Não é possível haver Zero-Trust sem MFA
*Por Dennis Brach
Hoje, levando em conta que muitas empresas adotam sistemas de trabalho híbrido ou mesmo completamente remoto, a segurança dos dados tornou-se um tema de extrema relevância. Um relatório da empresa norte-americana ChainAnalysis nos mostra que o ano passado foi marcado por um assustador aumento de 311% nos ransomwares (sequestro de dados, só liberados com pagamentos) pelo mundo.
Neste cenário, um modelo de segurança e gerenciamento de acessos tem se provado muito efetivo. É o MFA (Multi Factor Authentication, ou “Autenticação multi fator”). A partir dele, o usuário precisa utilizar mais de uma forma de identificação para se conectar à rede. Na maioria dos casos, parte-se de três modelos para se definir os desbloqueios de acesso: algo que o usuário sabe, como uma sequência numérica, um objeto que tem, como um crachá, e algo que somente ele enquanto pessoa tenha, como voz ou digital.
Além dessas três vertentes, uma possibilidade para a aplicação do MFA são as OTPs (One Time Password, ou “Senha de uso único”). Pense naquela sequência numérica que você recebe para finalizar seu cadastro em um portal ou aplicativo, e não reutiliza para mais nada. O conceito é o mesmo. A partir dessas abordagens, o acesso ao que quer que seja se torna muito mais rígido e controlável, uma vez que apenas uma senha passa a não ser o suficiente.
Para os especialistas em TI, a abordagem Zero-Trust tem se mostrado a mais válida para mitigar ataques e invasões de terceiros. A partir dessa ideia de literalmente “não confiar em ninguém”, tanto o cibercriminoso como o empregado normal são tratados como potenciais riscos à segurança. A multi autenticação promovida pela implementação do MFA se mostra essencial para um Zero-Trust efetivo, justamente porque fornece essa “dura” estrutura de segurança para o gerenciamento de identidade e acessos à rede.
Usando MFA e políticas de risco para implantação de Zero-Trust
Como entendemos, a implementação de confiança zero começa com a suposição de que nada pode ser completamente confiável. Ao definir micro segmentos e aplicar políticas adaptadas às necessidades de segurança da sua empresa, passa-se a fomentar a criação de um ambiente virtual mais confiável. Isso começa identificando o usuário que acessará esses aplicativos e serviços, e desenvolvendo os micro segmentos (que pode ser um aplicativo de gerenciamento de relacionamento com o cliente, o CRM) baseados em nuvem.
Pensemos num exemplo: as equipes de vendas e suporte técnico podem precisar de acesso a esse CRM. Mas e a equipe de engenharia? Provavelmente não, então eles não serão incluídos. No caso da equipe de suporte técnico, todos os funcionários estão na mesma cidade e trabalham apenas em horário comercial, o que talvez signifique que o acesso a esse grupo deva ser geograficamente e temporalmente limitado.
Justamente por conta da sensibilidade dos dados dentro do CRM, o MFA deve sempre ser usado. As políticas de risco podem ser usadas para definir regras mais granulares com base em situações dinâmicas, que se adaptam melhor às tendências atuais de acesso remoto e aos modelos de trabalho híbridos que as empresas estão experimentando.
O gerenciamento de identidade e acesso não pode mais ser considerado opcional. As empresas precisam se concentrar em uma estratégia de proteção do usuário e dos dados fortes, que são áreas principais que governam a MFA e a autenticação de risco. Isso lhe dará a oportunidade de realmente abraçar a abordagem "não confie em ninguém" para a rede da sua empresa, terminais e aplicativos em nuvem, evitando ameaças e bloqueando o movimento lateral sem comprometer a experiência do usuário.
*Dennis Brach é Country Manager da WatchGuard Brasil