras, continuaram a implementar arquiteturas Do Zero Trust durante a pandemia, ou se não o fizeram, começaram a considerar a sua inclusão no seu roteiro. No entanto, para este tipo de empresa, pode ser muito complicado adotar 100% Zero Trust em muito pouco tempo, uma vez que têm as suas próprias infraestruturas que condicionam a sua adoção e fazem-nas processos ultra complexos, “pelo que será uma atividade de longa viagem que muitas vezes não termina de forma satisfatória”, afirmam alguns especialistas.
É claro que hoje é um desafio para qualquer organização iniciar uma mudança de arquitetura no panorama tecnológico, “uma vez que as organizações estão focadas principalmente em garantir o seu financiamento e cash flow, de forma a abordar a multiplicidade de imprevistos que esta pandemia nos está a levar. A crise COVID-19, segundo os profissionais, também destruiu as estratégias de segurança e os modelos de acesso remoto de muitas organizações, “é imperativo proteger os portos de entrada e saída de infraestruturas empresariais antes que seja tarde demais (se é que já ainda não é)”.
A pandemia alterou os parâmetros e modalidades de trabalho, e o que antes se encontrava num ambiente controlado nas instalações de uma organização, e como diz um dos especialistas com quem conversámos,”no nosso CPD, numa sala fechada, depois publicamos na Internet, com VPN e acessível a partir de um computador em casa, num hotel ou mesmo noutro país”. Por isso, considera que neste novo cenário, “é essencial não só validar a identidade do utilizador, mas também validar qualquer dispositivo que tente ligar-se à nossa infraestrutura antes de permitir o acesso “.
Só assim se poderão impor as políticas e medidas de segurança que são geralmente implementadas nas equipas empresariais de infraestruturas das organizações, se aplicável, mas também a todas estas equipas, sejam elas próprias ou fornecedores, “e se não cumprirem esses requisitos, o acesso é limitado”.
Especialistas acreditam que é necessário desmistificar o que a Zero Trust significa. “Porque não é uma nova tecnologia. Pode ser construída em cima da arquitetura existente na grande maioria das organizações e não deve exigir remoção e substituição. Não existem produtos da Zero Trust, mas há produtos que funcionam bem em ambientes da Zero Trust e outros que nem por isso.”
Custos de instalação e complexidade
Este novo paradigma de segurança faz da infraestrutura das organizações uma rede em evolução, movendo defesas de rede de grandes perímetros para se concentrar em grupos individuais ou pequenos recursos. Peritos explicam que uma estratégia do Zero Trust é aquela em que a confiança implícita não é concedida a sistemas baseados na sua localização física ou de rede (ou seja, redes locais versus Internet) se não se assumir que são princípios que:
A rede é sempre hostil.
Ameaças externas e internas estão sempre presentes.
As redes internas não são suficientes para confiar nelas só porque sim.
Cada dispositivo, utilizador e fluxo de rede devem ser testados.
Deve registar e inspecionar todo o tráfego.
Portanto, com este novo paradigma, temos de deixar claro que:
O acesso interno nem sempre é fiável, e modelos como o compromisso assumido devem estar na ordem do dia.
Os ataques modernos vêm de dentro para fora, não de fora para dentro, como foi feito no passado; é mais importante monitorizar a sua rede interna do que os ataques que ocorrem a partir da internet.
Sistemas fiáveis atraem invasores.
O acesso interno é regulado de forma mais flexível, mas tem de ser mais controlado para perceber qualquer mudança.
Assim, na opinião dos profissionais do setor, a Zero Trust oferece mais segurança, uma vez que aumenta os processos de verificação, monitoriza os utilizadores e compartimenta os dados da organização, dificultando o acesso à informação da empresa. Ou seja, utiliza muito mais recursos, o que se traduz em custos de instalação mais elevados e complexidade.
Os profissionais que estão no terreno na auditoria e implementação da cibersegurança em todos os tipos de organizações, dizem que “há muita desinformação sobre modelos de confiança zero na Internet. Leem-se artigos alegando que redes privadas virtuais (VPNs) e Camadas de Tomadas Seguras (SSL) são desnecessárias, ou outras afirmações igualmente escandalosas. O que devem dizer é que proteger até ao nível do servidor não é suficiente. O Zero Trust traz novas tecnologias e salvaguardas para a infraestrutura, bem como mexer com as existentes.”
No final, como explicam os especialistas, todas as proteções não são funções discretas, mas foram orquestradas numa estratégia de defesa correlacionada que é centrada em dados, consciente do fluxo de trabalho e empurra as ameaças de volta para a rede.
Basta lembrar que os dispositivos num modelo de acesso a políticas, como um ponto de aplicação de políticas (PEP), são semelhantes às firewalls de aplicações totalmente implantadas, até um tipo de utilizador e os seus dados associados. Continua a ser necessária uma abordagem de segurança em camadas, especialmente para a tecnologia antiga, que não pode ser totalmente integrada na sua estratégia de segurança.
