O que é a Proteção Zero Trust para Endpoints?

Zero Trust Para Endpoints

Johnny Hudaba

Zero Trust é um modelo de segurança de arquitetura de rede, cada vez mais aceito e celebrado dentro do ramo da Tecnologia, A frase “Nunca confie, Sempre verifique” até soa como uma música familiar para aqueles que são focados em proteger a sua rede.
Zero Trust concentra-se no princípio de que uma organização não deve confiar em nada que está dentro ou fora de se perímetro, pois a possibilidade de uma invasão existe e deve ser verificado qualquer acesso concedido.

Realizar uma arquitetura Zero Trust requer uma segmentação de rede e aplicação granular com base nos usuários ou dados, pois todo o tráfego deve ser registrado e analisado em vários pontos para fins de identificar e permitir a usabilidade em base de regras estabilidades, mantendo sempre a melhor segurança e controle de acesso, dando visibilidade e contexto na proteção da rede, limitando o movimento lateral e identificar possíveis ataques a rede.

À medida que as tecnologias de segurança avançaram, o volume de dados para proteger cresceu em conjunto, e a possibilidade de mover estes dados entre os dispositivos moveis, tornaram-se alvos atraentes.

Endpoint Zero Trust

Os produtos de segurança endpoint protegem e coletam dados sobre a atividade que ocorre nos pontos finais, enquanto os produtos de segurança de rede fazem o mesmo para redes. Para combater efetivamente ameaças avançadas, ambos precisam trabalhar juntos. Uma abordagem de plataforma integrada que combina segurança de ponto final e rede é a única maneira de alcançar proteção holística e implementar o modelo Zero Trust em toda a sua arquitetura de segurança. Essa abordagem deve fazer parte de tudo o que fazemos para que a prevenção ocorra onde ocorre o tráfego, em todos os lugares que os dados vivem.

Quatro critérios devem ser cumpridos para estender o Zero Trust até o ponto final:

1. Proteger pontos finais com múltiplas camadas de segurança

As medidas de segurança tradicionais falham se um invasor encontrar uma maneira de contornar o link mais fraco, como fornecer malware ou explorar vulnerabilidades de aplicativos. É mais eficaz unir a rede de camadas e proteções de ponto final para que, se um invasor conseguir contornar uma medida, eles sejam confrontados com outra, tornando progressivamente mais difícil para eles terem sucesso.

O papel da segurança da rede é impedir que o maior número possível de ataques – sejam eles malware, ataques de phishing ou explorações – chegue a um ponto final através da rede. Se um ataque atingir o ponto final através de uma unidade USB ou outros meios não-rede, o tráfego é criptografado, ou o usuário está online ou fora da rede, o papel da segurança do ponto final é neutralizar a capacidade de um invasor de causar danos.

A combinação dessas disciplinas para uma arquitetura Zero Trust torna a integração entre ponto final e segurança de rede ainda mais eficaz.

2. Integração com segurança de rede

Estender o Zero Trust até o ponto final tece a segurança do ponto final com segurança de rede para uma arquitetura de segurança única e holística. A inteligência obtida no ponto final deve ser alimentada no firewall e vice-versa. As políticas devem ser definidas no firewall de tal forma que, se o ponto final experimentar um evento, esse ponto final pode ser colocado em quarentena até que possa ser totalmente digitalizado e limpo.

Além disso, a ingestão de dados de usuário e tráfego de firewalls em uma ferramenta de gerenciamento de segurança de rede fornece contexto sobre o que está acontecendo em toda a rede. Isso permite que você escreva uma política de segurança para refletir tais atividades adequadamente e ser aplicada no ponto final.

O modelo Zero Trust também inclui a parceria de segurança de endpoint com rede privada virtual, ou VPN, segurança para que a política global se mova com o usuário e o ponto final. Para garantir que os pontos finais estejam sempre protegidos, os recursos de VPN devem ser transparentes aos usuários e não necessitar de intervenção manual para fazer login ou se conectar. Quando a segurança do ponto final e as VPNs funcionam em conjunto entre si, os pontos finais são protegidos não importa sua localização, impedindo que o tráfego ruim entre na VPN e firewall. Para melhorar ainda mais essa integração, as VPNs colocadas em um firewall de próxima geração estendem a aplicação da política para o túnel. Se o tráfego for criptografado e entrar na rede através de um ponto final comprometido, a política permanece aplicada.

