Zero Trust: muito por fazer ainda nas empresas brasileiras
A maioria das empresas no mundo – 86,5% – começou a implementar algum aspecto de Zero Trust e autenticação multifator (MFA), garantindo o acesso de usuários remotos, com segmentação de rede ou aplicando microssegmentação em ambiente na nuvem. No entanto, apenas 2% delas afirmam estar totalmente maduras para a adoção de Zero Trust, revela o estudo Security Outcomes 2023 para Zero Trust: Tendências de Adoção, Acesso e Automação, da Cisco.
Para a fabricante, uma rede Zero Trust é baseada em um modelo de segurança que estabelece confiança por meio de autenticação e monitoramento contínuo de cada tentativa de acesso à rede, que difere do modelo tradicional de assumir que há confiança total dentro de uma rede corporativa.
No estudo, os aspectos de Zero Trust foram classificados em quatro pilares que estão alinhados com a arquitetura Zero Trust da Cisco e com o modelo da Cibersecurity and Infrastructure Security Agency (CISA), que são:
Identidade: autenticação multifatorial (MFA, na sigla em inglês), controle de acesso baseado em perfil (controle de acesso baseado em função, RBAC), Enterprise Single Sign-O (SSO).
Dispositivos: validação contínua de usuários e dispositivos. Administração de vulnerabilidades de detecção e resposta de end point (EDR, na sigla em inglês) com base no risco.
Redes & Workloads (cargas de trabalho): Detecção de Rede e Resposta (NDD, na sigla em inglês), microssegmentação de aplicativos de carga de trabalho.
Automação e orquestração: automação de fluxos de trabalho orquestrados e resposta de segurança orquestrada e resposta automatizada (SOAR).
Principais conclusões do relatório
Quanto mais pilares são concluídos, melhores são os resultados, o que respalda a ideia de que Zero Trust requer uma abordagem holística para obter benefícios mensuráveis.
As empresas que ainda não iniciaram a jornada para Zero Trust têm duas vezes mais probabilidades de sofrer incidentes do que as que completam todos os pilares de Zero Trust.
No Brasil, 24,9% afirmaram estar completamente preparadas para a adoção de Zero Trust em soluções de Identidade/Acesso, como por exemplo a autenticação multifator, e 34,3% completamente preparadas para adoção de Zero Trust em Redes & Workloads. Globalmente, esses dados foram de 10,9% e 16,4%, respectivamente.
À medida que as organizações acrescentam tecnologias de Zero Trust ao seu portfólio de segurança, a porcentagem de incidentes notificados cai de 74% para 38%.
2- A ordem é importante: primeiro a identidade e controle do dispositivo, depois segmentação, depois automação e orquestração.
Entre as vantagens de adotar essa abordagem, estão:
Melhoria da resposta a incidentes: Os controles do usuário, como a autenticação multifator (MFA) têm maior impacto na redução de incidentes, o que destaca o valor que esses controles preventivos podem ter na produtividade de equipamentos de segurança. Menos incidentes são uma boa notícia para todos.
Redução de risco de ransomware: As organizações que concluíram o pilar de identidade tiveram quase 11% menos chances de sofrer um ataque de ransomware do que as organizações sem progresso nesse pilar.
A automação acelera a adoção de Zero Trust. As equipes de segurança avaliam primeiro a automação e a orquestração em Zero Trust. Embora muitos concordem com a necessidade de automação, poucos percebem os benefícios. Esta é a área em que os programas de maturação estão focando, pois, sem a velocidade de correção que os fluxos de trabalho orquestrados podem fornecer, alcançar a segurança Zero Trust continuará sendo difícil.
As empresas que implementaram uma resposta de segurança orquestrada e automatizada tiveram 7% mais chances de afirmar que o Zero Trust estava em vigor.
No Brasil, 27,6% das empresas afirmaram estar completamente preparadas para Zero Trust para uso em Automação. Globalmente, foram 15,2%. O estudo Security Outcomes 2023 para Zero Trust: Tendências de Adoção, Acesso e Automação foi feito com base em pesquisas anônimas realizadas em meados de 2022 com profissionais responsáveis pela segurança e privacidade de 26 países, incluindo o Brasil, com análise do Cyentia Institute.