Alcançando a convergência entre segurança e produtividade
É muito comum que as ferramentas e práticas de segurança de TI sejam fornecidas, porém prejudicando a produtividade. Até mesmo a segurança física tem que pagar esse preço. Não haveria pressa para chegar ao aeroporto uma hora mais cedo se não fosse pelas extensas medidas de segurança antes de embarcar. Como resultado dessa concessão, nossa preocupação muitas vezes não é se podemos aumentar a segurança de nossas redes, mas sim se esse aumento na segurança vale a pena, considerando os impactos aos negócios.
Também devemos considerar as implicações de risco versus a recompensa ao adotar novas tecnologias que viabilizam os negócios. Depois de decidir que uma nova tecnologia é importante para a empresa, temos que decidir se esse valor supera a superfície de ataque expandida e, portanto, o risco de violação que acompanha essa tecnologia. Por isso, uma tensão constante entre as equipes de segurança e de TI se tornou comum. Mas isso não precisa ser assim.
Na atualização da plataforma de abril de 2022, vamos nos aprofundar nas formas como a Akamai está construindo um futuro de trabalho em que os clientes podem embarcar em uma jornada Zero Trust que minimiza o risco de violação e acelera a produtividade dos negócios. Alcançar essa convergência de segurança e produtividade começa com o combate aos desafios comumente associados à implementação dos princípios do Zero Trust.
O lado sombrio do Zero Trust
Analistas, fornecedores e profissionais de segurança ofereceram muitas perspectivas sobre o que significa "Zero Trust" e como alcançá-lo. O único item com o qual todos nós parecemos concordar é que ele é uma base sólida sobre a qual as equipes de segurança podem minimizar o risco e o impactos de violações. No entanto, é fácil chegar a um acordo sobre o estado final ideal do Zero Trust sem se aprofundar nos detalhes sobre como chegar lá e o impactos que isso pode ter sobre os negócios.
Imagine que o Zero Trust tem um estado final no qual você "zera" qualquer confiança implícita no ambiente que cria riscos, mas não facilita o trabalho. Acho que todos nós podemos concordar que isso seria incrível. Não haveria espaço para invasores abusarem das vulnerabilidades em nossos sistemas ou introduzir novos malwares.
O lado sombrio do Zero Trust surge quando consideramos tudo o que deve acontecer para chegar a esse estado final. Temos que considerar a jornada para o Zero Trust e não apenas o destino. A falta de foco na própria jornada é uma grande parte do motivo pelo qual ela raramente é colocada em prática. Há alguns pontos importantes a serem pensados à medida que destacamos essa jornada.
Desaceleração da produtividade
O primeiro é o impacto na produtividade dos funcionários, seja por acidente ou por projeção. Um aspeto fundamental do Zero Trust é restringir o acesso, principalmente por meio da lista de negações. É a prática de decidir o que pode acontecer; tudo mais é negado por padrão. À medida que diminuímos a capacidade de um invasor de executar uma campanha mal-intencionada, muitas vezes aumentamos a probabilidade de, acidentalmente, impedir que alguém consiga fazer seu trabalho.
É improvável que uma equipe de segurança possa prever cada cenário possível no qual os ativos e as pessoas devem se comunicar. Além disso, as empresas e as forças de trabalho evoluem e mudam de forma imprevisível. As equipes de TI e de segurança devem considerar cenários em que a confiança não é concedida, mas deve ser.
Outra implicação potencialmente prejudicial dos princípios de Zero Trust são as reduções na produtividade que são consideradas. Verificações de identidade adicionadas, agentes que sobrecarregam cargas de trabalho, dispositivos de usuário final e ferramentas nas quais os usuários finais devem fazer login são apenas algumas delas. Cada uma delas pode estar dentro de nossa tolerância. No entanto, quando consideramos o impactos somando esses pequenos obstáculos, eles podem chegar ao ponto em que custam mais do que o valor que fornecem.
A necessidade de vários pontos de contato
O último, mas não menos importante, dos pontos problemáticos da jornada Zero Trust que discutiremos é o impacto sobre as equipes de segurança e seus integrantes, arquitetos e analistas. Atualmente, não há nenhum produto no mercado que possa facilitar a jornada Zero Trust por conta própria. Como resultado, as equipes de segurança precisam manter a política em vários consoles, implementar vários agentes e manter diversas integrações.
