Zero Gravity: Chris Childerhose fala sobre tecnologia com o Ootbi VSA | Participe >>
Como comprarSolicite uma demonstração
  • Blog
  • Desmistificando Mitos do ZTDR
Negó

Desmistificando Mitos do ZTDR

| 8 min para ler

Desmistificando Mitos do Zero Trust 

Zero Trust é um mercado barulhento e complexo com um alto grau de sobreposição de soluções e, infelizmente, uma abundância excessiva de exageros de fornecedores. Isso levou ao surgimento de mitos sobre Zero Trust, que tendem a aparecer como cogumelos indesejados e venenosos após uma chuva de primavera. Embora não vamos (infelizmente) explodir nada durante o curso desta postagem no blog, estaremos usando nosso machete metafórico em alguns mitos do Zero Trust. Então, vamos entrar no modo nerd, colocar nossos óculos de segurança e desmistificar alguns mitos!  

Mito #1: Zero Trust é Difícil 

A realidade é que a Segurança da Informação em si é difícil, e o Zero Trust na verdade torna as coisas mais fáceis. Parte da percepção errônea pode ser porque o Zero Trust é uma filosofia de segurança que enfatiza uma abordagem holística. E isso, por sua vez, incentiva as equipes de segurança, muitas vezes pela primeira vez, a considerar as coisas de uma perspectiva de processo e negócios. 

O Zero Trust facilita isso porque oferece uma maneira de abstrair parte da complexidade por meio de um modelo de política unificado. Por exemplo, você pode definir políticas de acesso que se aplicam a usuários, independentemente de estarem no escritório (on-premises) ou trabalhando remotamente. Isso é uma melhoria significativa em relação às arquiteturas de segurança tradicionais, que usam modelos completamente diferentes para usuários remotos (por exemplo, VPNs) e usuários on-premises (por exemplo, NAC). Outro exemplo - essas políticas podem fazer uso de verificações de postura de dispositivo de uma maneira que funcione de forma consistente, independentemente de o usuário estar executando Windows ou estar em um Mac. 

A conclusão: O Zero Trust pode ser fácil de começar, em particular para um dos nossos casos de uso favoritos, proteger o acesso ao sistema de backup e recuperação de dados. Esses são sistemas de alto valor frequentemente alvo de atacantes, e o conjunto de administradores de sistema deve ser pequeno e bem conhecido. Para facilitar isso, propomos três perguntas para sua equipe de segurança: 

1. Como estamos permitindo o acesso seguro de sysadmin ao nosso sistema de backup e recuperação de dados? 

2. Como o sistema de backup e recuperação de dados está protegido contra acesso não autorizado à rede? 

3. O que isso significaria para você se aplicássemos controles de acesso contextuais e centrados na identidade? Como isso melhoraria nossa segurança, conformidade e operações? 

Esperamos que essas perguntas gerem uma conversa sobre Zero Trust e sobre como ele pode ser rapidamente aplicado ao seu ambiente de backup e recuperação de dados. 

Mito #2: Você Precisa Ser Perfeito para Começar 

Quando falamos sobre Zero Trust, muitas vezes enfatizamos o poder das políticas de acesso baseadas em atributos de usuário, como funções ou associação a grupos, ou em atributos de carga de trabalho. Isso pode levar as pessoas à conclusão errônea de que precisam ter aperfeiçoado seus processos de gerenciamento de identidade e associações de grupo, bem como seu inventário de carga de trabalho e processos de liberação antes de poderem começar. Para citar o filme cult Repo Man, “nonsense pernicioso!” 

Zero Trust é uma jornada de aprendizado sem vergonha e muito uma festa de “venha como você é”. Trabalhei com empresas com uma enorme variedade de níveis de maturidade em seus ecossistemas de TI e segurança, e cada uma delas é capaz de começar e fazer progressos de curto prazo em sua jornada de Zero Trust. Muitas vezes, elas podem oferecer melhor segurança para seus negócios apenas refinando seus processos e fazendo melhor uso das ferramentas que já têm em vigor – sem precisar gastar orçamento adicional adquirindo novas ferramentas. 

A conclusão: Pense em duas áreas de força relativa e duas de fraqueza relativa em seu ambiente de segurança. Por exemplo, talvez você tenha uma ferramenta de gerenciamento de dispositivos de usuário sólida que aplica configurações de segurança. Ou talvez, como em muitas organizações, você tenha um conjunto “bagunçado” de grupos de diretório (frequentemente referido como um “gigante cabelo emaranhado”).  

As áreas de força são bons candidatos para inclusão em suas políticas iniciais de Zero Trust. Em nosso exemplo, seria simples e poderoso usar verificações de postura de dispositivo como parte de suas políticas de acesso. As áreas de fraqueza são frequentemente bons alvos para melhorias focadas como parte de um projeto de Zero Trust. Enfrentar o gigante cabelo emaranhado de grupos de diretório é uma tarefa enorme, mas criar novos grupos para um grupo bem compreendido de usuários - como seus administradores de backup e recuperação de dados - é totalmente viável e também tem o benefício de estabelecer processos limpos e claros para a associação a grupos.  

