A maior parte das organizações ao redor do mundo implementou uma estratégia de cibersegurança com base no modelo zero trust, ou confiança zero. De acordo com a consultoria Gartner, 63% das organizações implementaram a estratégia de forma parcial ou completa.
O zero trust parte do pressuposto de que nenhum usuário ou processo é confiável e, por isso, todos devem ser verificados de forma contínua. Um modelo zero trust inspeciona todo o tráfego de uma rede corporativa, limita e controla o acesso à rede e verifica os recursos de rede.
Leia mais
- Brasil sofreu 60 bilhões de tentativas de ataques cibernéticos em 2023
- Microsoft revê medidas de segurança após ataques cibernéticos
- Educação formal não prepara para guerra cibernética, revela estudo
Na prática, usuários em ambientes zero trust solicitam acesso a cada recurso protegido de forma separada e, normalmente usam autenticação de vários fatores. Um exemplo disso é fornecer uma senha para logar em um sistema e receber um código de autenticação pelo celular.
Dentro do zero trust, o padrão é de que dados e recursos estejam inacessíveis. Os usuários só podem acessá-los dentro das circunstâncias certas e, ainda assim, de forma limitada.
![](https://img.odcdn.com.br/wp-content/uploads/2023/08/Ciberseguranca-1-1024x731.jpg)
John Kindervag desenvolveu as primeiras concepções do modelo em 2008, enquanto trabalhava na empresa de pesquisa Forrester Research. Em 2010, ele publicou o primeiro relatório sobre a nova estratégia de cibersegurança.
Nos anos seguintes, surgiram diferentes definições do zero trust, mas que ainda se ancoravam bastante nos princípios dados por Kindervag.
O big bang do zero-trust aconteceu em maio de 2021, quando o presidente dos Estados Unidos Joe Biden divulgou uma ordem executiva em que determinava que o zero trust fosse usado em sistemas de computação do governo.
Etapas de implementação do zero trust
Para implementação em organizações, o modelo conta com cinco etapas principais, segundo relatório do Comitê Consultivo de Segurança Nacional (NSTAC). O processo pode ser muito grande, então dividi-lo em partes menores e gerenciáveis é importante.
![](https://img.odcdn.com.br/wp-content/uploads/2024/05/hacker-3-1024x576.jpg)
As principais etapas são:
- Identificar Dados, Aplicações, Ativos e Serviços (DAAS) que precisam ser protegidos;
- Mapear o fluxo de transações que passam pelos DAAS protegidos para entender como a rede funciona. Isso irá mostrar como os componentes do DAAS interagem com outros recursos;
- As etapas anteriores irão mostrar como construir uma arquitetura zero trust. Os elementos que irão fazer parte dessa arquitetura não podem ser pré-determinados e surgem mediante cada contexto;
- Criar uma política de segurança para a rede;
- Monitorar o tráfego da rede para garantir que as transações permaneçam dentro das políticas estabelecidas.