Essa é uma tarefa difícil até mesmo para as equipes de segurança mais bem-alocadas e pode incorrer em custos substanciais em dinheiro e horas de trabalho. Esse problema final compõe os dois primeiros, aumentando a probabilidade de falsos positivos, assim como o número de agentes e de ferramentas que sobrecarregam os usuários finais.
Uma busca assintótica
Também vale a pena notar que a busca do verdadeiro Zero Trust é realmente assintomática; podemos chegar perto, mas remover cada pedacinho da confiança implícita é provavelmente uma impossibilidade. Especialmente se expandirmos nosso pensamento exatamente onde podemos invocar os princípios de Zero Trust.
Por exemplo, considere um ataque à cadeia de suprimentos no qual temos um usuário confiável fazendo download e iniciando um aplicativo confiável a partir de uma fonte confiável. As definições atuais de Zero Trust permitiriam que isso acontecesse e o carregamento mal-intencionado é capaz de ignorar todas as nossas zonas de confiança. Nesse caso, podemos considerar a necessidade de Zero Trust aplicado ao ponto de extremidade, dentro da memória... mas essa é uma conversa para outro dia. Embora o Zero Trust perfeito possa ser uma impossibilidade e aproximar-se de nossas metas pode envolver vários pontos problemáticos, ele é um esforço bastante digno, pois oferece um futuro de trabalho no qual a minimização de riscos e a maximização da produtividade caminharão lado a lado.
Na publicação de hoje, discutiremos como a Akamai está trabalhando para ajudar as empresas a tornar essa visão uma realidade. A cada etapa da jornada, podemos reduzir a probabilidade de uma violação catastrófica sem interromper os negócios. Com a ampla adoção do Zero Trust como o estado final desejado, agora cabe aos fornecedores de segurança, como a Akamai, tornar essas etapas atingíveis para mais empresas, rapidamente e sem quaisquer consequências negativas, como as mencionadas acima.
Preenchendo a lacuna entre a perspectiva e a realidade
O Zero Trust significa permitir apenas o que é necessário para uma empresa operar e proibir todo o resto. Fazer a distinção entre ações necessárias e desnecessárias e, em seguida, agir com precisão é o centro da jornada Zero Trust. Sem as ferramentas certas, isso é quase impossível. Como resultado, as empresas permitem mais do que o necessário, ficam expostas a muitos riscos ou evitam mais do que deveriam, o que diminui a produtividade.
Essa tarefa pode ser assustadora, mas há maneiras de remover a confiança implícita com tamanha precisão e granularidade que os usuários finais nem perceberão. Além disso, se feito corretamente, isso pode minimizar a superfície de ataque até o ponto em que a adoção de novas tecnologias é segura e todas as ações de capacitação empresarial são confiáveis. A segurança e a produtividade se convergirão de modo que o Zero Trust minimize o risco de violação e o impactos, ao mesmo tempo em que capacita a força de trabalho. Mas como podemos tornar este futuro do ambiente de trabalho uma realidade?
Três componentes principais para alcançar o Zero Trust
Existem três componentes principais para alcançar o Zero Trust sem ter que enfrentar seu lado obscuro. Eles são:
Visibilidade
Entendimento
Controle
Precisamos de visibilidade histórica e em tempo real de todos o ativos e seus respectivos fluxos. Precisamos entender o que está acontecendo e por quê. E, por sim, precisamos agir com base nesse entendimento com controle preciso e granular.
Visibilidade significa fornecer ao administrador de segurança uma visão dos diferentes ativos, fluxos, aplicativos e usuários dos quais estamos tentando remover a confiança implícita. Essa visibilidade precisa ser ampla o suficiente para abranger os diferentes sistemas operacionais, dispositivos e outros aspectos da rede.
Em seguida, temos que entender a função do que agora temos visibilidade. Somente com esse entendimento podemos delinear com precisão o que é necessário e o que não é. Contexto, orientação e visualizações nos permitem entender o que deve e não deve estar acontecendo, o que é necessário para a empresa e o que está criando risco.
Uma vez que tudo possa ser visualizado, entenderemos o que está acontecendo e poderemos começar a remover a confiança implícita. A granularidade e a precisão são fundamentais nesse momento. Por exemplo, alguns processos são necessários para operações normais, mas há serviços que não são necessários, que os adversários irão abusar. Nesse caso, precisamos ser capazes de aplicar a política no nível de serviço. Uma política de curso amplo na camada da máquina ou até mesmo de aplicação levaria a falsos positivos.