A visibilidade granular fornecida pelo ponto final e pela integração de segurança de rede deve ser aumentada com automação para tomada de decisão multivariada rápida, informada e precisa. Essa integração também deve ser perfeita e leve para que não afete negativamente o usuário.

3. Gerenciar vários tipos de pontos finais

Todas as organizações possuem vários tipos de pontos finais que devem ser gerenciados, como servidores, estações de trabalho, desktops, laptops, tablets e dispositivos móveis. Para endurecer a postura de segurança e implementar o Zero Trust, a proteção do ponto final precisa se integrar a um firewall para que a política de segurança siga os pontos finais, não importa onde eles estejam. A autenticação multifatorial, ou MFA, deve ser aplicada em um firewall de próxima geração para escalabilidade e para mover a linha de exposição mais longe de aplicativos críticos. Essa integração não deve afetar negativamente o desempenho do sistema, de modo que os usuários não notem a segurança em execução em segundo plano e potencialmente tentem remover ou fechar ferramentas de segurança.

4. Controle de acesso da camada 2-7

Ao implementar o Zero Trust em toda a sua arquitetura de segurança, certifique-se de que o tráfego está sendo inspecionado para comportamentos maliciosos, tanto à medida que ele entra e sai do ponto final. É comum que os pontos finais avaliem o tráfego para possíveis ameaças à medida que entra na rede. É menos comum que o tráfego seja avaliado quando sai da rede, sob o pressuposto de que a atividade do usuário e do usuário são válidas. No entanto, se um usuário estiver comprometido, um invasor pode estar infiltrando dados ou propriedade intelectual do ponto final ou usando o dispositivo comprometido para outras atividades nefastas.

Para evitar que dados ou propriedade intelectual deixem sua rede, você precisa de visibilidade sobre a atividade no ponto final, habilitada através da integração com um firewall de próxima geração. Com base na política definida no firewall, se o tráfego de um usuário ou aplicativo estiver fora do escopo da política de segurança definida, o firewall pode intervir e impedir atividades suspeitas. Esta política deve impor regras de prevenção de ameaças, filtragem de URL e recursos de sandboxing de malware dentro do túnel VPN criptografado.

O firewall de próxima geração também deve ter recursos de descriptografia SSL para descriptografar o tráfego criptografado e obter a visibilidade necessária para determinar se o tráfego é malicioso ou não. Se o tráfego mal-intencionado for identificado, a integração entre o firewall e o ponto final deve permitir que o firewall bloqueie qualquer tráfego de comando e controle e isole o ponto final de sua rede.

Como funciona o Zero Trust

A execução deste quadro combina tecnologias avançadas, como autenticação multifatorial baseada em riscos, proteção de identidade, segurança de ponto final de última geração e tecnologia robusta de carga de trabalho em nuvem para verificar a identidade de um usuário ou sistemas, consideração do acesso naquele momento e manutenção da segurança do sistema. O Zero Trust também requer a consideração da criptografia de dados, a proteção de e-mails e a verificação da higiene de ativos e pontos finais antes de se conectarem aos aplicativos.

Zero Trust é uma saída significativa da segurança de rede tradicional que seguiu o método “confiar, mas verificar”. A abordagem tradicional confiava automaticamente nos usuários e nos pontos finais dentro do perímetro da organização, colocando a organização em risco de atores internos maliciosos e credenciais legítimas tomadas por atores maliciosos, permitindo contas não autorizadas e comprometidas de amplo alcance uma vez dentro. Esse modelo tornou-se obsoleto com a migração em nuvem de iniciativas de transformação de negócios e a aceleração de um ambiente de trabalho distribuído devido à pandemia iniciada em 2020.

