A confiança zero — ou zero trust, como também é chamado o conceito de segurança de rede — é prioridade para a maioria das organizações como uma estratégia crítica para reduzir o risco, mas poucas organizações realmente concluíram implementações de confiança zero.
O Gartner prevê que, até 2026, 10% das grandes empresas terão um programa de confiança zero maduro e mensurável, contra menos de 1% atualmente.
O Gartner define confiança zero como um paradigma de segurança que identifica explicitamente usuários e dispositivos e concede a eles o nível certo de acesso para que a empresa possa operar com o mínimo de atrito e riscos reduzidos.
“Muitas organizações estabeleceram sua infraestrutura com modelos de confiança implícitos, em vez de explícitos, para facilitar o acesso e as operações para empregados e cargas de trabalho.
Os invasores abusam dessa confiança implícita na infraestrutura para espalhar malware e, em seguida, se mover lateralmente para atingir seus objetivos”, disse John Watts, analista vice-presidente do Gartner.
“Confiança zero é uma mudança de pensamento para lidar com essas ameaças, exigindo confiança continuamente avaliada, explicitamente calculada e adaptável entre usuários, dispositivos e recursos.”
Para ajudar as organizações a completar o escopo de suas implementações de confiança zero, é fundamental que os CISOs e os líderes de gerenciamento de risco comecem desenvolvendo uma estratégia eficaz de confiança zero que equilibre a necessidade de segurança com a necessidade de administrar os negócios.
“Isso significa começar com a estratégia de uma organização e definir um escopo para programas de confiança zero”, disse Watts.
“Uma vez definida a estratégia, os CISOs e os líderes de gestão de risco devem começar com a identidade — ela é fundamental para a confiança zero.
Eles também precisam melhorar não apenas a tecnologia, mas as pessoas e os processos para construir e gerenciar essas identidades.
“No entanto, os CISOs e os líderes de gerenciamento de risco não devem assumir que a confiança zero eliminará as ameaças cibernéticas.
Em vez disso, a confiança zero reduz o risco e limita os impactos de um ataque.”
Analistas do Gartner preveem que, até 2026, mais da metade dos ataques cibernéticos serão direcionados a áreas que os controles de confiança zero não cobrem e não podem mitigar.
Veja issoZero Trust garante proteção e resiliência à jornada digitalZero trust não impedirá nem a metade dos ataques, diz Gartner“A superfície de ataque empresarial está se expandindo mais rapidamente e os invasores considerarão rapidamente pivotar e direcionar ativos e vulnerabilidades fora do escopo das arquiteturas de confiança zero [ZTAs]”, disse Jeremy D’Hoinne, analista vice-presidente do Gartner.
Isso pode assumir a forma de varredura e exploração de APIs voltadas para o público ou visando funcionários por meio de engenharia social, bullying ou exploração de falhas devido aos funcionários criarem seu próprio ‘bypass’ para evitar políticas rigorosas de confiança zero
”O Gartner recomenda que as organizações implementem confiança zero para melhorar a mitigação de risco para os ativos mais críticos primeiro, pois é onde ocorrerá o maior retorno sobre a mitigação de riscos.
No entanto, a confiança zero não resolve todas as necessidades de segurança.
Os CISOs e líderes de gerenciamento de risco também devem executar um programa de gerenciamento contínuo de exposição a ameaças (CTEM) para melhor inventariar e otimizar sua exposição a ameaças além do escopo da ZTA.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...