Segurança Cibernética Zero Trust - Segurança Cibernética de Defesa em Profundidade

Zero Trust é um tipo de política de confiança antivírus que considera qualquer arquivo e qualquer programa potencialmente perigoso - a menos que exclusÔes manuais sejam definidas. Pode-se dizer que Zero Trust é seu escudo contra o dia zero.

VocĂȘ pode estar interessado em dar uma olhada em nossas outras ferramentas antivĂ­rus:
Trojan Killer, Trojan Scanner.

O que Ă© Zero Trust Security? PrincĂ­pios do Modelo Zero Trust | Gridinsoft

O que Ă© Zero Trust?

October 17, 2022

Na vida real, a confiança Ă© uma parte significativa das relaçÔes humanas. No mundo dos computadores, tambĂ©m Ă© real, mas os programas nĂŁo sĂŁo inteligentes o suficiente para entender que sĂŁo manipulados com intençÔes malĂ©volas. É por isso que, em um momento, os fornecedores de AV decidiram nĂŁo confiar em ninguĂ©m.

A confiança zero Ă© a polĂ­tica do programa de segurança que regula a classificação de confiança de determinados aplicativos. Como vocĂȘ pode adivinhar pelo nome, confiança zero supĂ”e que nenhum programa Ă© confiĂĄvel. Essa medida Ă© dura, mas extremamente eficaz quando se trata de prevenir a injeção de malware. Nesse modo, um programa anti-malware considera qualquer aplicativo em execução no sistema potencialmente perigoso e revisa os comandos executados/DLLs e pastas acessados.

Ao verificar a atividade de todos os aplicativos, a ferramenta de segurança (pode ser a solução EDR assim como o antivírus comum) pode facilmente filtrar coisas duvidosas. Em seguida, o especialista em segurança que gerencia o sistema de proteção recebe o relatório com todos esses casos e escolhe quais medidas deseja aplicar.

Qual ​​é a necessidade de uma polĂ­tica de Zero Trust?

Antes, no inĂ­cio da disseminação do software anti-malware, todos os programas desse tipo dividiam os aplicativos de terceiros em confiĂĄveis ​​e nĂŁo confiĂĄveis. A terceira categoria - aplicativos do sistema - tambĂ©m foi posteriormente agrupada com confiĂĄveis. Assim, os aplicativos da lista confiĂĄvel eram livres para fazer o que quisessem - os programas antivĂ­rus estavam ignorando suas atividades. Aqueles que foram considerados nĂŁo confiĂĄveis ​​foram verificados diligentemente. Essa classificação foi Ăłtima, a menos que lembremos que foi muito fĂĄcil chegar Ă  “confiabilidade”. Portanto, apenas alguns aplicativos duvidosos dos sites de disseminação de software, applets Java feitos Ă  mĂŁo e scripts foram considerados inseguros.

Zero Trust key features
Vetores-chave de uma segurança Zero Trust

O modelo geral parece muito bom porque ainda tem controle manual, possibilidade de edição e outras coisas que proporcionam flexibilidade. A menos que nos lembremos das vulnerabilidades, elas podem aparecer em todos os tipos de aplicativos - e os considerados seguros nĂŁo sĂŁo uma exclusĂŁo. Vulnerabilidades podem permitir que os hackers executem cĂłdigos arbitrĂĄrios, aumentem privilĂ©gios, modifiquem configuraçÔes do sistema e façam todas as outras coisas desagradĂĄveis. Tal situação abala completamente a eficiĂȘncia do sistema de confiança dividida.

Inicialmente, o problema foi simplesmente ignorado, pois a exploração de vulnerabilidade nĂŁo era tĂŁo difundida. NĂŁo havia soluçÔes de segurança especiais disponĂ­veis no mercado amplo - vocĂȘ sĂł podia encomendĂĄ-las por um preço mais alto. E as empresas nĂŁo estavam preocupadas com isso - a eficiĂȘncia dos programas antivĂ­rus era suficiente por enquanto. Quando os cibercriminosos mudaram as formas de disseminação de truques clĂĄssicos para exploraçÔes, as soluçÔes clĂĄssicas se tornaram muito menos eficazes. Pode-se dizer - inĂștil.

PrincĂ­pios do Zero Trust

JĂĄ descrevemos o trabalho antivĂ­rus com a polĂ­tica Zero Trust acima. É uma descrição bastante primitiva, pois possui uma lista muito mais extensa de açÔes. Zero Trust Ă© distribuĂ­do nĂŁo apenas para os aplicativos atualmente em execução, mas tambĂ©m para os arquivos que estĂŁo presentes no disco, mas nĂŁo sĂŁo usados ​​no momento. Para controlar isso, Ă© necessĂĄrio que vĂĄrias soluçÔes tĂ­picas e novas abordagens sejam aplicadas simultaneamente.

Os processos são verificados obrigatoriamente com vårios mecanismos de detecção. Nas primeiras variantes, eles eram verificados durante a execução, permitindo que o programa fosse executado no sistema. Essa abordagem tem suas vantagens, mas expÔe o sistema a riscos. Antivírus mais modernos com uma política de confiança zero executam cada aplicativo no sandbox antes de permitir que ele seja executado em um sistema. No caso de um site ou servidor remoto, ele pode ser lançado simultaneamente na sandbox e no navegador - para minimizar o atraso. A mesma coisa é executada para as conexÔes de entrada - mesmo quando elas não estão executando nenhuma ação, o programa fica de olho nela e registra todas as suas açÔes quando é ativada.

