As empresas estão avançando com Zero Trust, mas ainda relatam desafios

Zero Trust

Mesmo os 25% dos entrevistados em uma pesquisa da CyberRisk Alliance (CRA) que implementaram parcial ou totalmente a confiança zero dizem que tiveram dificuldade em obter a adesão total de outros departamentos quando se trata de dimensionar essas ideias em toda a empresa.

Embora a confiança zero não resolva todos os problemas de segurança, a maioria dos profissionais de segurança acredita que ainda é superior a todos os outros modelos de segurança, pois é feito sob medida para os muitos desafios digitais de hoje. Alguns deles incluem: a mudança para serviços em nuvem e aplicativos SaaS, a migração em massa da força de trabalho para ambientes de trabalho remotos ou híbridos, o pico sem precedentes de endpoints e fontes de dados operando além do perímetro de rede tradicional.

A estrutura de confiança zero assume que um invasor já se infiltrou na rede, executando um ataque malicioso. A confiança nunca é estendida livremente e, em vez disso, deve sempre ser “conquistada” (ou prova disso) por meio de verificação e autorização contínuas de credenciais de usuário e outros dados comportamentais. Essa abordagem de confiança zero não faz distinção entre usuários fora da rede e aqueles dentro da rede e elimina a prática de verificação “uma vez” que anteriormente determinava tentativas de acesso bem-sucedidas.

Aqui estão três destaques da pesquisa de confiança zero da CRA :

• Os profissionais do setor entendem a necessidade de confiança zero. Pelo menos 4 em cada 10 entrevistados dizem que estão buscando ativamente a confiança zero com uma estratégia ou implementação de confiança zero.
• Quase todo mundo entende que grandes desafios estão por vir. Quase dois terços dos futuros adotantes acreditam que será moderadamente difícil implementar a confiança zero. Cerca de 30% dizem que será muito difícil.
• As organizações estão focadas em segurança de dados e nuvem. Sessenta e nove por cento dizem que estão focados na segurança de dados, enquanto 51% disseram que a prioridade de sua organização com confiança zero é a segurança na nuvem.

A grande maioria dos entrevistados entende que a confiança zero exigirá uma reavaliação estratégica de como proteger toda a infraestrutura para enfrentar os desafios de escritórios remotos ou híbridos, ambientes multinuvem, identidade e autenticação e endpoints em rápida expansão.

Como parte da pesquisa, o CRA ofereceu quatro recomendações para as empresas sobre como organizar suas empresas para que possam gerenciar a transição para a confiança zero:

• Pesquise todos os bens e recursos. Ao trazer confiança zero para uma empresa, as organizações precisam de visibilidade total de todos os ativos, identidades, fluxos de dados e fluxos de trabalho. Sem isso, a organização não pode determinar se deve revisar ou criar novos processos ou políticas sob a estrutura de confiança zero. Depois que esses muitos ativos são contabilizados, a organização pode monitorá-los continuamente para ver como as mudanças na política afetam esses ativos.
• Crie programas piloto de confiança zero. Os programas-piloto podem oferecer aos usuários a experiência de aplicar os princípios de confiança zero e aprender com seus erros, sem a pressão de forçá-los a aceitar a confiança zero de uma só vez. Ao dar a diferentes equipes um vislumbre de como seus direitos e responsabilidades de acesso podem mudar em uma estrutura de confiança zero, as organizações podem coletar feedback crítico do usuário para informar como avançar com uma implementação real.
• Procure aplicações com atrito mínimo. Ir para a confiança zero não significa jogar fora todas as facetas da organização dos dias pré-confiança zero. Procure áreas em que a equipe possa aplicar confiança zero com interrupção mínima de pessoal e fluxos de trabalho. Depois que essas práticas se tornam arraigadas, fica mais fácil ir atrás dos aplicativos mais críticos.
• Procure os especialistas. Existem muitas etapas e processos que se enquadram na categoria de implementação de confiança zero. Para manter o curso, aconselhamos as organizações a procurar organizações especializadas que tenham contribuído para a bolsa de estudos de confiança zero. A arquitetura 800-207 Zero-Trust do NIST, lançada em 2020, ainda é o padrão ouro para entender os requisitos, desafios e nuances da implementação de confiança zero. Outros órgãos federais, como NSA e CISA, também publicaram suas próprias orientações e recomendações.

Os entrevistados disseram ao CRA que estão achando difícil encontrar funcionários em potencial com habilidades de confiança zero e que a criação de programas de treinamento para desenvolver essas habilidades também foi um desafio. As empresas entendem que precisam seguir nessa direção – e a maioria o fez. A indústria tem um caminho desafiador pela frente, mas com o cenário de ameaças tão prolífico, há realmente pouca escolha a não ser continuar a jornada.