Zero Trust: Por que não posso confiar em ninguém?
Confiança é um sentimento. Mais especificamente, adotando uma das definições do dicionário Michaelis, trata-se do “sentimento de segurança e respeito em relação às pessoas com quem se mantém relações de amizade ou negócios”. Nesse sentido, um sentimento fundamentalmente humano.
Diversas relações interpessoais, inclusive de negócios, dependem do estabelecimento de algum nível de confiança entre os envolvidos. Os filhos pequenos confiam em seus pais para prover sua segurança e seu sustento; o comerciante confia que a cédula que recebeu tem valor ou que o compromisso de pagamento firmado através do cartão de crédito utilizado pelo cliente será honrado pelo banco emissor, enquanto o cliente confia na qualidade do produto que comprou e que ele não é uma falsificação.
“Se confiança é um elemento tão importante nas relações humanas, adotar uma abordagem de confiança zero na arquitetura dos sistemas computacionais não pode perturbar demais os próprios motivos para a existência desses sistemas?”
A resposta simples é não. Ao menos não precisa ser assim. Pelo contrário, a abordagem Zero Trust tem o potencial para promover justamente maior intuitividade e fazer com que os sistemas estejam cada vez mais ajustados ao comportamento humano, em vez de forçar as pessoas a se ajustarem ao comportamento esperado pelos sistemas.
Afinal, o que é Zero Trust?
“A diferença entre um vendedor de carros usados e um vendedor de cybersecurity é que o vendedor de carros sabe quando está mentindo”
Em maio de 2021 o governo dos Estados Unidos publicou uma ordem executiva determinando prazos para a implantação de arquiteturas Zero Trust em todas as instituições ligadas ao governo. Isso provocou uma grande movimentação dos players de cybersecurity para fornecer produtos de segurança Zero Trust ao mercado. Empresas privadas norte-americanas seguiram o governo nesse movimento de redefinição de seus sistemas e um imenso jogo de imitação começou a se propagar pelo mundo, ao ponto de “Zero Trust” ter se tornado a grande buzzword mundial de segurança digital para o ano de 2022.
Produtos de segurança vêm sendo apresentados com o selo Zero Trust, oferecendo suites que prometem adequar a sua infraestrutura ao modelo do momento. Vou apelar aqui para as palavras de John Kindervag, analista que popularizou e impulsionou o modelo Zero Trust: “a diferença entre um vendedor de carros usados e um vendedor de cybersecurity é que o vendedor de carros sabe quando está mentindo”.
Vamos começar, então, esclarecendo o que Zero Trust não é: Zero Trust NÃO é um produto ou um padrão específico! Se alguém estiver te vendendo isso, procure outro fornecedor. Aliás, aproveite essa busca pra tentar encontrar dois fornecedores que definam Zero Trust da mesma forma. Provavelmente você encontrará definições diferentes que se adequem aos produtos que eles têm a oferecer e não à conceituação proposta originalmente.
Zero Trust é uma estratégia para o planejamento e implementação de seus sistemas computacionais.
Zero Trust também não é sobre não confiar nas pessoas. Afinal de contas, como você esperaria mostrar para o seu funcionário que você não confia nele e esperar que ele trabalhe satisfeito e seja produtivo?
Você pode - e deve - continuar confiando nas pessoas segundo os seus parâmetros. Zero Trust é sobre não confiar nas mensagens, nos pacotes.
“Roubaram minha conta do Instagram!!!”
Recentemente, diversas pessoas tiveram suas contas no Instagram capturadas por malfeitores que exploravam justamente a confiança entre pessoas. Veja como o ataque foi elaborado:
Sua melhor amiga, em quem você confia plenamente, lhe envia uma DM pelo Instagram dizendo que está com problemas no telefone celular e pergunta se pode enviar para o seu telefone um SMS que a ajudará a resolver esse problema, sinal de que ela também confia muito em você, a ponto de lhe enviar uma informação tão sensível. Você só precisa seguir o link recebido ou mandar pra ela o código enviado na mensagem. Só que quem está do outro lado não é sua melhor amiga, mas um bandido. Essa mensagem que você recebeu serve, na verdade, para redefinir sua própria senha no Instagram e você acabou de entregá-la a um estranho. Esse estranho tomou sua conta do Instagram e a está usando para oferecer a venda falsa de produtos ou serviços aos seus seguidores, que confiam em você a ponto de fazer essas compras e, assim, caírem na fase final do golpe.