As ferramentas necessárias
No formato atual, nenhuma ferramenta pode oferecer os recursos de aplicação necessários para obter toda a confiança implícita em nossas redes, de modo que possamos alcançar o Zero Trust. Para combater isso, a Akamai está construindo o portfólio mais completo de produtos Zero Trust com um roteiro que mostra essas ferramentas totalmente integradas.
Microssegmentação
A Akamai Guardicore Segmentation é a principal solução de microssegmentação do mundo e atua como uma facilitadora importante da abordagem Zero Trust, permitindo o controle dos fluxos dentro da rede. A Akamai adquiriu a Guardicore em grande parte porque o produto exemplifica os principais locatários que a Akamai considera fundamentais para o Zero Trust.
A mais ampla cobertura de sistemas operacionais suportados com visualizações históricas e em tempo real na rede oferece visibilidade inigualável. A rotulagem flexível e uma interface de usuário intuitiva permitem fácil compreensão das dependências até mesmo nos ambientes mais complexos. E a aplicação guiada de políticas até o nível de aplicativo e até mesmo de serviço significa um controle preciso e granular.
Na atualização da plataforma de abril de 2022, não apenas incluímos a Akamai Guardicore Segmentation no portfólio em geral, mas também implementamos uma série de melhorias no próprio produto que geram mais simplicidade, segurança e cobertura. Destacaremos alguns recursos, como modelos de atenuação de ransomware, que permitem que o controle do nível de serviço interrompa facilmente técnicas avançadas de ransomware.
Acesso à rede Zero Trust e autenticação multifator
O Enterprise Application Access da Akamai fornece aos usuários o verdadeiro acesso baseado em Zero Trust apenas aos aplicativos necessários e reduz drasticamente a superfície de ataque, eliminando a necessidade de permitir o acesso e a visibilidade de toda a rede.
A MFA da Akamai complementa os recursos de autenticação do Enterprise Application Access adicionando a autenticação multifator (MFA) FIDO2 para proteger o usuário. Ao contrário de outras soluções de MFA baseadas em FIDO2 que exigem chaves de segurança físicas, a MFA da Akamai usa uma aplicação para smartphone, o que reduz o custo e a complexidade.
Recomendamos que você sempre combine o Zero Trust Network Access (ZTNA) com o MFA baseado em FIDO2. Você não está sozinho: o governo dos EUA também percebeu que a implantação da MFA é essencial para ajudar a melhorar a resiliência cibernética do país. Em maio de 2021, o Presidente Biden emitiu uma ordem executiva que obrigou o uso da MFA em todas as agências federais. Em janeiro de 2022, o Office of Management and Budget dos EUA forneceu mais detalhes de que o serviço de MFA implantado deve ser à prova de phishing e baseado em padrões FIDO2.
Isso parece ser uma abordagem sensata devido aos pontos fracos de segurança bem documentados das soluções de MFA que usam SMS (serviço de mensagens de texto), outros métodos de telefonia ou notificações por push padrão como um segundo fator para os usuários, que geralmente são consideradas como proteção contra phishing e muito menos seguras.
Como lidar com ataques virtuais cada vez maiores
No ano passado, vimos outro impulsionador da MFA entre nossos clientes: Com cada vez mais ataques cibernéticos, muitas empresas agora estão investindo em seguros virtuais. Cada vez mais, as companhias de seguros agora estão explicitamente declarando nos termos e condições da apólice que as empresas precisam implantar a MFA em todos os logins locais e remotos para atender às condições de cobertura de seguro.
Isso é mais provável em resposta direta ao número de reivindicações que eles receberam nos últimos anos que poderiam ter sido evitadas se a empresa tivesse a MFA em vigor: evidência adicional de que os logins de funcionários estão sendo direcionados por invasores.
Como oferecer um forte fator à prova de phishing
À medida que as empresas começam a pensar na mudança para a autenticação sem senha, a substituição de um fator de autenticação fraco por outro fator fraco, como o SMS, não resolve o problema. A MFA da Akamai baseado em FIDO2 fornece um forte fator à prova de phishing que é essencial para oferecer os benefícios de segurança esperados que a eliminação de senhas deve oferecer.
Juntos, o Enterprise Application Access e o Akamai MFA oferecem uma solução de acesso Zero Trust para fornecer acesso a recursos de TI corporativos privados.
