Avesta Hojjati (*)
Proteger as redes está mais difícil do que nunca e não vai ficar mais fácil. Com a pandemia aumentando a transformação digital e também o crescimento do número de ataques virtuais que visam invadir os sistemas das empresas e vazar seus dados, 83% dos líderes de organizações empresariais no Brasil pretendem aumentar seus gastos com segurança cibernética em 2022, segundo pesquisa realizada pela PwC.
Os resultados são da pesquisa PwC Digital Trust Insights 2022, que mostra que o número de empresas que pretendem aumentar seus investimentos em segurança virtual no Brasil, 83%, é maior do que no mundo, onde 69% dos chefes de empresas responderam que já têm essa intenção. Na edição 2020 da pesquisa, esses números foram de 55% para o Brasil e 57% para empresas globais.
Especificamente, cerca de 44% das empresas da América Latina aumentaram seus investimentos em segurança cibernética em 2021 e quase 40% estão alocando mais recursos para serviços em nuvem, de acordo com uma pesquisa de segurança publicada pela IDC. De acordo com a empresa de pesquisa, os modelos de teletrabalho e aprendizado remoto implicarão maior adoção de soluções de acesso seguro definido por software.
A IDC observa que 37% das empresas latino-americanas que consomem serviços de segurança planejam investir especificamente em inteligência de ameaças nos próximos anos. O conceito refere-se ao mapeamento de riscos e às informações nas quais uma organização se baseia para avaliar as ameaças que visam ou podem atingir seus ativos.
As empresas devem gerenciar centenas de milhares de dispositivos, usuários, sistemas e aplicativos. Isso significa que as organizações têm centenas de milhares de vulnerabilidades em potencial e, ainda assim, uma única senha comprometida pode derrubar toda a rede.
Assim, o mantra Zero-Trust de “nunca confie, sempre verifique” está se tornando mais atraente para proteger as redes de adversários. Uma rede Zero-Trust exige a verificação de cada solicitação de acesso por padrão. Em uma rede de “nunca confie”, identidades digitais fortes que podem ser verificadas são essenciais para construir uma infraestrutura Zero-Trust.
. Explicando a abordagem Zero-Trust – Zero-Trust é uma abordagem de segurança na qual é necessária validação constante para acessar uma rede. Em outras palavras, zero usuários, dispositivos, sistemas ou serviços são automaticamente confiáveis – qualquer coisa conectada à rede deve ser verificada.
Além disso, toda vez que um usuário ou dispositivo se conecta à rede, ele deve ser validado novamente.
Em uma abordagem Zero-Trust, em vez de verificar a identidade digital com base em endereços IP, as identidades digitais devem ser verificadas regularmente com base em métodos de autenticação adaptáveis, como PKI, autenticação multifator (MFA) e logon único (SSO). O principal benefício do Zero Trust é mitigar o risco de segurança, mas outros benefícios incluem a complexidade na pilha de segurança e a redução do tempo necessário para detectar uma violação.
O conceito de Zero Trust foi idealizado pela primeira vez em 1994 por Stephen Paul Marsh, mas um modelo de arquitetura Zero-Trust não foi criado até 2010 por John Kindervag. Agora, uma década depois, as organizações estão adotando-o devido a tendências como trabalho remoto e maior dependência da nuvem.
. O que está movendo a tendência Zero-Trust? – A transição para Zero Trust é impulsionada pelo trabalho remoto, adoção da nuvem e um aumento na implantação de dispositivos. O trabalho remoto está aumentando o número de dispositivos conectados à rede e o número de usuários conectados remotamente.
Além disso, as soluções em nuvem precisam de Zero Trust porque as infraestruturas de rede não estão mais apenas no local, mas estão totalmente na nuvem ou, mais frequentemente, em uma abordagem híbrida, que exige uma postura mais segura. Zero Trust pode ajudar a proteger um ambiente híbrido fornecendo medidas de autenticação adicionais.
No entanto, a mudança para Zero Trust não acontecerá da noite para o dia. É um processo que as organizações estão lentamente começando a adotar. De acordo com uma pesquisa, cerca de um terço das organizações já adotaram uma estratégia Zero-Trust e 60% planejam adotá-la no próximo ano. Mas ter as soluções de segurança certas para dar suporte a uma estratégia Zero-Trust é fundamental. É aqui que a PKI desempenha um papel essencial.
. Como PKI e Zero Trust andam de mãos dadas – A implementação de uma arquitetura Zero-Trust depende de uma maneira segura de verificar a identidade. A PKI é uma maneira comprovada de fornecer identidade digital para uma variedade de casos de uso. Ele pode fornecer soluções de login e formar a base para a identidade dentro do Zero Trust.
Mesmo que a PKI não cubra todos os aspectos de um ambiente Zero-Trust, ela fornece uma base sólida para a autenticação e a confiança necessárias. Na verdade, 96% dos executivos de segurança de TI acreditam que a PKI é essencial para construir uma arquitetura Zero-Trust. Isso ocorre porque a PKI fornece autenticação, criptografia e integridade necessárias para um modelo Zero-Trust. PKI oferece:
? Autenticação da identidade de cada usuário e/ou dispositivo na rede.
? Criptografia de todas as comunicações em toda a organização.
? Integridade dos dados e do sistema, mantendo a integridade dos dados provenientes de usuários/dispositivos, ferramentas de automação para emitir, revogar e substituir certificados de maneira confiável, escalável e ágil.
. Automação e visibilidade necessárias – A PKI automatizada é uma solução flexível que pode suportar iniciativas Zero-Trust. Com um número crescente de certificados, a automação facilita o gerenciamento de uma infraestrutura de PKI. Além disso, os aplicativos precisam ser atualizados constantemente, funcionários integrados e desvinculados ou acessos movidos.
O gerenciamento manual requer uma carga de trabalho pesada que aumenta a chance de erro humano e vulnerabilidades potenciais. Além disso, a maioria das soluções de automação também oferece maior visibilidade do inventário de certificados.
Isso é fundamental para uma arquitetura Zero-Trust porque quando a verificação é sempre necessária, conhecer cada certificado digital na rede não é apenas bom saber, é fundamental. Quaisquer certificados desconhecidos ou não descobertos podem deixar toda a rede vulnerável.
(*) – É chefe de P&D da DigiCert (www.digicert.com).