Trabalho de Zero Trust

Na verdade, essas verificaçÔes nĂŁo sĂŁo novidade no software antimalware. Todos os aplicativos que possuem um mecanismo de verificação avançado executam as operaçÔes descritas. Mas com uma polĂ­tica de confiança zero, as precauçÔes de segurança sĂŁo aplicadas a todos os aplicativos e arquivos. Todas essas verificaçÔes devem ser apoiadas pelos melhores sistemas de detecção para fornecer a mĂĄxima eficiĂȘncia. Mecanismos heurĂ­sticos e mecanismos de detecção de rede neural devem ter alto desempenho com consumo moderado de recursos. Os bancos de dados de detecção devem ser mantidos de forma correspondente - com atualizaçÔes de hora em hora e monitoramento contĂ­nuo de possĂ­veis novas ameaças.

Como a confiança zero Ă© quase sinĂŽnimo de sistemas EDR, o aplicativo mais eficiente para essa polĂ­tica pode ser atendido apenas com os recursos de uma solução de endpoint. O Ășltimo geralmente oferece dividir a rede protegida em partes para tornar o sistema geral mais fĂĄcil de controlar. Nesse caso, a confiança zero permite configurar algumas verificaçÔes adicionais para os programas considerados mais perigosos ou modificar a lista de verificaçÔes aplicadas.

Zero Trust em programas antimalware

A maioria dos programas com um exemplo de polĂ­tica de confiança zero sĂŁo soluçÔes de detecção e resposta de endpoint, ou EDR. Esses aplicativos representam uma nova visĂŁo de de cibersegurança corporativa. Enquanto as soluçÔes anteriores protegiam cada PC separadamente, as soluçÔes EDR forneciam a proteção que cobre toda a rede simultaneamente. Como os cibercriminosos aplicam o uso de ameaças avançadas com bastante frequĂȘncia, verificar aplicativos possivelmente comprometidos nĂŁo requer tolerĂąncia.

As soluçÔes antivĂ­rus do mercado de massa para sistemas de usuĂĄrio Ășnico raramente aplicam uma polĂ­tica de confiança zero. O Ășnico que estĂĄ presente em todos os computadores com Windows 11 Ă© o Windows Defender - uma ferramenta de segurança infame da Microsoft . Ele mostra resultados decentes na proteção durante a execução, mas tem tantos bugs e problemas de segurança que sua usabilidade Ă© questionĂĄvel. E embora execute uma confiança zero completa, os mecanismos de segurança mencionados acima sĂŁo restritos. Por exemplo, o sandboxing no modo de segurança de rede funciona apenas com o navegador Edge; mecanismos avançados de monitoramento de script estĂŁo disponĂ­veis apenas para scripts do PowerShell.

Por que os fornecedores de antimalware atrasam a aplicação desta política?

"Zero Trust" pode parecer uma pĂ­lula mĂĄgica para a segurança do computador. A nova ideologia de como o software anti-malware reage aos programas no sistema pode aumentar drasticamente sua eficiĂȘncia sem nenhuma melhoria no mecanismo de detecção. No entanto, algumas armadilhas o tornam menos perspectiva ou atĂ© mesmo inĂștil.

  • A confiança zero afeta o desempenho do PC. A mesma ferramenta consumirĂĄ uma quantidade muito maior de RAM e principalmente CPU para fazer todos os check-ups e executar o sandbox. Imagine que vocĂȘ tenha a proteção em execução habilitada, mas ela exige a execução das operaçÔes que precisam de trĂȘs vezes mais poder de cĂĄlculo. Claro, vocĂȘ nĂŁo sofrerĂĄ nenhum problema significativo nos sistemas de ponta, mas os produtos anti-malware sĂŁo voltados para o mercado de massa - caso contrĂĄrio, nĂŁo valerĂĄ a pena. Os EDRs com uma polĂ­tica de confiança zero sofrem muito menos porque a maioria dos cĂĄlculos Ă© feita no controlador de domĂ­nio.
  • UsuĂĄrios individuais raramente sĂŁo atacados com ameaças avançadas. Embora as empresas enfrentem constantemente o risco de serem atacadas com o uso de malware complicado, os indivĂ­duos nĂŁo nĂŁo. A quantidade de lugares onde a confiança zero pode ser Ăștil para um Ășnico usuĂĄrio Ă© escassa comparada com os efeitos negativos que mencionamos no parĂĄgrafo anterior. Para espelhar o ataque com malware “clĂĄssico”, o antivĂ­rus comum com uma lista de confiança Ă© suficiente.
  • Uso complicado. Zero Trust nĂŁo Ă© apenas controlar o que estĂĄ sendo executado em seu sistema. Para atingir a eficiĂȘncia mĂĄxima, a ferramenta de segurança deve ser configurada especificamente para o sistema em que serĂĄ executada - caso contrĂĄrio, Ă© apenas bloatware. E como vocĂȘ pode imaginar, as configuraçÔes manuais nĂŁo sĂŁo uma coisa que o mercado de massa ficarĂĄ feliz. Passando horas em manuais e configuraçÔes, o aplicativo Ă© bom para administradores de sistema que estabeleceram a proteção na corporação, mas nĂŁo tĂŁo bom quando vocĂȘ deseja que o programa funcione bem fora da caixa.

Zero Trust Ă© uma polĂ­tica muito prospectiva para software antimalware. No entanto, mal pode existir no mercado de massa por causa dos problemas acima. Parece que serĂĄ o elemento complementar ou mesmo obrigatĂłrio das soluçÔes de EDR - mostra eficiĂȘncia mĂĄxima lĂĄ. Mas mal podemos imaginar seu futuro como parte de uma solução antimalware regular - pelo menos no mercado de massa.