… a realidade: as profundas transformações que as infraestruturas de redes tiveram nestes últimos anos, graças aos avanços tecnológicos proporcionados pelo acesso a Internet de banda larga e a popularização dos dispositivos móveis, também trouxeram mudanças consideráveis na forma com que o gerenciamento era feito. Se antes, a linha que definia o perímetro entre a rede local e o mundo externo era bem definida, esta divisão se tornou mais difusa nos dias atuais, graças ao uso dos dispositivos pessoais dos funcionários (BYOD). No entanto, algumas empresas ainda “teimam” em acreditar que esta linha ainda existe…
“Despite never-ending data breaches and ransomware attacks, too many companies still rely on the outdated “trust but verify” cybersecurity strategy. This approach assumes that any user or device inside a company’s network can be trusted once it has been verified. The approach has clear weaknesses: Many businesses are putting themselves at additional risk by verifying once, then trusting forever. There was a time when trust but verify made sense, namely when networks were self-contained and well-defined. But at some point…”
— by Dark Reading.
Dentre as práticas de segurança adotadas pelas empresas para garantir que tais dispositivos (e seus respectivos usuários) não ofereçam risco para a integridade e confidencialidade das informações trafegadas pela sua infraestrutura local, está o Zero Trust! Sob o lema “nunca confiar, sempre verificar”, ela estabelece que todos os acessos aos recursos e informações feitos deverão ser inspecionados, sob a premissa de que os usuários e seus dispositivos não são confiáveis. No entanto, não é exatamente isto o que acontece, pelo fato de que muitas empresas estarem se colocando em risco ao “verificar apenas uma vez e confiar sempre”!
Rob Sloan e Sam Curry publicaram um artigo no portal Dark Reading, o qual traz algumas ponderações sobre as práticas em que as empresas vêm sendo obrigadas a adotar, em vista das altas cargas de trabalho que os seus profissionais são submetidos. Segundo eles, em algum momento “devido ao volume esmagador de dispositivos em uma rede, ao número de patches que precisavam ser aplicados, as demandas do usuário e as restrições de recursos da equipe de segurança cibernética”, as coisas começaram a desandar e tarefas que necessitavam ser executadas de forma repetitiva, acabam sendo feitas de forma esporádica e até mesmo deixadas de lado, como é o caso das verificações continuas aos usuários que após serem autenticados, precisam acessar os recursos da infraestrutura.
Por isto, a equipe passa a direcionar os seus esforços para as tarefas mais críticas, em vista de ser praticamente impossível atender a todas as demandas! Por isto, as verificações recorrentes acabam sendo deixadas de lado, embora elas não causem danos na maioria das vezes em que não são executadas. Porém, se o usuário decidir agir contra os interesse de seu empregador, os resultados podem ser catastróficos e quanto mais sensíveis forem as informações às quais o indivíduo tiver acesso, maior será o risco assumido pela empresa! Dependendo da seriedade das violações de segurança causadas por acesso indevido, não só podem causar prejuízos da ordem de milhões a bilhões de dólares, como também acabam aumentando os custos relacionados as auditorias de conformidade e suas respectivas certificações.
Não há muito o que dizer: a implementação de uma arquitetura de segurança Zero Trust deverá ser feita de forma correta e integral, mesmo com todas as suas complicações e implicações! Além disso, elas também deverão adotar o princípio de oferecer o mínimo de privilégios necessário, para que os usuários acessem somente os recursos & informações que serão necessárias para a execução das suas tarefas, o que certamente irá implicar na utilização de controles mais robustos para o gerenciamento de identidade e acesso (IAM). Se por um lado, a modernidade nos oferece mais vantagens e possibilidades sob diversos aspectos, por outro ela também acaba trazendo mais desafios e complexidades (em termos de segurança).
Ou então, devemos abandonar o uso de dispositivos pessoais (BYOD)? &;-D