Este blog post faz parte da série Jornada Zero Trust, na qual apresentamos meios de implementar uma arquitetura Zero Trust de forma simplificada. Caso seja a sua primeira leitura, recomendamos que confira os passos iniciais.
A terceira fase da jornada Zero Trust engloba a identificação de maturidade, lacunas e riscos potenciais relacionados a inventários, fluxos de dados e trabalho da organização. Além disso, nela são definidos os privilégios mínimos para cada usuário, serviço ou dispositivo que solicite acesso a um ativo.
Um caminho conveniente para colocar em prática o controle de acesso é o uso de frameworks. Por exemplo, ao cumprir com requisitos de compliance e padrões de segurança internacionais ou obter certificações, automaticamente a organização terá um avanço na implementação de Zero Trust. É aí que entra em cena a ISO/IEC 27002.
A seguir, vamos nos aprofundar um pouco sobre a ISO/IEC 27002 e explicaremos como ela pode ser aplicada à construção do controle de acesso na jornada Zero Trust.
Aplicação da ISO/IEC 27002 à criação do controle de acesso
Projetada para ser “referência na seleção de controles dentro do processo de implementação de um sistema de gestão da segurança da informação baseado na ISO/IEC 27001”, a ISO/IEC 27002 aborda práticas em comum com os princípios de Zero Trust.
Além das orientações que constam no documento, a ISO/IEC 27002 visa estabelecer a premissa de que “tudo é proibido a menos que expressamente permitido”, substituindo a ideia comum de que “tudo é permitido, a menos que expressamente proibido”.
Mas o que fazer para implementá-la dentro da sua estratégia de Zero Trust? Primeiramente, é preciso atender a uma série de requisitos. Em seguida, tratar das responsabilidades do usuário e do controle de acesso ao sistema e à aplicação; e, por fim, escolher as tecnologias certas para colocar o projeto em prática.
Nesta primeira parte do conteúdo, analisaremos os requisitos para controle de acesso previstos na ISO/IEC 27002, trazendo-os para o contexto de Zero Trust.
Requisitos para controle de acesso baseado na ISO/IEC 27002
Embora estejamos falando em requisitos, esta é uma das etapas mais importantes neste momento da jornada; isso porque é nela onde definimos a política de controle de acesso, incluindo redes e serviços de rede. Vejamos quais são esses requisitos.
Política de controle de acesso
De acordo com a ISO/IEC 27002, uma política de controle de acesso deve ser estabelecida, documentada e analisada criticamente, baseada nos requisitos de segurança da informação e dos negócios, os quais elencamos abaixo.
Requisitos de segurança de aplicações de negócios individuais
Este item envolve a classificação da informação e restrição e condições de compartilhamento de acordo com as necessidades do negócio, procedimentos que abordamos nas fases anteriores da jornada.
É importante que todos os resultados de classificação sejam atualizados conforme o valor, sensibilidade e criticidade ao longo do seu ciclo de vida, pois a empresa é um organismo vivo que seguirá evoluindo e gerando mudanças na forma como as informações devem ser tratadas.
Política para disseminação e autorização de informação
É o estabelecimento de regras para disseminação de informações. Por exemplo, disseminar dados classificados como altamente críticos, se permitido, é uma ação que requer autorização e procedimentos de autenticação e validação de usuário/dispositivo configurados na arquitetura Zero Trust.
Consistência entre direitos de acesso e políticas de classificação
A classificação de uma informação se baseia na sua sensibilidade e criticidade operacional. Portanto, as políticas de classificação da informação de sistemas e redes devem ser coerentes com os níveis de segurança do ativo classificado.
Por exemplo, se determinado ativo é essencial para o funcionamento do negócio, o nível de proteção e controle de acesso a este precisa ser suficiente a ponto de garantir sua confidencialidade, integridade e disponibilidade.
Compliance e obrigações contratuais relativas à proteção de acesso
Controles específicos para conformidade com leis e requisitos contratuais, bem como as responsabilidades individuais para aplicá-los, têm de ser definidos e documentados.
Considerando a nossa jornada Zero Trust, o papel dos data stewards para esse tipo de acompanhamento é fundamental, visto que assegura o uso de dados conforme as permissões de acesso e suas funções no contexto de missão.
Gerenciamento de direitos de acesso
Segundo a ISO/IEC 27002, é recomendado que o gerenciamento de direitos de acesso seja feito em ambiente distribuído e conectado a uma rede capaz de reconhecer todos os tipos de conexões disponíveis.
Um dos pilares da arquitetura Zero Trust é a visibilidade. Logo, quanto mais recursos de observabilidade a tecnologia oferece, maior será a eficiência do time de segurança para monitorar conexões, analisar dados de eventos e criar regras de controle de acesso.
Segregação de funções de controle de acesso
A segregação de funções de controle de acesso é, basicamente, atribuir tarefas e funções como pedido, autorização e administração de acesso não somente a uma pessoa, mas a um grupo.