Esse incidente infeliz nos oferece uma ótima analogia para ilustrar o que significa Zero Trust. Por causa desse tipo de golpe você deve deixar de confiar em sua melhor amiga? Claro que não! Ela é a sua melhor amiga! Você só não deve assumir que está falando com ela. Você deve desconfiar da mensagem. Enquanto vocês estiverem só trocando bons dias e memes, tudo bem assumir que é ela quem está do outro lado. Quando o assunto ficar mais sério e pedir ações que oferecem algum risco, desconfie e arrume um jeito de conferir se é mesmo ela quem está do outro lado. “Ah, mas eu mandei uma mensagem pro WhatsApp dela e ela confirmou que era ela no Instagram!” Talvez você devesse ter ligado pra ela, pra ouvir sua voz. Instagram e WhatsApp estão vinculados ao mesmo telefone. A chance do criminoso ter capturado os dois é grande.
No caso de sistemas Zero Trust, eles lidam com pessoas, computadores, tablets, celulares, dispositivos IoT, outros sistemas e combinações desses e mais, mas o princípio é o mesmo: desconfie das mensagens, desconfie dos pacotes.
Como adotar Zero Trust?
Antes de qualquer coisa, entenda muito bem o negócio. Conheça seus ativos e processos. Saiba quais são os objetivos do negócio. Aprenda como as coisas acontecem, como as pessoas e sistemas interagem e a importância da fluidez em cada fluxo de comunicação. Conheça os padrões dessa comunicação.
Agora escolha uma coisa que você precisa proteger. Podem ser dados, pode ser um processo, pode ser um servidor. Talvez seja uma boa ideia escolher algo menos crítico pra começar: lembre-se de que você ainda está aprendendo. Não esqueça do incidente com sua melhor amiga: você não precisa proteger os memes, mas sim as mensagens de recuperação de senha ou o Pix que ela pediu.
Simplifique sistemas e processos. A complexidade é inimiga da segurança.
Assuma que a rede está comprometida. É bem possível que ela esteja de fato e você nem saiba. Imagine que o objeto a ser protegido está exposto na Internet e valide cada mensagem que chega a ele. Não pense que “se está na minha rede interna é digno de confiança”, porque não é.
Monitore, aprenda e reaja a qualquer coisa que pareça fora do normal. De preferência automatize o que souber automatizar. Se ainda não souber, aprenda.
Torne campanhas de phishing inúteis. Não com treinamentos de conscientização, mas eliminando a necessidade de existir uma senha que possa ser roubada. Procure por formas de autenticação mais eficientes e transparentes. No fim das contas, você acabará deixando a vida do usuário mais simples além de mais segura.
Principalmente, não saia gastando uma fortuna com soluções milagrosas que prometem te deixar “Zero Trust Compliant” (sic). Alavanque-se dos recursos que você já tem. Apegue-se à estratégia. Aumente a disponibilidade de recursos na medida em que vá aprendendo mais. Provavelmente a economia resultante dos primeiros passos ajudará a financiar os próximos.
Zero Trust potencializará as relações humanas
A oportunidade é de conciliação entre os seus times de compliance, segurança, e negócio. Sua implementação, ao contrário do que a intuição pode sugerir, transformará os profissionais de compliance e segurança em pessoas que dirão menos nãos do que dizem hoje para o negócio. A consciência do que está sendo protegido e porquê, aliada ao conhecimento das ferramentas e processos os ajudarão a empoderar as áreas de negócio e habilitá-las a serem mais efetivas.
