alphaspirit - Fotolia
Estudo de caso do modelo de confiança zero: a experiência de uma CISO
Adotar um ambiente de confiança zero foi uma aposta certeira para a GitLab, de acordo com a ex-diretora de segurança da empresa, mas pode não ser uma decisão adequada para todas as empresas.
Kathy Wang teve um desafio significativo quando assumiu o cargo mais alto de segurança na GitLab: descobrir como fortalecer uma empresa que não tinha parâmetros para proteger.
Wang disse que quando se tornou diretora de segurança da empresa em 2017, ela sabia que um programa de segurança convencional não funcionaria com uma base de funcionários 100% remota. Ela optou por implementar um modelo de confiança zero porque era a maneira mais eficaz de defender uma rede sem fronteiras e, ao mesmo tempo, permitir aos funcionários o acesso de que precisavam.
"Nossos usuários estavam em todo o mundo trabalhando em um ambiente [de software como serviço]. Isso exigia uma estratégia de defesa diferente do modelo baseado em perímetro que a maioria das empresas usa", disse Wang. "Nós apenas acreditamos que cada host e ativo na rede precisa ser protegido."
O roteiro de confiança zero
Wang entrou na GitLab já familiarizada com o modelo de confiança zero, tendo seguido a implementação dessa abordagem divulgada pelo Google. Ela disse que a GitLab, como uma empresa nativa da nuvem, parecia uma forte candidata para essa filosofia de ponta, mas ela também sabia que havia muito trabalho a fazer para migrar a GitLab para um ambiente de confiança zero.
"A confiança zero é um processo", acrescentou ela, "por isso, nunca está concluído."
Ela iniciou o processo classificando os dados da empresa em quatro categorias - vermelho sendo o mais sensível, ao passo que laranja, amarelo e verde eram informações públicas. "Isso nos deu uma boa compreensão do que tínhamos que proteger", explicou ela.
Quando isso foi feito, a equipe construiu um roteiro para implementar um modelo de confiança zero. O roteiro incluiu linhas separadas para implementar confiança zero para cada um dos três segmentos:
- Dados armazenados e processados pela própria GitLab como parte de seu serviço SaaS.
- Ativos do usuário, como laptops de funcionários usados para acessar dados.
- A infraestrutura de back-end que dá suporte ao negócio, toda gerida por terceiros.
A partir daí, Wang identificou oportunidades que se sobrepunham a todas as três áreas para acelerar a adoção, minimizar custos e maximizar os benefícios.
“Nem todas as soluções funcionariam em todos os três roteiros, mas tentamos implementar primeiro as soluções que funcionariam em mais de um”, explicou ela.
Por exemplo, todas as três linhas exigiam o uso de logon único para gerenciamento de identidade e acesso, então Wang começou aí, lançando uma solução de logon único da Okta, que controlaria o acesso em todos os três segmentos.
A equipe de segurança de Wang também implementou a plataforma Osquery-Powered Security Analytics, da Uptycs, para ajudá-los a construir um banco de dados de ativos que pudesse identificar, ou confiar, todos os atributos de um servidor ou host antes de permitir o acesso - outro elemento-chave de um modelo de confiança zero. Wang disse que essa mudança apoiava a confiança zero nos dois primeiros segmentos do roteiro daGitLab.
A equipe de segurança do GitLab também implementou uma solução Universal 2nd Factor (U2F) da YubiKey.
Wang, que deixou a GitLab em 2019 após dois anos como diretora de segurança, reconheceu que mudar para um modelo de confiança zero traz desafios. Por exemplo, Wang e sua equipe tiveram que ter cuidado para garantir que a implementação de novas medidas de segurança, como log-on único, não interrompesse os fluxos de trabalho. A equipe de Wang planejou implementações em pequenas fases para minimizar o potencial de interrupções. Ela também promoveu os benefícios da confiança zero em toda a empresa para obter adesão, algo que era particularmente valioso quando ela precisava que os usuários realizassem etapas extras para ajudar a verificar a si mesmos antes de obter acesso.
Maior adoção de confiança zero
Outros líderes de segurança estão apostando no conceito de confiança zero. O relatório 2020 Zero Trust Progress, da empresa de software Pulse Secure, descobriu em sua pesquisa com 400 tomadores de decisão de segurança cibernética que 72% das organizações planejam avaliar ou implementar recursos de confiança zero em alguma capacidade em 2020. Cerca de 43% têm projetos planejados e 29% tem um modelo de confiança zero em vigor ou em andamento.
O relatório identifica ainda os recursos de confiança zero que as organizações consideram mais atraentes, incluindo:
- Autenticação/autorização contínua (67%)
- Confiança conquistada por meio de verificação de usuário/dispositivo/ infraestrutura (65%)
- Proteção de dados (63%)
- Visibilidade de acesso ponta-a-ponta (56%)
- Facilitar estratégias de acesso com privilégios mínimos (54%)
- Política de acesso centralizado e granular (46%)
- Segregação de recursos (44%)
- Ausência de distinção de confiança entre redes internas e externas (39%)
Apesar da promessa - e do exagero - em torno da abordagem de confiança zero, Wang não a vê como um modelo único e autônomo para proteger uma empresa.
"A confiança zero, se implementada bem e cuidadosamente, cobrirá muitas bases, mas não é a única coisa que você precisa fazer", disse ela. "Segurança é sobre pessoas, processos e tecnologia. Se você não tem uma equipe grande o suficiente para montar isso, se você não tem orçamento para dimensionar isso, torna-se um problema. A segurança é sempre sobre camadas."
Outros ofereceram uma visão semelhante.
A Gartner, empresa de consultoria e pesquisa de tecnologia, inclui confiança zero como parte de sua Avaliação de Confiança e Risco Adaptável Contínuo.
"Chamamos isso de abordagem estratégica, uma maneira de pensar sobre a evolução da segurança onde tudo está em fluxo, o tempo todo", disse Neil MacDonald, analista da Gartner.
Ele disse que as organizações devem ver o modelo de confiança zero, com sua filosofia básica de que nada acessa nada até que sua identidade seja verificada, como um ponto de partida, mas também devem implementar processos para monitorar ativos uma vez que eles estejam na rede.
“A segurança não pode ser um conjunto de portões de acesso único; a segurança deve ser contínua, o tempo todo”, explicou. Por exemplo, o gerenciamento de identidade e acesso é uma porta, mas a análise do comportamento do usuário e da entidade, com seu uso de análise para monitorar as ações dos usuários, fornece um elemento de monitoramento contínuo.
Embora os estudos mostrem que a maioria dos líderes de segurança consideram pelo menos os recursos de confiança zero, MacDonald disse que a mudança para um modelo de confiança zero e monitoramento contínuo é em si um processo contínuo.
“Esta é uma jornada de implementação gradual da confiança zero, especialmente quando dispositivos legados estão envolvidos”, disse ele. "Você não pode simplesmente fazer algo como apertar um interruptor de luz. É [um trabalho] difícil, e é por isso que vai demorar anos."