Mito #3: Zero Trust é Apenas Sobre Segurança 

Embora o Zero Trust seja absolutamente uma estratégia de segurança, é importante reconhecer duas coisas sobre isso. Primeiro, lembre-se dos objetivos fundamentais da segurança da informação - Confidencialidade, Integridade e Disponibilidade. Alcançar a disponibilidade exige que as equipes de segurança da informação apliquem o Zero Trust além das fronteiras de segurança típicas e influenciem a abordagem de sua empresa em relação ao backup e recuperação de dados, e continuidade de negócios / recuperação de desastres (BC/DR)

Em segundo lugar, os programas de Zero Trust definitivamente entregam valor comercial. Eles permitem que a empresa adote novas tecnologias de forma segura, abram novos canais para comunicação e colaboração seguras com fornecedores, parceiros e clientes, e melhorem a produtividade do usuário. Sem mencionar a redução da carga de atender e relatar requisitos de conformidade, acelerando atividades comerciais estratégicas, como transformação digital ou Fusões & Aquisições, e acelerando processos de negócios por meio de uma melhor experiência do usuário e métodos de acesso.  

Algumas dessas melhorias, mesmo quando focadas em atividades pequenas ou do dia a dia, podem entregar resultados convincentes. E, projetos iniciais de Zero Trust menores também têm o benefício de serem implantados e operacionalizados rapidamente.  

A conclusão: Converse com seus proprietários de dados e aplicativos sobre seus processos e frustrações com experiências de backup e recuperação de dados. Como a categorização, integração, teste e validação podem ser melhorados? Quais barreiras relacionadas ao acesso um projeto de Zero Trust pode remover? 

Mito #4: Zero Trust é Apenas uma Iniciativa do Governo dos EUA 

É verdade que o Governo Federal dos EUA tomou uma posição pública sobre a obrigatoriedade da adoção do Zero Trust para seus departamentos e amplificou sua conscientização e adoção. Eles merecem muito crédito por isso, já que o Zero Trust encapsula as melhores práticas e abordagens da nossa indústria. E os guias e arquiteturas de Zero Trust publicados por agências dos EUA, como o Instituto Nacional de Padrões e Tecnologia (NIST), a Agência de Segurança Nacional (NSA) e o Departamento de Defesa (DoD) são sólidos, valiosos e globalmente aplicáveis tanto a organizações do setor público quanto privado. 

Mesmo com todo esse apoio do governo dos EUA, no entanto, é importante lembrar que o Zero Trust se originou no setor privado e foi entusiasticamente abraçado e apoiado por fornecedores, empresas de consultoria e análise, e empresas em todo o mundo. Existem também numerosos governos não americanos que adotaram o Zero Trust, como Cingapura, Reino Unido, Canadá, Austrália e outros. 

Na verdade, eu argumentaria que essa abordagem altamente descentralizada ao Zero Trust contribuiu para seu sucesso, criando um rico (mas admitidamente barulhento) mercado de ideias, soluções e abordagens. E esse mercado é importante – mesmo com a infinidade de documentos do Governo dos EUA, definitivamente existem áreas onde o setor privado precisa aprimorar e preencher lacunas. Por exemplo, o documento da NSA Avançando a Maturidade do Zero Trust em Todo o Pilar de Dados nem menciona backup e recuperação de dados, que é uma parte enorme da missão de uma equipe de segurança. Para isso, recomendamos nossa contribuição para a indústria, o conceito de Resiliência de Dados Zero Trust

A Conclusão: Revise a Folha de Informações de Cibersegurança da NSA sobre Segurança de Dados, e depois leia o whitepaper da Object First como um material complementar. Após a leitura destes, pense em como sua organização deve abordar a segurança de dados dentro de sua iniciativa de Zero Trust e como seu sistema de backup e recuperação de dados deve ser protegido. 

Conclusão: Mitos…Desmistificados! 

OK! Vamos tirar nossos óculos de segurança, pegar uma limonada e sentar. Desmistificar esses mitos foi um trabalho árduo, mas esperamos que, ao fazê-lo, tenhamos esclarecido e facilitado sua jornada em direção ao Zero Trust. 

A segurança da informação é difícil, e não há dúvida sobre isso. Mas também é uma profissão divertida, desafiadora e gratificante. Capacitar nossas empresas a alcançar sua missão, manter nossos usuários seguros e produtivos, e tornar nossos dados seguros e resilientes – esses são objetivos dignos e significativos. Então, vamos continuar, distinguir mitos de fatos e trabalhar para fazer progressos em nossas jornadas de Zero Trust. 

Notícias do produto

Ao enviar este formulário, confirmo que li e concordo com o Política de Privacidade

Você também pode gostar