Essa distribuição de funções é relevante no contexto de Zero Trust, pois é uma medida que ajuda a prevenir movimentos laterais de um ator malicioso, uma vez que nenhum usuário administrativo tem permissões e privilégios amplos a serem explorados.
Requisitos para autorização formal de pedido de acesso
Para que seja possível relacionar os usuários às suas responsabilidades e ações, é indispensável que cada um deles tenha um ID de usuário único, o qual deve ser concedido por meio de um processo formal de registro e cancelamento que inclua documentação e regras de emissão.
Essa prática é também um requisito para uma estratégia Zero Trust, que estende a criação de IDs de usuário a partir de um processo formal com a concessão de privilégios mínimos, de modo que cada usuário tenha acesso somente a funções, recursos e ativos necessários para a tarefa em questão.
Requisitos para análise crítica periódica de direitos de acesso
Uma arquitetura Zero Trust eficiente exige que os proprietários dos ativos realizem, em intervalos regulares, análises críticas dos direitos de acesso dos usuários. A frequência é importante para garantir que privilégios não autorizados não sejam obtidos.
Recomenda-se que esse tipo de análise ocorra sempre que um colaborador, por exemplo, seja promovido, remanejado ou desligado, ou quando este passa a realizar outros tipos de atividade dentro da organização.
Aqui, vale uma observação: quanto maior o nível de criticidade e sensibilidade dos ativos ou recursos envolvidos, mais frequentemente a análise crítica deve ser executada. Usuários de sistemas como “sysadmin”, “administrator”, “root”, “apache” e “nginx”, por exemplo, requerem esse cuidado.
A razão para isso é que eles detêm os privilégios que interagem diretamente com o sistema operacional ou até mesmo a gestão de identidade. A apropriação de contas como essas por um agente malicioso é um risco real à toda companhia.
Nesses casos, convém considerar o monitoramento ou até mesmo a desativação do usuário, além de não permitir acesso remoto por estas contas. Lembre-se que políticas de acessos não são aplicadas apenas à pessoas, mas também à contas usadas por sistemas.
Também vale frisar que análises críticas recorrentes são necessárias tanto para assegurar que o acesso siga restrito aos usuários certos quanto para manter o controle de acesso atualizado e alinhado à estratégia de Zero Trust.
Remoção de direitos de acesso
A fim de evitar que colaboradores que tiveram suas atividades, contratos ou acordos encerrados corrompam ou comprometam a integridade, confidencialidade ou disponibilidade dos ativos da empresa, os direitos de acesso têm de ser retirados ou ajustados. Isso pode ser feito assim que o desligamento ocorre ou até mesmo antes, removendo os privilégios gradualmente.
Arquivo dos registros de eventos relevantes
Todos os eventos significativos que abrangem o gerenciamento de IDs do usuário e da informação de autenticação secreta precisam ser arquivados seguindo as diretrizes de controle de acesso estabelecidas na estratégia Zero Trust.
Com os registros desses eventos, o time de segurança, assim como os data stewards, dispõem de recursos essenciais de observabilidade que podem ser usados em auditorias e análise de vulnerabilidades no que tange aos direitos de acesso.
Regras para acesso privilegiado
Com a política de controle de acesso estabelecida, cabe gerenciar os direitos de acesso privilegiados por meio de um processo de autorização formal baseado nela e aplicar na prática a concessão de privilégios mínimos.
Acesso a redes e serviços de rede
Esse segundo requisito tem como efeito assegurar que usuários recebam acesso somente às redes e aos serviços de rede que tenham sido especificamente autorizados a usar. Para isso, a política nesta fase da jornada Zero Trust deve estabelecer:
- redes e serviços de redes permitidos e os meios usados para acessá-los;
- procedimentos de autorização de acesso e controles de gerenciamento para proteger o acesso a conexões e serviços de redes;
- requisitos de autenticação do usuário.
São ações simples de implementar, mas que são cruciais ao prevenir, entre outras ameaças, conexões não autorizadas e inseguras que podem ser letais para a organização — risco este que ganhou maior proporção com a expansão do trabalho remoto.
E quando falamos em segurança do local de trabalho, por exemplo, temos de pensar nos paradigmas que promovem controle de acesso em ambientes modernos, como segurança de perímetro, segmentação de rede e observabilidade, e que sejam aderentes aos princípios Zero Trust para redes.
Próximos passos para implementação do controle de acesso
Agora que você conheceu os requisitos, seguiremos a terceira fase da jornada com a parte final do conteúdo, na qual falaremos sobre as responsabilidades do usuário, controle de acesso ao sistema e à aplicação e tecnologias imprescindíveis para construir um controle de acesso que atenda às exigências de um modelo de segurança Zero Trust.
Para receber os próximos conteúdos da nossa série sobre Zero Trust em primeira mão, inscreva-se na nossa newsletter preenchendo os campos a seguir!