Estendendo o Zero Trust para o endpoint
Confiança zero na rede - uma melodia familiar
O Zero Trust é um modelo de segurança de arquitetura de rede cada vez mais aceito e celebrado. A frase "nunca confie, sempre verifique" soa bem familiar para aqueles que se concentram na segurança de redes. O Zero Trust se concentra no princípio de que uma organização não deve confiar em nada interno ou externo ao seu perímetro e que tudo o que tenta se conectar à rede deve ser verificado antes de o acesso ser concedido.
A realização de uma arquitetura Zero trust exige segmentação da rede e aplicação granular com base no usuário, nos dados e na localização. Todo o tráfego deve ser registrado e inspecionado em vários pontos de inspeção que identificam e permitem o tráfego com base em regras estabelecidas. Isso mantém o acesso com privilégios mínimos
e controle de acesso rigoroso, o que lhe dá a visibilidade da rede e o contexto necessário para limitar o movimento lateral e identificar ataques de dentro da sua rede.
Com o avanço das tecnologias de segurança, o volume de dados a serem protegidos cresceu imensamente. Os dados se movem com os endpoints no mundo altamente móvel de hoje, o que torna os endpoints alvos atraentes para ataques. Assim, a política de segurança deve acompanhar os usuários e os dados e não deve estar vinculada a um local específico. Com dados e aplicativos sendo acessados de dispositivos em todo o mundo, o Zero Trust e sua abordagem de prevenção em primeiro lugar devem se expandir para além da sua rede e para os endpoints.
Zero Trust no endpoint - uma história holística de "Zero Trust"
Os produtos de segurança de endpoint protegem e coletam dados sobre a atividade que ocorre nos endpoints, enquanto os produtos de segurança de rede fazem o mesmo com as redes. Para combater com eficácia as ameaças avançadas, ambos precisam trabalhar juntos. Uma abordagem de arquitetura integrada que combine segurança de endpoint e de rede é a única maneira de obter uma proteção holística e implementar o modelo Zero Trust em toda a sua arquitetura de segurança. Essa abordagem deve fazer parte de tudo o que fazemos para que a prevenção ocorra onde quer que o tráfego ocorra, onde quer que os dados estejam.
Quatro critérios devem ser atendidos para estender o Zero Trust ao endpoint:
1. Proteja os endpoints com várias camadas de segurança
As medidas de segurança tradicionais falham se um invasor encontrar uma maneira de contornar o elo mais fraco, como, por exemplo, distribuindo malware ou explorando vulnerabilidades de aplicativos. É mais eficaz colocar as proteções de rede e de endpoint em camadas, de modo que, se um invasor conseguir contornar uma medida, ele será confrontado com outra, dificultando progressivamente seu sucesso.
A função da segurança de rede é impedir que o maior número possível de ataques - sejam eles malware, ataques de phishing ou exploits - chegue a um endpoint por meio da rede. Se um ataque chegar ao endpoint por meio de uma unidade USB ou outro meio que não seja da rede, o tráfego for criptografado ou o usuário estiver fora da rede, o papel da segurança de rede é neutralizar a capacidade do invasor de causar danos.
A combinação dessas disciplinas para uma arquitetura zero trust torna a integração entre endpoint e segurança de rede ainda mais eficaz.
2. Integração com segurança de rede
A extensão do Zero Trust para o endpoint combina a segurança do endpoint com a segurança de rede para uma arquitetura de segurança única e holística. A inteligência obtida no endpoint deve ser alimentada no firewall e vice-versa. As políticas devem ser definidas no firewall de forma que, se o endpoint sofrer um evento, ele possa ser colocado em quarentena até que possa ser totalmente escaneado e limpo.
Além disso, a ingestão de dados de usuários e de tráfego dos firewalls em uma ferramenta de gerenciamento de segurança de rede fornece contexto sobre o que está acontecendo em toda a rede. Isso permite que o senhor escreva uma política de segurança que reflita essa atividade de forma adequada e que seja aplicada no endpoint.
O modelo Zero Trust também inclui o parceiro da segurança do endpoint com a segurança da rede privada virtual, ou VPN, de modo que a política global se mova com o usuário e o endpoint. Para garantir que os endpoints estejam sempre protegidos, os recursos de VPN devem ser transparentes para os usuários e não exigir nenhuma intervenção manual para fazer login ou se conectar. Quando a segurança do endpoint e as VPNs trabalham em conjunto, os endpoints são protegidos independentemente de sua localização, impedindo que o tráfego ruim chegue à VPN e ao firewall. Para aprimorar ainda mais essa integração, as VPNs colocadas em um firewall de próxima geração estendem a aplicação de políticas para o túnel. Se o tráfego for criptografado e entrar na rede por meio de um endpoint comprometido, a política continuará sendo aplicada.
A visibilidade granular fornecida pela integração da segurança de endpoint e de rede deve ser aumentada com a automação para a tomada de decisões multivariadas rápidas, informadas e precisas. Essa integração também deve ser perfeita e leve para não afetar negativamente o usuário.
