Zero trust: como funciona a estratégia de cibersegurança?

A maior parte das organizações ao redor do mundo implementou uma estratégia de cibersegurança com base no modelo zero trust, ou confiança zero. De acordo com a consultoria Gartner, 63% das organizações implementaram a estratégia de forma parcial ou completa.

O zero trust parte do pressuposto de que nenhum usuário ou processo é confiável e, por isso, todos devem ser verificados de forma contínua. Um modelo zero trust inspeciona todo o tráfego de uma rede corporativa, limita e controla o acesso à rede e verifica os recursos de rede. 

Leia mais

• Brasil sofreu 60 bilhões de tentativas de ataques cibernéticos em 2023 
• Microsoft revê medidas de segurança após ataques cibernéticos
• Educação formal não prepara para guerra cibernética, revela estudo

Na prática, usuários em ambientes zero trust solicitam acesso a cada recurso protegido de forma separada e, normalmente usam autenticação de vários fatores. Um exemplo disso é fornecer uma senha para logar em um sistema e receber um código de autenticação pelo celular.

Dentro do zero trust, o padrão é de que dados e recursos estejam inacessíveis. Os usuários só podem acessá-los dentro das circunstâncias certas e, ainda assim, de forma limitada. 

John Kindervag desenvolveu as primeiras concepções do modelo em 2008, enquanto trabalhava na empresa de pesquisa Forrester Research. Em 2010, ele publicou o primeiro relatório sobre a nova estratégia de cibersegurança.

Nos anos seguintes, surgiram diferentes definições do zero trust, mas que ainda se ancoravam bastante nos princípios dados por Kindervag.

O big bang do zero-trust aconteceu em maio de 2021, quando o presidente dos Estados Unidos Joe Biden divulgou uma ordem executiva em que determinava que o zero trust fosse usado em sistemas de computação do governo. 

Etapas de implementação do zero trust

Para implementação em organizações, o modelo conta com cinco etapas principais, segundo relatório do Comitê Consultivo de Segurança Nacional (NSTAC). O processo pode ser muito grande, então dividi-lo em partes menores e gerenciáveis é importante.

As principais etapas são:

1. Identificar Dados, Aplicações, Ativos e Serviços (DAAS) que precisam ser protegidos;
2. Mapear o fluxo de transações que passam pelos DAAS protegidos para entender como a rede funciona. Isso irá mostrar como os componentes do DAAS interagem com outros recursos;
3. As etapas anteriores irão mostrar como construir uma arquitetura zero trust. Os elementos que irão fazer parte dessa arquitetura não podem ser pré-determinados e surgem mediante cada contexto;
4. Criar uma política de segurança para a rede;
5. Monitorar o tráfego da rede para garantir que as transações permaneçam dentro das políticas estabelecidas.