Os pontos-chave mais problemáticos
Além dos custos, entre os problemas que alguns CSO frequentemente encontram, na opinião de alguns especialistas “está o uso de dispositivos pessoais para uso profissional. Isto ficou claro com a chegada “forçada” de teletrabalho. Constatou-se que nem todos os trabalhadores tinham dispositivos portáteis corporativos para poderem trabalhar a partir de casa, nem tinham acesso VPN até então, pelo que era necessário disponibilizar dispositivos corporativos aos nossos colaboradores.” Mas, como explicamos, sobretudo na Administração Pública, estes dispositivos na primeira fase não chegaram a todos os trabalhadores, com quem foi permitido o acesso à utilização de dispositivos pessoais. Não se sabia quais as medidas de segurança em vigor para estas equipas, pelo que foram consideradas inseguras em primeira mão.
Mas isto vai além; “Por exemplo, no setor da saúde, encontramos teleconsultas, ou mesmo equipamentos de diagnóstico ligados à Internet, o chamado IoMT, um pequeno dispositivo que se liga à rede e por sua vez interpela com os nossos sistemas. Obviamente, toda esta variedade de dispositivos e a informação que contêm devem ser protegidas de ameaças novas e cada vez mais sofisticadas.”
Os especialistas concordam com esta necessidade de proteção e, embora acreditem que a implementação de uma arquitetura Zero Trust é interessante para as organizações, traz muitos riscos associados de todos os tipos e em cada fase da sua implementação. Portanto, não há ponto mais problemático do que os outros, mas formam um conglomerado de problemas que podem comprometer a estratégia do Zero Trust de qualquer empresa.”
Alguns dos exemplos mais comuns de falha em Zero Trust:
Há uma falta comum de apoio por parte dos líderes das organizações. Isto pode ser devido a uma compreensão limitada e falta de consciência do que é uma arquitetura Zero Trust.
Muitas vezes, o âmbito de trabalho entre equipas de negócios e engenharia não é claro e pode afetar os resultados desejados.
A falta de apoio da organização na avaliação de riscos empresariais críticos pode fazer com que a equipa de engenharia use o seu julgamento com base na arquitetura de TI e não numa visão global que inclua negócios reais e necessidades de TI.
É um erro comum que, quando se gera um plano de migração do Zero Trust, não esteja alinhado com operações e prioridades empresariais, levando a determinadas falhas.
As políticas de acesso e as equipas de administração fazem parte da arquitetura Zero Trust porque são responsáveis pela execução de decisões de concessão e revogação de direitos de acesso. Portanto, políticas deficientes ou administração defeituosa ou comprometida podem resultar na concessão de acesso que não seria aprovado em circunstâncias normais e criar um risco para a organização.
A engenharia social tem sido um problema desde as origens da cibersegurança e pode levar a que os utilizadores falsifiquem até que os componentes da Zero Trust detetem uma anomalia e revoguem o acesso não autorizado. Para evitar isto, é necessária uma elevada consciência dos utilizadores da organização e uma análise do seu comportamento.
Os controlos IAM reduzem a superfície de ataque; no entanto, os cibercriminosos com uma identidade comprometida de uma máquina autorizada ainda podem aceder a informações parciais. E um playload descarregado enquanto um utilizador abre um e-mail malicioso pode levar a um cenário de ataque avançado e persistente. Portanto, os conceitos de Reautorização, expiração da sessão, lista de permissões de aplicação, agregação de registos em tempo real, análise de comportamento, inteligência de ameaças e mitigação são fundamentais para uma operação bem-sucedida do sistema e úteis para controlar este tipo de cenário que é prejudicial para a organização.
Conscientização e implantação
Em Portugal ainda não existem dados para avaliar o nível de implementação desta filosofia “os estudos que normalmente são acedidos são internacionais , e não conheço nenhuma instituição, nem privada nem pública, que tenha realizado este estudo.
Quanto aos dados internacionais, são bastante preocupantes na opinião de especialistas. O “Relatório Global sobre o Estado do Zero Trust” da Fortinet alerta sobre os problemas das empresas para implementar recursos básicos de Zero Trust. Especificamente, mais de 50% das organizações têm problemas nesse sentido, apesar de mais de 80% dos entrevistados admitirem ter uma estratégia de Zero Trust em vigor ou em desenvolvimento.
A análise reflete ainda que 77% dos participantes afirmam compreender os conceitos da Zero Trust. Além disso, 60% dos 472 líderes de TI e segurança inquiridos dizem não ter a capacidade de autenticar continuamente utilizadores e dispositivos, e 54% têm problemas em monitorizar estes utilizadores após a conclusão da autenticação.
“Como se isso não bastasse”, explica um especialista, no artigo “Zero Trust Architecture – Mito ou Realidade?” dos meus colegas da ISACA International, obtém-se como resultado de um inquérito a mais de 400 decisores de cibersegurança de uma amostra equilibrada de organizações de diferentes tamanhos e diversos setores, refletindo que 53% confiam nas arquiteturas da Zero Trust, enquanto 43% ainda hesitam em aplicar um modelo de confiança zero à sua arquitetura.”
Esta reação mista pode ser entendida pelo facto de 40% das execuções de confiança zero terem tido um aumento no orçamento, enquanto 45% dos orçamentos permaneceram os mesmos e 15% não só mantiveram o seu orçamento de cibersegurança, mas também sofreram uma diminuição do seu orçamento.
Neste momento, as empresas que estão a implementar o Zero Trust são empresas com um nível de maturidade muito elevado, uma vez que é uma arquitetura que aumenta os custos para a organização e requer um nível muito elevado de automatização de procedimentos e processos.