QUARTA-FEIRA, 21 DE NOVEMBRO DE 2018 - Horário 14:46
Blog do Forcepoint Security Labs: contextualizando a confiança – A melhor forma de proteger os dados críticos das empresas
Tecnologia / O caminho a seguir é bastante claro - a adoção ampla da confiança granular e sensível ao contexto é a abordagem correta. Além disso, esse modelo contextual de confiança precisa ser aplicado a mais do que apenas pessoas em programas específicos, mas a todas as entidades que interagem com um sistema, bem como o próprio sistema.
Vamos direto ao ponto: hoje, as empresas enfrentam desafios reais em torno da proteção de dados críticos. Não se trata apenas dos alvos óbvios, como provedores de assistência médica e de serviços financeiros; os usuários compartilham com alegria informações pessoais o tempo todo através das redes sociais, e a riqueza de dados rastreados pela Internet das Coisas é impressionante. Se você tem uma pontuação de crédito - e é quase certo que você tem - existe uma grande quantidade de informações disponíveis sobre você.
Infelizmente, quando eu digo disponíveis, não quero dizer apenas nas mãos das agências de crédito: a violação da Equifax em 2017 expôs 143 milhões de consumidores americanos. Da mesma forma, em setembro deste ano, a maior violação na história do Facebook expôs informações pessoais de quase 50 milhões de usuários. Na sociedade atual, mesmo que você esteja "off the grid", confie em mim quando eu digo que você não está realmente "fora da rede".
Com a falta de boas escolhas para os consumidores, os usuários finais encontram-se na posição nada invejável de ter poucas opções a não ser confiar nas empresas pelas quais seus dados transitam. Da mesma forma, porém, essas mesmas empresas também estão na posição de ter que confiar - ou desconfiar - destas pessoas, dispositivos, sistemas e infraestruturas que compõem o ambiente geral de TI.
Isso é muita confiança e, de fato, faz parte do desafio. Embora as pessoas, dispositivos, sistemas e infraestrutura possam ter prioridades, agendas e fraquezas diferentes, as empresas tradicionalmente pintam com um pincel muito amplo quando se trata de confiança. Isso é um erro, pois a confiança pode ser uma poderosa aliada em nossa busca por relacionamentos melhores, mais seguros e mais protegidos entre fornecedor e consumidor.
No mundo dos negócios, as empresas poderiam começar por tirar uma página do manual do governo. As agências governamentais têm uma longa história de confiança - basta olhar para o processo de liberação que valida a confiabilidade daqueles que acessam dados confidenciais e como estes são isolados daqueles que não possuem as autorizações necessárias para acesso. Os governos também entendem a necessidade de equilibrar os conceitos duplos de confiabilidade e aceitação de risco como parte do uso de sistemas seguros de vários níveis. Principalmente, isso funciona bem, mesmo contra alguns invasores externos determinados, bem como insiders e espiões maliciosos. É fácil se concentrar nos momentos em que essa abordagem foi interrompida, mas também precisamos estar cientes das muitas vezes em que ela foi executada exatamente da mesma forma que foi projetada.
Mas mesmo este quadro tem suas fraquezas. A confiança é entrelaçada apenas em partes, e mesmo assim, às vezes dosada com um foco no "tudo ou nada". O problema é a maneira pela qual normalmente descontextualizamos a confiança e isso decorre de como tendemos a pensar sobre a confiança de maneira diferente no mundo on-line.
Quando se é apresentado a alguém socialmente e está começando a conhecê-lo, a maioria de nós analisa pistas obtidas nas conversas iniciais para descobrir o quão confiável a pessoa é. No entanto, essa confiança é situacional. Você pode confiar em seu novo amigo o suficiente para convidá-lo a jantar, mas não confiar (ainda) a ponto de entregar as chaves do seu carro. Não se trata apenas de determinar se uma pessoa é "boa" ou "ruim", mas se ela é capaz de executar uma ação específica de forma confiável ou não. Por exemplo, você pode saber que alguém é totalmente bem-intencionado, mas muito desajeitado. Você pode não confiar a ela sua taça de cristal mais preciosa, por exemplo, mesmo ela sendo honesta, confiável e gentil. Não é que ela seja ruim... ela é apenas ruim com coisas frágeis. É uma diferença sutil, mas importante: não basta apenas você confiar em alguém, mas confiar em alguém em relação a uma determinada ação.
Agora vamos comparar isso com a forma como vemos a confiança na computação. Aqui, os defensores costumam aplicar um alto grau de pensamento no "dentro/fora", algo como "o que está dentro é bom e o que está fora é ruim". Uma vez conectado a uma máquina ou parte de uma organização, acabo concedendo muitos direitos. Existem alguns prós e contras: programas de ameaças internas, por exemplo, tentam identificar os insiders que representam um perigo para a organização. No entanto, o paradigma dominante é o de confiança ou desconfiança, com nada entre estes extremos. É o mesmo com as máquinas: uma vez que uma máquina esteja na rede, geralmente confiamos nela completamente. Este tipo de "confiança" não é realmente uma confiança - porque não é situacional - é mais um sistema de "permitir ou negar" baseado em privilégios... e é fácil para um invasor explorar esta abordagem. Essencialmente, ao descontextualizar a confiança e reduzi-la a uma pontuação de "tudo ou nada", permitimos que qualquer pessoa que entre nesse domínio confiável faça o que quiser: o desafio para o invasor é apenas saber como passar pela porta.
A única solução de longo prazo para o gerenciamento de dados é adotar essa arquitetura baseada em confiança contextual de forma consistente e abrangente. A mudança da mentalidade de "dentro/fora, bom/mau" já começou (a análise comportamental é um primeiro passo muito necessário e pode ser muito eficaz na detecção de abusos de confiança concedida) - e ela deve ser incentivada. O que precisamos agora é oferecer políticas de cibersegurança adaptáveis aos riscos. O mundo é realmente formado por vários tons de cinza; tratá-lo dessa forma nos permitirá de fato proteger os dados que nos são mais valiosos.
Por Richard Ford, Cientista Chefe da Forcepoint