As ameaças cibernéticas estão crescendo em termos de difusão, furtividade e gravidade, e as possíveis consequências de uma violação são mais graves do que nunca. Com o crescente ceticismo e cautela entre as equipes de segurança, faz sentido adotar o princípio “nunca confie, sempre verifique”, também conhecido como Zero Trust Network Access (ZTNA). A ZTNA visa autenticar e autorizar cada usuário e dispositivo, não importa onde estejam, antes de conceder acesso aos aplicativos e ativos de que necessitam.
Quando usuários autenticados obtêm acesso apenas aos recursos absolutamente necessários para seus trabalhos, o risco de roubo e exfiltração de dados diminui automaticamente. Mas não diminui completamente. Dados recentes indicam que apesar 94% das organizações que se sentem confiantes sobre sua compreensão do ZTNA, 68% ainda sofreram um ataque cibernético no ano passado, de acordo com um Relatório de Tendências de Segurança Híbrida de 2023 (PDF) da Netwrix..
Por que ZTNA falha
Uma das principais razões pelas quais o ZTNA falha é que a maioria das implementações do ZTNA tende a se concentrar inteiramente na segurança do acesso remoto. A crença de que os usuários dentro do perímetro do escritório podem ser intrinsecamente confiáveis viola a abordagem de “nunca confiar” da ZTNA. Ele ignora as ameaças representadas por funcionários e equipes de TI insatisfeitos que estão dentro das instalações seguras do escritório, com credenciais autênticas, mas com intenções maliciosas. Ademais, mesmo funcionários bem-intencionados estão propensos a cometer erros de julgamento e nas operações diárias.
Outro problema com a abordagem remota do ZTNA é que os administradores não podem mais construir uma única política de acesso a aplicativos para usuários internos e externos. Isto por si só pode criar lacunas e afetar a eficiência operacional das organizações. No entanto, estender o ZTNA aos utilizadores internos também tem os seus desafios:
- Infraestrutura de rede: Para implementar ZTNA no escritório, as organizações precisam garantir que sua infraestrutura de rede suporte as tecnologias e protocolos necessários. A abordagem tradicional do ZTNA pode envolver a implantação de SDP (perímetro definido por software), VPNs (redes virtuais privadas) ou gateways de acesso seguros que possam impor os princípios do ZTNA na rede local.
- Segmentação de rede: ZTNA depende da segmentação de redes e recursos para limitar o acesso com base na identidade do usuário e na postura do dispositivo. Os administradores podem ter que reconfigurar sua arquitetura de rede interna para implementar segmentação de rede e controles de acesso adequados.
- Dispositivos e aplicativos legados: O ZTNA baseado em agente às vezes é incompatível com determinados dispositivos já usados na organização. Sistemas e aplicativos legados hospedados em data centers internos também podem não se integrar perfeitamente ao ZTNA.
Apesar desses desafios, estender os recursos do ZTNA aos usuários do escritório é crucial para fornecer acesso seguro e melhorar a postura geral de segurança.
RBAC+ pode estender ZTNA para usuários e administradores de TI dentro do escritório
O RBAC+ amplia os recursos do RBAC (Role Based Access Control), que associa políticas de acesso a funções e atribui usuários a funções específicas. O RBAC+ vai um passo além ao incorporar atributos do usuário, fatores ambientais e consciência situacional just-in-time para implementar políticas de controle de acesso mais dinâmicas, conscientes do contexto e refinadas.
O RBAC+ permite que as organizações mapeiem funções de trabalho para políticas de acesso dentro da estrutura ZTNA. Isso garante que, esteja o usuário no escritório ou fora dele, o acesso aos recursos de TI será determinado pela mesma política ZTNA e identidade do usuário. Além da identidade do usuário, fatores ambientais e contextuais, como postura do dispositivo, localização do usuário e horário do dia, também orientam o controle de acesso do ZTNA para detectar anomalias e evitar abuso de privilégios em tempo real.
As organizações modernas estão agora a tentar quebrar silos e adotar equipas multifuncionais com abordagens como DevOps e SASE (Secure Access Service Edge), que integra rede e segurança por trás de uma única consola de gestão para melhor visibilidade, desempenho de rede e cobertura de segurança. Com o RBAC+, as organizações podem definir e gerenciar as funções dinâmicas e sobrepostas de hoje, globalmente ou por local. Eles podem personalizar funções e definir políticas de acesso extremamente granulares para recursos individuais em estruturas de rede e segurança.
No cerne do ZTNA está a capacidade de inspecionar continuamente os fluxos de tráfego assim que os usuários obtiverem acesso. Implementações bem-sucedidas de ZTNA aproveitam algoritmos de IA e ML para identificar atividades suspeitas com base em dados históricos e inteligência de ameaças disponível. Isso garante que quaisquer tentativas de acesso suspeitas ou desvios do comportamento normal por parte de usuários autenticados e autorizados possam ser detectadas e mitigadas imediatamente, reduzindo o risco de ataques internos bem-sucedidos.
As proteções avançadas de DNS também desempenham um papel crucial no fortalecimento da ZTNA, porque os cibercriminosos muitas vezes procuram redirecionar ou manipular solicitações de DNS para extrair credenciais ou exfiltrar dados. As organizações podem usar proteções DNS avançadas, como filtragem DNS, DNSSEC (Extensões de Segurança DNS) e monitoramento e análise de DNS, para detectar atividades DNS maliciosas e identificar e bloquear domínios usados para phishing e outras formas de ataques cibernéticos. Ao impedir o acesso de pessoas internas a domínios maliciosos, as organizações podem aumentar a eficácia geral do ZTNA e mitigar os riscos para os recursos internos de TI.
Fortaleça o controle de acesso com recursos abrangentes de ZTNA
Sabe-se que os atores de ameaças exploram fraquezas no controle de acesso e autorização. Eles estão sempre em busca de credenciais de contas privilegiadas, e a dark web oferece uma plataforma de fácil acesso para adquiri-las. É por isso que o controle de acesso deve ir além das credenciais e da MFA (autenticação multifatorial). Embora a ZTNA seja uma estratégia fundamental para a implementação de verificação contínua e controlos de acesso rigorosos, deve ser complementada com componentes adicionais para uma segurança abrangente. Como ponto de partida, o ZTNA abrangente deve estender o acesso de confiança zero a usuários remotos e no escritório de forma consistente e contínua. Também deve ser fortalecido com monitoramento contínuo e proteções DNS avançadas para ameaças internas e ataques que contornam os mecanismos de autenticação e autorização.
