Confiança Zero: Nada é Seguro na Internet

O decreto de segurança cibernética do presidente Joe Biden, assinado no último 12 de maio, estipula que o governo federal americano adote uma “arquitetura de confiança zero” em seus sistemas computacionais. Isso levanta algumas questões. O que é segurança de confiança zero? E mais, se a confiança no usuário é ruim para a segurança, por que a maioria das organizações do governo e do setor privado a pratica?

Imagem: iStock

Uma consequência do excesso de confiança online é a epidemia de ‘ransomware‘ [programas maliciosos que sequestram o sistema em que operam, através da encriptação do conteúdo], um problema global crescente, que afeta grandes e pequenas organizações. Intrusões de alta visibilidade, como a recentemente experimentada pela empresa Colonial Pipeline, nos EUA, são apenas a ponta do iceberg.

Houve pelo menos 2.354 ataques de ransomware em governos locais, instalações de saúde e escolas nos Estados Unidos no ano passado. Embora as estimativas variem, as perdas com ransomware parecem ter triplicado em 2020 para mais de US$ 300.000 por incidente. E os ataques estão ficando mais sofisticados.

Um tema recorrente em muitas dessas violações é a confiança perdida – em fornecedores, funcionários, software e hardware. Como profissional de sistemas e estudioso de segurança digital tenho interesse em questões de confiança. Comentemos aqui alguns aspectos da arquitetura de confiança zero, e como ela contribui para a resistência dos sistemas distribuidos.

Segurança sem confiança

A confiança, no contexto das redes de computadores, refere-se a sistemas que permitem o acesso de pessoas, ou outros computadores, com pouca ou nenhuma verificação sobre quem são e se estão autorizados a ter acesso. Por outro lado, ‘confiança zero’ é um modelo de segurança que pressupõe que as ameaças são onipresentes, dentro e fora das redes. Assim, a confiança zero depende de verificações contínuas por meio de informações de várias fontes. Essa abordagem pressupõe a inevitabilidade da violação dos dados. Em vez de se concentrar exclusivamente na prevenção de violações, a segurança de confiança zero procura garantir que os danos sejam limitados, que o sistema seja resiliente e possa se recuperar rapidamente.

Usando uma analogia epidemiológica, a abordagem da confiança zero para a segurança cibernética sempre pressupõe que uma infecção está apenas a um perdigoto – ou, neste caso, um clique – de distância. Dito de outra forma, em vez de defender o castelo, esse modelo assume que os invasores já estão dentro das muralhas.

Não é difícil ver os benefícios do modelo de confiança zero. Se a Colonial Pipeline tivesse adotado um sistema parecido, o ataque de ransomware de que foi vítima provavelmente teria falhado e as pessoas não teriam entrado em pânico. E se a segurança de confiança zero fosse de uso generalizado na rede, a epidemia de ransomware que nos flagela seria muito menos custosa

Quatro obstáculos para perder a confiança

Existem pelo menos quatro barreiras que impedem a adoção de arquiteturas de confiança zero nos sistemas governamentais e privados.

Em primeiro lugar, os sistemas legados e a infraestrutura geralmente são impossíveis de atualizar. Alcançar a segurança de confiança zero requer uma defesa em camadas, que envolve a construção de vários níveis de segurança. No entanto, é muito difícil de implementar em sistemas que não foram construídos com esse objetivo em mente, porque essa arquitetura requer verificação independente em cada camada.

Em segundo lugar, mesmo que seja possível fazer upgrade, o custo será significativo. É caro, demorado e potencialmente perigoso reprojetar e reimplantar sistemas, especialmente se eles forem feitos sob medida. O Departamento de Defesa dos EUA sozinho opera mais de 15.000 redes em 4.000 instalações espalhadas por 88 países.

Terceiro, as tecnologias ponto-a-ponto, como os computadores que executam Windows 10 em uma rede local, não são adequadas à confiança zero porque são baseadas principalmente em senhas, e não em autenticação multifator em tempo real. Senhas podem ser quebradas por botnets que calculam rapidamente muitas senhas possíveis – os chamados ‘ataques de força bruta’ – enquanto a autenticação multifator em tempo real requer, além de senhas, uma ou mais formas adicionais de verificação – normalmente um código enviado por e-mail ou texto. (*)O Google anunciou recentemente a decisão de exigir autenticação multifator para todos os seus usuários.

Quarto, fazer a migração dos sistemas de informação de uma organização para serviços em nuvem pode melhorar as condições para a adoção da confiança zero, mas apenas se tudo for feito da maneira correta. Isso exige a criação de novos aplicativos na nuvem, em vez de simplesmente mover os aplicativos existentes para a nuvem. As organizações precisam de expertise para planejar uma segurança de confiança zero ao migrar para a nuvem, o que nem sempre está disponível.

O Decreto de Biden

A ordem executiva do governo Biden tenta promover uma defesa em camadas para enfrentar os problemas de segurança cibernética do país. A ordem executiva seguiu várias recomendações da Cyberspace Solarium Commission, uma comissão formada pelo Congresso para desenvolver uma abordagem estratégica para defesa dos EUA no ciberespaço.

Entre outras coisas, a abordagem se inspira nas estruturas de confiança zero propostas pelo Instituto Nacional de Padrões e Tecnologia (National Institute for Standards and Technology – NIST). Ela também convoca o Departamento de Segurança Interna (Department of Homeland Security – DHS) a assumir a liderança na implementação dessas técnicas, inclusive em seus programas baseados em nuvem.

Quando combinada com as outras iniciativas definidas na ordem executiva – como a criação de um Conselho de Segurança Cibernética e a imposição de novos requisitos para a segurança da cadeia de suprimentos de software para fornecedores federais – a segurança de confiança zero pode, de fato, levar os EUA na direção certa.

No momento, essa ordem executiva se aplica apenas aos sistemas governamentais. Ela não teria impedido o ataque à Colonial Pipeline, por exemplo. Para colocar o país como um todo em uma posição mais segura é preciso ajudar o setor privado a também adotar essas práticas de segurança. Isso exigirá ação do Congresso.

Publicado sob a Licença Creative Commons 4.0

Adaptado de “The Conversation