A estratégia de segurança ideal contra as ciberameaças esconde brechas

Não importa a extensão das defesas da sua rede, se houver um ponto cego, você ainda estará vulnerável a ataques. Isso é verdade mesmo em termos do Zero Trust, modelo atual para a segurança cibernética. Felizmente, existe uma maneira de corrigi-lo.

Elemento crítico na defesa da rede, o Zero Trust foi impulsionado pela maneira como os conceitos tradicionais de zonas protegidas, perímetros, segmentos de rede – “dentro” e “fora” – ficaram desatualizados pelo cenário atual das ameaças. Afinal, você não tem paredes para protegê-lo de ataques internos de pessoas com acesso legítimo ou impedir ataques de vários níveis projetados para derrubar redes ou interromper o movimento lateral durante o curso de um ataque.

O Zero Trust responde a esses desafios ao adotar a abordagem de “não confiar em ninguém” – dentro ou fora da rede. As estratégias de segurança cibernética são redesenhadas de acordo com quatro princípios:

• Crie microssegmentos e micro perímetros de rede para restringir o fluxo de tráfego Leste-Oeste e limite privilégios excessivos e acessos ao usuário, tanto quanto possível.
• Fortaleça a detecção e resposta a incidentes usando analytics abrangente e automação.
• Integre com facilidade, soluções em redes de vários fornecedores para que possam trabalhar em conjunto sem problemas, permitindo alinhamento com o compliance e a segurança unificada. As soluções também devem ser fáceis de usar.
• Disponibilizar visibilidade abrangente e centralizada para usuários, dispositivos, dados, rede e fluxos de trabalho (workflows).

A princípio parece muito bom. Até o nome “Zero Trust” é tranquilizador, pois sugere proteção absoluta. Só que existe um problema: o modelo Zero Trust funciona apenas quando existe total visibilidade das pessoas e de suas atividades. Se algo estiver invisível, não há como garantir que isso não represente um risco. O que é uma verdade para a maioria do tráfego de rede, graças ao amplo uso da criptografia.

O ponto cego do Zero Trust
A criptografia agora é onipresente na Internet. O Google relata que mais de 90% do tráfego que passa por seus serviços é criptografado e os números são similares para outros fornecedores. Essa tendência tem sido ótima para a privacidade – mas é devastadora para a segurança, esteja você implementando o Zero Trust ou outra opção.

Como a criptografia torna o tráfego da rede invisível para as soluções legadas, a pilha de segurança da sua rede é efetivamente inútil.

Em resposta, muitos fornecedores de segurança incorporam o protocolo de inspeção TLS (Transport Layer Security ou segurança de camada de transporte) em suas soluções. Na verdade, eles descriptografam o tráfego, inspecionam e depois criptografam antes de transmiti-lo. Porém, essa abordagem de “inspeção TLS distribuída”, na qual a descriptografia e recodificação ocorrem separadamente para cada dispositivo na pilha de segurança traz dificuldades.

Os gargalos da rede e os problemas de performance geralmente comprometem a qualidade do serviço para os usuários corporativos e clientes – o que pode ser inaceitável no ambiente competitivo de negócios atual. Além disso, a necessidade de implementar chaves privadas em vários locais da infraestrutura de segurança de vários fornecedores e diversos dispositivos expande a superfície de ataque, aumentando o risco. Para que o modelo Zero Trust cumpra sua promessa, as empresas precisam eliminar o ponto cego do Zero Trust sem sacrificar a qualidade do serviço.

Por Ivan Marzariolli, Country manager da A10 Networks