Adotar uma abordagem de confiança zero pode ser o impulso que as equipes de TI precisam para expor a dívida técnica e garantir que todos os componentes da rede sejam capazes de aplicar controles de segurança.
A confiança zero (ZT) é uma mentalidade e um método, não uma tecnologia. Portanto, o impulso atual para adotar o ZT é movido por uma necessidade urgente e crescente de dar um grande salto no gerenciamento de riscos e contenção de ataques em redes corporativas. Essa, por sua vez, é uma necessidade impulsionada por cada onda sucessiva de ransomware. Então, a TI pode usar a urgência de mudar para a ZT para erradicar parte da dívida técnica no ambiente. Ou seja, especificamente, pode ser um catalisador para encontrar áreas isentas de padrões de rede e segurança de rede e atualizá-las sob o novo paradigma de confiança zero.
Isenção dos componentes de rede das funções de controle de acesso
Em um ambiente ZT, a rede não apenas não confia em um nó novo para ela. Mas também não confia em nós que já estão se comunicando através dela. Quando um nó é visto pela primeira vez por uma rede ZT, a rede exigirá que o nó passe por alguma forma de autenticação e verificação de autorização. Tem um certificado válido para provar a sua identidade? É permitido estar conectado onde está baseado nessa identidade? Ele está executando versões de software válidas, ferramentas defensivas, etc.? Ele deve superar esse obstáculo antes de poder se comunicar pela rede.
Além disso, a rede ZT não pressupõe que um relacionamento de confiança seja permanente ou livre de contexto: uma vez na rede, um nó deve ser autenticado e autorizado para cada operação de rede que tentar. Afinal, ele pode ter sido comprometido entre uma operação e outra. Não obstante, ele pode ter começado a agir de forma aberrante e teve suas autorizações retiradas nos momentos anteriores, ou o usuário daquela máquina pode ter sido demitido.
Mudança de paradigma
Esta é uma mudança radical na forma como os profissionais de rede devem pensar sobre os serviços de rede. De fato, muitas equipes de rede só recentemente ficaram realmente confortáveis com o controle básico de admissão baseado em 802.1x. Além disso, as redes estão repletas de portas, switches, segmentos e sub-redes que nem mesmo impõem esse nível básico de controle de admissão.
Em muitos casos, a porta/segmento/sub-rede/o que quer que seja foi isento porque os sistemas que se conectam através dele – ou mesmo o próprio hardware subjacente – não podem lidar com os protocolos de segurança. Outro motivo pode ter a ver com o fato de que as pessoas que executam essa parte da rede não veem necessidade para esse nível de segurança ou deseja adotá-lo. Contudo, também há a questão da sobrecarga administrativa de implementação e execução do sistema, consideradas muito altas.
Então, como força uma mudança de perspectiva tão completa e vem com suporte de nível de diretoria, a ZT será uma ajuda poderosa para expor a dívida técnica e encontrar a motivação para finalmente resolvê-la.
Mudança para confiança zero força equipes de rede a encontrar dívida técnica
A implementação de uma infraestrutura ZT requer explorar todos os níveis da infraestrutura. Contudo, também visa usá-la para impor políticas de segurança ou certificar-se de que ela esteja configurada para evitar execuções finais em torno de pontos de aplicação de políticas (PEP).
Concentrando-se em switches, por exemplo, se um switch for um PEP, ele deve exigir que um nó tenha permissão para enviar pacotes através dele antes de permitir. Então, ele deve reconfirmar continuamente essa permissão verificando alterações nas atualizações de política enviadas.
No entanto, se o switch não for o PEP e algum nó de gateway separado for, o switch precisará garantir que todo o tráfego passe por esse gateway. Por exemplo, se o gateway for upstream do switch, todo o tráfego das portas de borda deve ser direcionado por meio de um uplink, mesmo que esse tráfego seja destinado a outra de suas próprias portas de borda.
Portanto, se uma organização estiver realmente comprometida com a implementação do ZT da liderança para baixo, as equipes de rede e os proprietários de negócios não poderão mais lançar a modernização no futuro. Afinal, com o objetivo de implementar a confiança zero, eles serão menos capazes do que o normal de desculpar pedaços de infraestrutura não compatível porque é caro atualizá-los.
Modernização
Entretanto, isso não quer dizer que não haverá bolhas de “rede antiga” fechadas atrás de gateways de “nova rede”. Em vez disso, a unidade para ZT exercerá pressão contínua sobre essas bolhas para diminuir, e não apenas na configuração dos componentes de rede. Afinal, os proprietários de aplicativos estarão sob pressão para modernizar um aplicativo que está décadas atrás da curva de segurança, no exato momento pelo menos o suficiente para acomodar um agente para atuar como um gateway ZT em nível de host para componentes que não podem ser atualizados.
Com certeza, os proprietários responderão, como costumam fazer, que não há dinheiro para cobrir os custos dessas modificações. Portanto, o único contrapeso seguro para isso é o compromisso sólido do CEO de que o risco associado à não adoção da ZT é mais caro a longo prazo. As equipes de rede devem se unir à segurança cibernética e ao gerenciamento de riscos para defender e promover o ZT em toda a rede.
