Por que os fundamentos de segurança são a parte mais negligenciada na adoção de uma estratégia de confiança zero?
Os fundamentos de segurança falham pelo mesmo motivo que a maioria das metas de condicionamento físico de Ano Novo falham.
Todo mundo sabe o que fazer. Você deve se alimentar melhor, dormir mais e se exercitar regularmente. Nada disso é controverso ou novo.
No entanto, em fevereiro ou março, a maioria das matrículas em academias fica sem uso.
A cibersegurança funciona da mesma maneira.
Não somos constantemente alvo de ataques cibernéticos porque os atacantes são infinitamente criativos. Sofremos violações de segurança porque as organizações têm dificuldade em realizar o básico de forma consistente e em grande escala. E o Zero Trust, mais do que qualquer outro modelo de segurança, expõe o quão difícil isso realmente é.
Essa realidade foi o tema central de uma conversa recente no podcast The Segment com Ross Haleliuk. Ross é cofundador e CEO de uma startup de cibersegurança em modo stealth, apresentador do podcast Inside the Network , autor de Cyber for Builders e a voz por trás do boletim informativo Venture and Security , uma das perspectivas mais lúcidas e consistentes do setor.
Este artigo explica por que a segurança Zero Trust tem sucesso ou falha nos fundamentos, e por que essa lacuna é frequentemente o que determina o verdadeiro impacto de uma violação de segurança.
O mito da segurança de “próxima geração”
Todos os anos, a indústria inventa uma nova linguagem para descrever a inovação em segurança.
Mas, como Ross afirmou, a maioria das violações não resulta de novas cadeias de ataque ou explorações exóticas de vulnerabilidades zero-day.
Em vez disso, são o resultado de:
- Credenciais padrão que nunca foram alteradas.
- Ativos cuja existência ninguém se lembrava.
- Exceções adicionadas por conveniência e esquecidas com o tempo.
- Redes planas que permitem movimento lateral assim que um invasor consegue entrar.
Esses não são erros de última geração, mas sim erros operacionais simples.
Uma estratégia de Confiança Zero não elimina magicamente esses problemas. Na verdade, isso os torna mais visíveis.
A política de Confiança Zero obriga as organizações a confrontarem questões que têm evitado durante anos: O que realmente temos? Quem deve poder falar com quem? O que acontece quando algo dá errado?
E é exatamente por isso que o conceito de Zero Trust pode parecer assustador.
Por que os fundamentos da segurança falham em grande escala?
Para dominar os fundamentos, são necessárias três coisas: comprometimento, consistência e tempo.
Infelizmente, nenhuma dessas opções se adapta naturalmente ao ambiente das empresas modernas.
Não se pode inventariar ativos uma vez por ano e chamar isso de Zero Trust. Não é possível revisar as permissões de identidade a cada poucos trimestres e esperar que o controle funcione. Não é possível aplicar políticas de segmentação uma única vez e presumir que elas permanecerão válidas à medida que os ambientes mudam.
Os fundamentos exigem repetição, e a repetição é cara.
É muito mais fácil comprar uma ferramenta do que mudar a forma como as equipes operam no dia a dia. E é muito mais fácil aprovar um projeto do que impor disciplina simultaneamente nas áreas de engenharia, TI, operações e segurança.
A estratégia Zero Trust falha quando as organizações subestimam o esforço operacional necessário para sustentá-la.
A política de Confiança Zero é um problema de incentivos, não de conhecimento.
As equipes de segurança são incentivadas a reduzir os riscos. As equipes de engenharia são incentivadas a entregar o código. As equipes de TI são incentivadas a fechar os chamados rapidamente. As equipes de vendas são incentivadas a fechar negócios.
É aqui que a estratégia Zero Trust costuma falhar na prática. Gostamos de dizer que a segurança é responsabilidade de todos. Mas, na realidade, a segurança é a única equipe avaliada com base nos resultados de segurança.
Esperar que outras equipes priorizem naturalmente os controles de Zero Trust sem alinhar os incentivos é irrealista.
As políticas por si só não resolvem isso. Na verdade, muitas vezes criam mais exceções do que aplicam medidas.
A estratégia Zero Trust é bem-sucedida quando as equipes de segurança aprendem a liderar por meio da influência. Eles constroem relacionamentos, explicam as compensações em termos de negócios e enquadram os controles como facilitadores em vez de bloqueadores.
Medir o sucesso quando as violações são inevitáveis
Isso também levanta a questão de como medimos os resultados de segurança dentro da empresa. Segundo Ross, as organizações geralmente não são muito boas nisso.
Ele fez referência ao experimento mental do problema do unicórnio. Você compra uma caixa que acende quando há um unicórnio no quarto, mas ela não acende. A caixa está quebrada ou não havia unicórnio? Não dá para saber.
Se não houve violação de segurança, foi porque os controles funcionaram ou porque ninguém se esforçou o suficiente?
O conceito de Zero Trust não resolve esse desafio de mensuração, mas o reformula.
O objetivo da cibersegurança moderna não é impedir violações a todo custo, mas sim reduzir seu impacto, contê-las e manter a resiliência dos negócios.
Organizações que investem consistentemente em fundamentos ainda podem sofrer violações de segurança. Mas quando isso acontece, a movimentação lateral é limitada, a recuperação é mais rápida, os danos à reputação são menores e as discussões com os órgãos reguladores são mais racionais.
Comprovar o retorno sobre o investimento em segurança torna a estratégia Zero Trust uma decisão de negócios.
O retorno sobre o investimento em segurança é notoriamente difícil de quantificar, mas Ross ofereceu uma abordagem pragmática que se alinha bem com o conceito de Confiança Zero:
- Se a confiança do cliente estiver ligada à receita, a segurança se torna um facilitador de vendas.
- Se a inatividade ameaçar as operações, a segurança torna-se um investimento em resiliência.
- Se as normas de conformidade exigem comprovação, a segurança torna-se um requisito básico.
Em todos os casos, o conceito de Zero Trust visa reduzir os efeitos de uma violação de segurança quando ela inevitavelmente ocorrer. Isso significa que o retorno sobre o investimento em segurança não é medido por ataques evitados, mas sim pela continuidade dos negócios preservada.
Por que os fundamentos da Zero Trust são mais importantes agora do que nunca.
A infraestrutura está mais interconectada do que nunca. Os ambientes híbridos diluem as fronteiras tradicionais. Sistemas em nuvem, locais e de terceiros operam como uma única superfície de ataque ampliada.
Neste mundo, a complexidade aumenta o risco.
Os fundamentos do Zero Trust — incluindo visibilidade de ativos, acesso com privilégios mínimos, segmentação e verificação contínua — não são apenas boas práticas, mas mecanismos de sobrevivência.
Os atacantes não precisam de criatividade quando as organizações lhes oferecem os caminhos de menor resistência. Eles exploram o que já existe e usam IA para tornar tudo praticamente sem esforço.
Focar nos fundamentos não significa rejeitar a inovação, mas sim fundamentá-la na realidade.
Assim como na prática de exercícios físicos, a parte mais difícil não é saber o que fazer, mas sim fazer amanhã. E no dia seguinte. E todos os dias seguintes.
Ouça o episódio completo de The Segment: A Zero Trust Leadership Podcast em Podcasts da Apple, Spotify, ou nosso site.
%20(1).webp)
.webp)
.webp)
.webp)