A arquitetura Zero Trust exige, portanto, que as organizações monitorem e validem continuamente que um usuário e seu dispositivo têm os privilégios e atributos certos. Também requer a aplicação de políticas que incorporem risco ao usuário e dispositivo, juntamente com conformidade ou outros requisitos a serem considerados antes de permitir a transação. Exige que a organização conheça todos os seus serviços e contas privilegiadas, e possa estabelecer controles sobre o que e onde eles se conectam. A validação única simplesmente não será suficiente, porque ameaças e atributos do usuário estão todos sujeitos a alterações

Como resultado, as organizações devem garantir que todas as solicitações de acesso sejam continuamente examinadas antes de permitir o acesso a qualquer um de seus ativos corporativos ou em nuvem. É por isso que a aplicação das políticas do Zero Trust depende da visibilidade em tempo real dos 100 atributos de identidade de usuário e aplicativos, tais como:

  • Identidade do usuário e tipo de credencial (humana, programática)
  • Privilégios de credenciais em cada dispositivo
  • Conexões normais para a credencial e dispositivo (padrões de comportamento)
  • Tipo e função de hardware de ponto final
  • Localização geográfica
  • Versões de firmware
  • Protocolo de autenticação e risco
  • Versões do sistema operacional e níveis de patch
  • Aplicativos instalados no ponto final
  • Detecções de segurança ou incidentes, incluindo atividade suspeita e reconhecimento de ataques

O uso de análises deve estar vinculado a trilhões de eventos, telemetria corporativa ampla e inteligência de ameaças para garantir melhor treinamento de modelos algorítmicos de IA/ML para uma resposta política hiper precisa. As organizações devem avaliar minuciosamente sua infraestrutura de TI e possíveis caminhos de ataque para conter ataques e minimizar o impacto se uma violação ocorrer. Isso pode incluir segmentação por tipos de dispositivos, identidade ou funções de grupo. Por exemplo, protocolos suspeitos como RDP ou RPC para o controlador de domínio devem ser sempre desafiados ou restritos a credenciais específicas.

Mais de 80% de todos os ataques envolvem uso ou uso indevido de credenciais na rede. Com novos ataques constantes contra credenciais e lojas de identidade, proteções adicionais para credenciais e dados se estendem à segurança de e-mail e aos provedores de gateway web (CASB) seguros. Isso ajuda a garantir maior segurança de senha, integridade das contas, adesão às regras organizacionais e evitar serviços de TI de sombra de alto risco.

 

Em que ambiente podemos usar o Zero Trust?

O Zero Trust, embora descrito como um padrão por muitos anos, tem sido cada vez mais formalizado como uma resposta à garantia da transformação digital e de uma série de ameaças complexas e devastadoras vistas no último ano.

Embora qualquer organização possa se beneficiar do Zero Trust, sua organização pode se beneficiar do Zero Trust imediatamente se:

Você é obrigado a proteger um modelo de implantação de infraestrutura que inclui:

  • Multi-nuvem, híbrido, multi-identidade
  • Dispositivos não gerenciados
  • Sistemas legados
  • Aplicativos SaaS

Você precisa abordar os principais casos de uso de ameaças, incluindo:

  • Ransomware – um problema em duas partes envolvendo execução de código e compromisso de identidade
  • Ataques na cadeia de suprimentos – normalmente envolvem dispositivos não gerenciados e usuários privilegiados trabalhando remotamente
  • Ameaças internas – especialmente desafiadoras para analisar análises comportamentais para usuários remotos

Sua organização tem essas considerações:

  • Desafios de experiência soc/analista
  • Considerações de impacto da experiência do usuário (especialmente ao usar MFA)
  • Requisitos de indústria ou conformidade (por exemplo. setor financeiro ou governo dos EUA Mandato de Confiança Zero)
  • Preocupação em reter seguros cibernéticos (devido à rápida mudança do mercado de seguros como resultado de ransomware)

Toda organização tem desafios únicos devido aos seus negócios, maturidade de transformação digital e estratégia de segurança atual. O Zero Trust, se implementado corretamente, pode se ajustar para atender às necessidades específicas e ainda garantir um ROI em sua estratégia de segurança.

Conclusão

Com a evolução da tecnologia, não há como duvidar que as formas de invasão também irão evoluir e desta forma, precisamos manter os nossos ambientes cada vez mais seguros, a ponto de duvidar de qualquer tipo de acesso.

Logicamente que para manter a segurança do ambiente requer uma série de processos e protocolos, para fins de obter o ambiente seguro, mas não podemos duvidar de que a metodologia Zero Trust tem se tornado a mais confiável e a mais requisitada neste momento, onde podemos acessar as nossas informações de qualquer lugar ou ambiente.

Facebook
Twitter
WhatsApp
LinkedIn
Email

ÚLTIMOS ARTIGOS

Quer saber ainda mais?

Entre em contato conosco!