3. Gerenciando vários tipos de endpoints
Todas as organizações têm vários tipos de endpoints que precisam ser gerenciados, como servidores, estações de trabalho, desktops, laptops, tablets e dispositivos móveis. Para fortalecer a postura de segurança e implementar o Zero Trust, a proteção de endpoints precisa se integrar a um firewall para que a política de segurança siga os endpoints, não importa onde estejam. A autenticação multifator, ou MFA, deve ser aplicada em um firewall de próxima geração para aumentar a escalabilidade e afastar a linha de exposição dos aplicativos essenciais. Essa integração não deve afetar negativamente o desempenho do sistema, para que os usuários não percebam que a segurança está sendo executada em segundo plano e, possivelmente, tentem remover ou fechar as ferramentas de segurança.
4. Controle de acesso da camada 2-7
Ao implementar a arquitetura zero trust em toda a sua arquitetura de segurança, certifique-se de que o tráfego esteja sendo inspecionado quanto a comportamentos mal-intencionados, tanto na entrada quanto na saída do endpoint. É comum que os endpoints avaliem o tráfego em busca de possíveis ameaças quando ele entra na rede. É menos comum que o tráfego seja avaliado à medida que sai da rede, com a suposição de que o usuário e a atividade do usuário são válidos. No entanto, se um usuário for comprometido, um invasor poderá exfiltrar dados ou propriedade intelectual do endpoint ou usar o dispositivo comprometido para outras atividades nefastas.
Para evitar que os dados ou a propriedade intelectual saiam da rede, o senhor precisa de visibilidade da atividade no endpoint, possibilitada pela integração com um firewall de próxima geração. Com base na política definida no firewall, se o tráfego de um usuário ou aplicativo estiver fora do escopo da política de segurança definida, o firewall poderá intervir e interromper a atividade suspeita. Essa política deve aplicar regras de prevenção contra ameaças, URL Filtering e recursos de sandboxing de malware internos ao túnel VPN criptografado.
O firewall de próxima geração também deve ter recursos de descriptografia SSL para descriptografar o tráfego criptografado e obter a visibilidade necessária para determinar se o tráfego é mal-intencionado ou não. Se for identificado tráfego mal-intencionado, a integração entre o firewall e o endpoint deve permitir que o firewall bloqueie qualquer tráfego de comando e controle e isole o endpoint da sua rede.
Abordagem da Palo Alto Networks
O portfólio da Palo Alto Networks fornece as ferramentas, as tecnologias e os produtos de que o senhor precisa para transformar sua estratégia Zero Trust em uma implantação prática.
Um componente-chave do portfólio da Palo Alto Networks é o Cortex XDR, a primeira plataforma de detecção e resposta estendida ((XDR) do setor. O agente Cortex XDR usa vários métodos de proteção em estágios críticos do ciclo de vida do ataque para evitar malware, exploits e ransomware conhecidos e desconhecidos, bem como ameaças de dia zero. O Cortex XDR realiza uma análise local para identificar arquivos mal-intencionados e benignos com base na classificação das propriedades do arquivo e em veredictos conhecidos anteriormente.
Além da análise local, o Cortex XDR se integra ao serviço de análise de ameaças baseado em nuvem WildFire®. Por si só, o WildFire realiza análises dinâmicas e estáticas, aprendizado de máquina e análise bare metal para identificar até mesmo as ameaças mais evasivas. Como parte da plataforma, o WildFire permite que o Cortex XDR e os firewalls de próxima geração se tornem sensores e pontos de aplicação para sua rede e seus endpoints.
Os firewalls de próxima geração da Palo Alto Networks inspecionam todo o tráfego, incluindo aplicativos, ameaças e conteúdo - mesmo que estejam criptografados - e vinculam esse tráfego ao usuário. A visibilidade e os dados resultantes ajudam a política de segurança a se alinhar com as necessidades e iniciativas exclusivas da organização. Como o Cortex XDR, o firewall de próxima geração trabalha com o WildFire para proteger contra ameaças conhecidas e desconhecidas. Quando o WildFire identifica uma nova ameaça em qualquer lugar, ele cria e dissemina automaticamente proteções atualizadas em toda a plataforma e para outros membros da comunidade WildFire para apoiar uma infraestrutura de segurança coordenada. Essas atualizações incluem ameaças recentemente identificadas pelo Cortex XDR para uma proteção mais abrangente e eficaz em toda a arquitetura.
Ligando as políticas da sua rede aos seus endpoints está a segurança de rede GlobalProtect™ para endpoints, que estende sua política de segurança a redes remotas e usuários móveis. O GlobalProtect inspeciona o tráfego usando firewalls de próxima geração para obter visibilidade total de todo o tráfego da rede, aplicativos, portas e protocolos. Essa visibilidade permite a aplicação perfeita da política de segurança nos endpoints, onde quer que o usuário esteja localizado. O GlobalProtect fornece informações do usuário para alimentar a tecnologia User-ID™ e se integra às proteções MFA no firewall para impedir que os invasores se movimentem lateralmente usando credenciais roubadas.
