VPNs começam a perder Espaço para ZTNA. Entenda!!!

15.08.2023 – Em meio a hackers, crackers e as mais diversas ameaças cibernéticas como vírus, malwares, ransomwares, phishings, etc…, as VPNs (redes privadas virtuais) têm sido as “queridinhas” das áreas de tecnologia da informação de grandes, médias e pequenas empresas, para viabilizar o acesso remoto seguro de usuários, ao proteger seus dados de de navegação, especialmente a identificação de seu IP (protocolo de internet – uma espécie de registro de identidade do usuário), por meio de criptografia.

Mas se as VPNs são tão eficientes na proteção da conexão de acesso remoto entre um usuário de uma determinada corporação e o servidor remoto da empresa ou de um terceiro, por que as áreas de tecnologia da informação ainda têm tanto receio na sua utilização, por parte dos usuários daquela organização? A resposta é simples… Se alguém mal intencionado conseguir violar a proteção daquela VPN, apropriando-se indevidamente de um login e senha, por exemplo, o mesmo terá perigosamente acesso a toda a rede da organização, podendo, dependendo da sua habilidade e dos demais meios de proteção, derrubá-la ou mesmo sequestrá-la, de forma a exigir o pagamento de resgastes para liberar o acesso a seus dados.

Além disso, as VPNs possuem outras fragilidades, como, por exemplo, dependendo da quantidade de pessoas acessando remotamente um servidor, as VPNs assumem um papel de verdadeiro gargalo. Outro importante ponto negativo da VPN é que quaisquer dispositivos conectados via VPN, acabam não podendo ser gerenciados pelas equipes de tecnologia da informação, que acabam ficando literalmente cegos em relação aos respectivos equipamentos. E, finalmente, as VPNs não são capazes de alertar qualquer tentativa de invasão, já que não foram projetadas com tal finalidade.

Dessa forma, em 2010, John Kindervag, atual vice-presidente da empresa Forrester, trabalhava em um modelo de confiança zero, quando, em 2017, analistas da empresa Gartner, desenvolveram o conceito similar de risco adaptativo contínuo e avaliação de confiança (CARTA). Finalmente, em 2019, Steve Riley, um dos analistas da Gartner, escreveu um relatório para o mercado sobre o CARTA, mas acabou convencendo a todos os colegas da empresa que o acrônimo ZTNA (Zero Confiança no Acesso à Rede), seria um título de assunto mais interessante para o mercado. E ele tinha razão, já que atualmente o termo “confiança zero” é utilizado por praticamente todo o mercado de cibersegurança.

Assim, ZTNA é um modelo de segurança da informação que nega, por padrão, acesso a aplicativo e dados, já que assume que não se deve confiar automaticamente em ninguém, dentro ou fora da rede, sendo ou não alguém da própria organização, atribuindo acesso com privilégios mínimos e um monitoramento da segurança altamente abrangente.

Dessa forma, cada acesso é auferido e autenticado, não importando o local de onde estiver ocorrendo, por meio de uma combinação de tecnologias, como, por exemplo, verificação baseada em risco, autenticação multifatorial, microssegmentação, controle de acesso baseado em políticas, criptografia, monitoramento de segurança e autenticação de dispositivo.

Um conceito fundamental no ZTNA é o papel de um agente para estabelecer o nível de confiança, que reside fora da rede, à frente de aplicativos corporativos, isolando-os do acesso direto por meio de um proxy e fornece o nível certo de confiança para um usuário autenticado acessar um aplicativo específico. Ele verifica a integridade do dispositivo, sua geolocalização e outras biometrias comportamentais do usuário, gerando uma pontuação de confiança. Se a pontuação de confiança for adequada para o aplicativo especificado, o usuário receberá acesso por meio do agente, sendo que o usuário tem acesso permitido apenas ao aplicativo especificado. Assim, se um usuário desejar acessar um aplicativo diferente, ele precisa se autenticar novamente para esse aplicativo, e os requisitos de autenticação podem ser diferentes, evitando movimentos laterais dentro da rede.

Os pontos fracos do ZTNA residem em 2 aspectos. O primeiro deles é o agente que estabelecerá o nível de confiança, já que se ele for comprometido, poderá atribuir nível de confiança a alguém que não o merece. O segundo é a pontuação de credibilidade para estabelecer o nível de confiança, ou seja, se a mesma for manipulada, igualmente alguém poderá valer-se maliciosamente disso.

Ainda que esses 2 aspectos sejam um motivo de grande preocupação para quem defende esse conceito, já que a criatividade e a capacidade inventiva de hackers e crackers surpreendem mais e mais os especialistas em cibersegurança, ZTNA é indubitavelmente hoje mais seguro que firewalls e VPNs.

E, considerando os ambientes corporativos, cada vez mais se utilizando de ambientes em clouds (nuvens), o ZTNA realmente parecer ser a solução mais segura para permitir que seus ativos digitais estejam disponíveis em qualquer lugar, a qualquer hora e em qualquer dispositivo.