Blog

  • Microsoft 365
  • /
  • Zero Trust: a estratégia de segurança em TI que você precisa adotar

Zero Trust: a estratégia de segurança em TI que você precisa adotar

Você sente que seu ambiente interno de cloud está seguro pelos seus funcionários? As empresas costumam usar um modelo de segurança cibernética no qual qualquer pessoa fora do perímetro da rede corporativa é suspeita e qualquer pessoa dentro da rede não precisa ser suspeito. Conforme a Pesquisa Global de Segurança da Informação 2016, publicada pela PwC, 41% das 600 empresas alegam que os colaboradores internos são os maiores causadores de incidentes de vazamento de dados no Brasil. 

A suposição de que os usuários internos são confiáveis, conhecida como confiança implícita, resultou em muitas violações de dados prejudiciais, com os invasores capazes de se mover internamente pela rede sem muitos problemas. 

Em vez de se concentrar nas localizações de usuários e dispositivos em relação a empresa – ou seja, dentro ou fora da rede privada – o modelo de Zero Trust concede aos usuários acesso a informações com base em suas identidades e funções, independentemente de estarem no escritório, em casa ou em outro lugar.  

No modelo Zero Trust, a autorização e a autenticação acontecem continuamente em toda a rede, em vez de apenas uma vez. Esse modelo restringe o movimento lateral desnecessário entre aplicativos, serviços e sistemas, levando em consideração tanto as ameaças internas quanto a possibilidade de um invasor comprometer uma conta legítima. Limitar quais partes têm acesso privilegiado a dados confidenciais reduz muito as oportunidades para hackers roubá-los. 

O que é Zero Trust? 

Zero Trust é um modelo de segurança com abordagem de segurança cibernética que nega o acesso aos recursos digitais de uma empresa por padrão e concede aos usuários e dispositivos autenticados acesso personalizado. Esse sistema isola acessos e disponibiliza apenas aos aplicativos, dados, serviços e sistemas de que precisam para realizarem seus trabalhos. O Gartner previu que até 2025, 60% das organizações adotarão uma estratégia de segurança de confiança zero. 

O conceito de Zero Trust existe há mais de uma década, mas continua a evoluir e crescer. John Kindervag, um analista da Forrester na época, apresentou o revolucionário modelo de segurança em 2010. Pouco tempo depois, fornecedores como Google e Akamai adotaram princípios de confiança zero internamente, antes de finalmente lançarem produtos e serviços de confiança zero comercialmente disponíveis. 

Na Support, usamos muito os conceitos de Zero Trust aplicados por profissionais da Microsft, em que existem níveis de maturidade e segurança que as empresas podem usar para deixar sua rede mais segura.  

Primeira etapa 

• Você está reduzindo os riscos na criação de senhas com métodos de autenticação fortes como MFA e fornecendo acesso SSO a aplicativos em nuvem? 

• Você tem visibilidade dos dispositivos, ambientes de nuvem e logins para detectar atividade fora do normal? 

• Suas redes estão segmentadas para evitar movimentos laterais ilimitados dentro do perímetro do firewall? 

Progresso intermediário 

• Você está usando análises de risco em tempo real para avaliar o comportamento do usuário e a integridade do dispositivo tomar decisões mais inteligentes? 

• Você pode identificar os sinais de segurança entre vários pilares para detectar ameaças e agir rapidamente? 

• Você está encontrando e corrigindo proativamente as vulnerabilidades de configurações incorretas e patches ausentes para reduzir a ameaça vetores? 

Estágio mais maduro 

• Você é capaz de aplicar dinamicamente políticas após o acesso ter sido concedido 

proteger contra violações? 

• Seu ambiente está protegido usando detecção automatizada de ameaças e 

resposta em todos os pilares de segurança para reagir mais rapidamente para ameaças avançadas? 

• Você está analisando a produtividade e sinais de segurança para ajudar a conduzir o usuário otimizar a experiência por meio de autocura e insights acionáveis? 

Fonte: Microsoft 

Quais são os princípios do Zero Trust? 

A estrutura do Zero Trust é baseada em quatro princípios fundamentais: 

Nunca confie, sempre verifique 

Seu sistema deve solicitar continuamente aos usuários e serviços que verifiquem suas identidades, dispositivos, locais e outros atributos de dados para garantir que apenas usuários e serviços privilegiados acessem um recurso confidencial. Tokens, sessões e conexões devem ter vida personalizada e usuários e serviços devem ser autenticados novamente para continuar acessando seus recursos confidenciais. 

Monitoramento contínuo 

O monitoramento contínuo permite que você tenha uma compreensão em tempo real de quais usuários estão tentando acessar quais recursos e o resultado dessa avaliação. Além disso, ele fornece às suas equipes de rede e segurança informações em tempo real sobre ameaças potenciais, comportamentos anormais e incidentes de segurança ativos. Isso permite que eles ajam rapidamente para resolver quaisquer incidentes e limitem o acesso antes de uma possível violação. 

Privilégios mínimos 

Garantir que seus usuários tenham acesso apenas ao mínimo de recursos necessários é um princípio básico da estrutura de Zero Trust. É importante que você entenda exatamente quais de seus usuários precisam de acesso a quais recursos e o que eles precisam fazer com esses recursos para limitar o acesso não autorizado. Este é um componente chave do princípio de microssegmentação discutido abaixo. 

Microssegmentação 

Você pode minimizar os riscos de uma violação ou incidente de segurança segmentando seu DAAS em segmentos menores e mais focados em sua rede. Esses segmentos de rede são independentes uns dos outros e são projetados para impedir que invasores se movam em sua rede. Cada segmento tem seu próprio conjunto de usuários, funções e políticas de acesso que são continuamente avaliados e monitorados. 

Zero Trust na Support  

O modelo Zero Trust parece um processo limitante e que limita a produtividade e interação dos usuários com a rede. Mas a implementação bem sucedida de um modelo de Zero Trust pode ajudar a trazer contexto e insights para a equipe de segurança e melhorar a experiência dos usuários. 

Na Support, construímos privacidade de dados dos nossos clientes usando princípios de Zero Trust. Fornecemos controle sobre seus dados e insights sobre como os usuários e serviços os acessam e de que forma, combinando essa criptografia com a tecnologia de proteção para manter todos os seus dados confidenciais centralizados.  

Se você quiser saber mais sobre como aplicamos o modelo Zero Trust, entre em contato para uma consultoria. 

Compartilhe

Conteúdo relacionado

Microsoft Copilot

Microsoft Copilot para área jurídica: A automação completa da rotina legal com IA

O setor jurídico, por sua própria natureza, lida com um vasto volume de documentos, prazos rigorosos e a necessidade constante …

Copilot para RH

Microsoft Copilot para RH: Como a IA está transformando a Gestão de Pessoas

O cenário de gestão de pessoas está em constante evolução, com forças de trabalho cada vez mais diversas e dinâmicas, …

Microsoft Intune, Microsoft Defender, Microsoft Pureview, Microsoft Entra ID, Microsoft Security

Criando um ecossistema de segurança integrado usando as ferramentas Microsoft Security

A segurança digital é um desafio crescente para as organizações modernas. Com o aumento das ameaças cibernéticas, é vital que …

Microsoft Security

Guia completo do Microsoft Security: Máxima proteção para sua empresa 

Em um mundo onde as ameaças cibernéticas estão em constante evolução, a segurança da informação precisa ser tratada como prioridade …