Na atualização da plataforma em abril de 2022, introduzimos várias melhorias no Enterprise Application Access e no Akamai MFA para aumentar a flexibilidade de implantação e a interoperação com tecnologias de proteção contra ameaças vizinhas. Aprimoramentos em várias plataformas significa que o Enterprise Application Access agora oferece suporte a uma série de aprimoramentos importantes para ajudar na segurança Zero Trust em uma grande variedade de plataformas. Isso inclui a capacidade de detectar o Cylance AV e o Microsoft Defender no MacOS como parte de uma avaliação de postura do dispositivo. Além disso, nossa integração de SCIM com Okta e Microsoft Azure AD agora está passando pela certificação e pela validação dessas organizações. Além disso, lançamos uma prévia técnica de um cliente do Enterprise Application Access no Ubuntu para que os clientes testem e validem, antecipando uma versão completa do cliente mais adiante em 2022.
O Akamai MFA agora aceita políticas sensíveis ao contexto para oferecer MFA adaptável com base no endereço IP da rede do usuário, onde o usuário está localizado (geolocalização) e se o usuário é conhecido ou desconhecido. Quando usado em conjunto com o Enterprise Application Access, esse novo recurso melhora o acesso à segurança, garantindo acesso Zero Trust apenas aos usuários certos.
Além disso, o Akamai MFA oferece agora suporte à integração de servidor VPN (rede privada virtual), o que permite que o Akamai MFA seja integrado aos fluxos de autenticação VPN e ao provisionamento de usuários a partir de diretórios AD/LDAP locais.
Gateway web seguro
O Akamai Secure Internet Access Enterprise é um gateway Web seguro baseado na nuvem projetado para ajudar as equipes de segurança a garantir que os usuários possam se conectar à Internet com segurança onde quer que estejam e independentemente do dispositivo utilizado. Essa solução rápida de configuração e fácil de implantar não requer instalação ou manutenção de hardware e representa outro componente fundamental em uma arquitetura baseada no Zero Trust.
O Secure Internet Access Enterprise utiliza dados atualizados de inteligência de ameaças e vários mecanismos de análise de carga útil para permitir que os funcionários acessem somente o conteúdo benigno da Web. A inteligência contra ameaças é baseada na visibilidade sem precedentes da Akamai sobre o tráfego da Internet, incluindo 3,3 trilhões de solicitações de DNS que são resolvidas todos os dias pela Akamai Intelligent Edge Platform, logs de tráfego de outros serviços de segurança da Akamai, CDN e centenas de feeds de segurança de terceiros.
Apresentando o gerenciamento multilocatário
Na atualização da plataforma de abril de 2022, estamos apresentando o gerenciamento multilocatário, que permite que provedores de serviços, ISPs e MSSPs gerenciem facilmente configurações individuais de clientes. Para ajudar a identificar e bloquear páginas da Web que usam JavaScript ofuscado para evitar a detecção, estamos adicionando um mecanismo de detecção de JavaScript mal-intencionado de dia zero que identifica e bloqueia páginas recém-criadas com base em JavaScript mal-intencionado em tempo real. Para mais flexibilidade de implantação, estamos adicionando novas maneiras de encaminhar o tráfego para o Secure Internet Access Enterprise, incluindo um encaminhador HTTP gerenciado e suporte a túneis IPsec.
A jornada rumo ao Zero (Trust)
A maioria das pessoas concordará que um estado de Zero Trust, no qual todas as entidades não são confiáveis por padrão e o acesso menos privilegiado é imposto, minimizará a probabilidade e o impactos das violações. No entanto, poucas pessoas estão considerando as implicações de trabalhar nesse estado e de como isso pode afetar negativamente os negócios. E menos pessoas ainda estão oferecendo etapas alcançáveis para chegar lá. É por isso que a Akamai se dedica a construir um futuro no mercado de trabalho no qual mais empresas podem alcançar um estado de Zero Trust com mais eficiência.
Hoje, no penúltimo dia da atualização da plataforma, expandiremos o conjunto de soluções da Akamai que está habilitando o Zero Trust. Para a Akamai, isso significa visibilidade profunda e ampla de todas as entidades. Isso significa entender as funções pelo mapeamento intuitivo visualizado e contexto avançado. E, por fim, isso significa um controle preciso e granular para que, quando for a hora de aplicar a política Zero Trust, você possa parar apenas o que está criando risco, de modo que as tecnologias de capacitação empresarial possam ser adotadas sem medo.
O que vem a seguir?
Neste futuro do mercado de trabalho, o Zero Trust é alcançável por mais empresas, mais rapidamente e de forma a reduzir os riscos e acelerar os negócios. Fique atento ao nosso último dia, em que Ari Weil irá compartilhar o que esse futuro significa para você.
