Como lidar com dispositivos não geridos nos novos ambientes Zero Trust

De acordo com o recente Leadership Perspective Survey da Gartner Evanta, a categoria “Acesso do utilizador, IAM e Zero Trust” é agora a prioridade número um, ultrapassando a segurança na cloud. No entanto, embora muitos CISO queiram adotar uma mentalidade de confiança zero, alcançar este objetivo é muito mais complexo do que se possa imaginar.

O modelo Zero Trust afirma que nenhum ativo (dentro ou fora do perímetro) deve ser automaticamente confiável, reduzindo a probabilidade de violações e o seu potencial impacto, através de uma abordagem proactiva de gestão de riscos em toda a organização. Mais do que um projeto tecnológico, este modelo consiste em implementar uma filosofia comum nas operações de segurança da organização, incluindo a configuração da rede, a limitação do impacto e os processos de microssegmentação, entre outros. 

No entanto, há uma questão fundamental que deve ser abordada para que esta filosofia seja eficaz: ativos desconhecidos ou não geridos. De acordo com os dados da nossa investigação, 69% das organizações sofreram pelo menos um ciberataque através desses ativos. 

Tradicionalmente, estes ativos podem ser servidores ou pontos de extremidade não autorizados, mas atualmente também podem incluir serviços de TI, software, workloads na cloud, contas de utilizador ou dispositivos IoT que podem aceder à rede e não foram geridos adequadamente, representando uma vulnerabilidade.

No nosso trabalho com as empresas, descobrimos que os CISO tinham de acrescentar, em média, mais 34% de ativos às suas listas. Isto representa uma sobrecarga adicional para as equipas de TI, aumentando os custos de gestão e os riscos potenciais para o futuro, a não ser que as empresas arranjem forma de resolver esta questão.

Como resolver este problema

Para tornar o modelo de Zero Trust uma realidade, o primeiro passo é reconhecer quais são os problemas e, alguns deles, podem ser surpreendentes. 

A primeira questão consiste em verificar se existe um problema relacionado com a gestão dos ativos de TI. Se a lista de ativos estiver incompleta, não será possível tomar decisões precisas sobre o que deve ser prioritário em workloads na cloud, contentores, sistemas IoT, dispositivos móveis, pontos terminais remotos e implementações OT. Por sua vez, isto pode afetar os orçamentos sobre a modelação do risco.

A segunda questão a considerar é se a gestão de ativos está a ser abordada como crítica. Muitas vezes, esta gestão é delegada de uma equipa para outra e tratada como apenas mais uma tarefa. Sem o necessário envolvimento da gestão executiva, é difícil manter uma lista de ativos atualizada e rigorosa. Se for tratada como uma tarefa crítica, receberá o investimento e a atenção necessários.

Por último, é importante reconhecer que as ferramentas de software existentes não conseguem abranger todas as plataformas. Embora possa ter uma visão exata dos ambientes de cloud, a sua organização pode não ter o mesmo nível de exatidão e conhecimento, por exemplo, dos dispositivos IoT.

A utilização de uma única ferramenta para obter as informações necessárias não é fiável quando existem várias plataformas em funcionamento. É preferível estabelecer um sistema de colaboração e utilizar diferentes métodos e fontes para obter os dados. No final, a equipa responsável deve organizá-los eficazmente.

Isto pode ser feito através da combinação de várias tecnologias, incluindo técnicas de análise ativa e passiva, corretores de segurança e ferramentas de descoberta baseadas em API. Esta combinação estabelecerá um inventário completo de todos os ativos de TI e mantê-lo-á atualizado em tempo real. Este registo permitirá à equipa técnica distinguir automaticamente entre ativos fiáveis e não fiáveis e tomar decisões sobre a forma de gerir esses ativos eficazmente, facilitando a aplicação de princípios de confiança zero em todos os dispositivos.

Implementação de uma abordagem baseada no risco

Quando for possível visualizar todos os ativos, a organização poderá tomar decisões mais precisas e informadas sobre os riscos. Dado que as empresas têm, em média, mais um terço de ativos de TI do que esperam, esta categoria incluirá uma variedade de ativos díspares, desde dispositivos inconsequentes e esquecidos a aplicações críticas que sofreram daquilo a que Douglas Adams chamou “síndrome do problema de outra pessoa”.

Conhecer estes ativos é o primeiro passo para melhorar a segurança num cenário tão heterogéneo. Com base nesta informação, pode ser estabelecida uma estratégia de confiança zero e os recursos podem então ser concentrados nos dispositivos, aplicações e workloads críticos para o negócio.

Assim sendo, os dispositivos não geridos e desconhecidos representam um risco significativo para os programas de segurança. Uma abordagem de visibilidade de ativos reduzirá o impacto potencial de possíveis violações, minimizará a superfície de ataque e tornará os programas de gestão de riscos mais eficazes. A gestão dos ativos de TI não é uma tarefa impossível, apenas requer uma redefinição de prioridades.