O trabalho híbrido conduz uma mudança para a segurança centrada na identidade
A pandemia da COVID-19 foi, sem dúvida, um dos eventos mais perturbadores do século para a força de trabalho. A disrupção começou quando as organizações foram forçadas a lidar com uma força de trabalho remota, descobrindo que isso não era apenas possível, mas também produtivo.
Os últimos dezoito meses mudaram significativamente as atitudes das organizações em relação ao trabalho remoto, mas não o suficiente para adotar totalmente esse modelo daqui para frente. Sim, há organizações que estão, e planejam continuar, operando em modo "totalmente remoto". Mas um modelo mais provável é um híbrido; um modelo em que alguns funcionários trabalham em casa, outros no escritório e outros ainda em alguma combinação dos dois.
Há debates intensos sobre quem deve decidir onde os funcionários trabalham em um determinado dia, bem como quantos dias eles devem ficar no escritório, mas, em geral, a noção de uma força de trabalho totalmente híbrida foi aceita nos setores que podem suportá-la.
Mais da metade (55%) dos 1.200 trabalhadores entrevistados entre 24 de novembro e 5 de dezembro disseram que preferem trabalhar remotamente três dias por semana. Enquanto isso, 68% dos 133 executivos dos EUA disseram que os trabalhadores deveriam estar no escritório pelo menos três dias por semana, citando preocupações de que a cultura da empresa não sobreviverá a um modelo de trabalho puramente remoto.
(Fonte: SHRM )
Eu pessoalmente assisto a essas discussões com interesse imparcial porque, bem, eu nunca estive no escritório e, acredite, não estarei. A viagem da I94 até Seattle é muito, muito longa.
Para ser honesto, os detalhes da implementação de um modelo de trabalho híbrido não são tão importantes quanto o resultado: haverá funcionários trabalhando em casa e no escritório todos os dias da semana. O trabalho híbrido é o novo padrão.
Esta declaração aparentemente simples tem um impacto profundo no futuro das estratégias de acesso.
Acesso baseado em IP
Veja, as tecnologias tradicionais baseadas em IP dependem amplamente de um conjunto fixo de intervalos e endereços de rede. As políticas negam ou permitem acesso a recursos de rede e aplicativos com base em IP.
Esse é o objetivo de uma VPN: atribuir a você efetivamente um endereço IP "local" que faz parte do intervalo de endereços IP autorizados a circular livremente pela rede corporativa.
Agora, poderíamos continuar fazendo isso. Mas não faremos isso — pelo menos não para a maior parte da força de trabalho. Sempre haverá operadores e engenheiros que precisarão do tipo de acesso à rede fornecido por uma VPN, mas sejamos honestos: não preciso de uma VPN para navegar no Confluence ou no SharePoint ou incomodar os arquitetos no Slack. Se minhas necessidades de produtividade e comunicação forem totalmente atendidas pelos aplicativos, então realmente não preciso de acesso à rede.
E sejamos francos, restringir o acesso à rede é provavelmente a melhor mudança na estratégia de segurança que poderíamos fazer agora, dados os crescentes incidentes de malware, ransomware e outros softwares maliciosos. Quanto menos recursos essas construções destrutivas puderem acessar, melhor.
Essa é uma ameaça real porque a realidade é que uma força de trabalho híbrida — em grande parte transitória — provavelmente pegará algum software malicioso e um dia fará login na VPN e então, BAM! Você está em apuros. Essa é parte da razão pela qual uma boa solução VPN inclui varreduras e verificações de integridade antes de qualquer outra coisa . Mas nem todas as soluções VPN são boas soluções, e algumas organizações não exigem varreduras, mesmo que a solução VPN possa fornecê-las.
Isso também não significa que tudo vai ficar bem para soluções de acesso a aplicativos. Porque muitos deles são baseados em IP e, em uma empresa, há muitos endereços IP para gerenciar.
O número de dispositivos de rede que um único NetOps deve gerenciar é significativo por si só – mais da metade gerencia entre 251 e 5.000 dispositivos. ( Pesquisa anual da NetDevOps )
Adicione a isso meu endereço IP pessoal e privado e os endereços IP pessoais e privados de todos os outros que possam estar trabalhando em casa hoje. Ah, e não podemos esquecer do número crescente de comunicações entre máquinas que precisam ser protegidas. O Relatório Anual de Internet da Cisco prevê que "até 2023, haverá mais de três vezes mais dispositivos em rede na Terra do que humanos. Cerca de metade das conexões globais serão conexões de máquina para máquina."
O resultado é um modelo insustentável que sobrecarrega operadores, equipes de segurança e, por fim, os serviços e sistemas que devem aplicar as políticas.
A identidade é o caminho
Os desafios de segurança associados ao trabalho híbrido são acrescidos àqueles decorrentes do ritmo acelerado da digitalização. Juntos, esses desafios levarão os modelos de segurança a uma abordagem centrada na identidade. Essa abordagem considera não apenas usuários humanos, mas usuários de máquinas na forma de cargas de trabalho, dispositivos e scripts. Afinal, as cargas de trabalho são cada vez mais tão transitórias quanto as pessoas. E, no final das contas, a carga de trabalho A continua sendo a carga de trabalho A, não importa qual IP ela esteja usando. Assim como eu ainda sou eu, esteja eu no meu escritório em casa, no aeroporto de Minneapolis ou no escritório em Seattle.
Embora o IP possa certamente fazer parte de uma política de segurança centrada na identidade, ele não é o fator principal ou determinante para permitir o acesso a um recurso. Em vez disso, ele se torna um atributo que ajuda a determinar qual nível de verificação de identidade deve ser exigido.
Se eu estiver na rede VPN/corporativa, talvez minhas credenciais sejam suficientes. Mas se não for, então talvez minhas credenciais e um segundo fator devam ser exigidos. E se eu estiver tentando acessar de um endereço IP nunca visto antes, talvez haja um terceiro fator.
Independentemente de como o endereço IP é usado, ele não deve mais ser usado sozinho. Nem mesmo para cargas de trabalho. Afinal, o software malicioso pode estar "na" rede corporativa, mas nunca deve ter acesso a aplicativos e recursos.
Além disso, precisamos expandir nossa compreensão da identidade além das pessoas, para as cargas de trabalho, aplicativos e dispositivos dos quais dependemos cada vez mais.
Tenho certeza de que não preciso mencionar o desastre da SolarWinds. Mas você sabia de ameaças como o Siloscape , descrito como "malware [que] abre vulnerabilidades conhecidas em servidores web e bancos de dados para comprometer nós do Kubernetes e clusters de backdoor" e a ameaça de consoles de gerenciamento mal configurados . Muitos consoles de gerenciamento são protegidos principalmente por controles baseados em IP que acabam desabilitados porque interferem no acesso remoto, uma necessidade no modelo de trabalho híbrido atual. Um conjunto de controle de acesso mais robusto e baseado em identidade forneceria proteção contra sequestro e uso não autorizado, independentemente do local de origem. Além disso, uma segurança robusta centrada na identidade forneceria proteção contra sistemas comprometidos que tentam infectar, sequestrar ou explorar outros recursos da segurança da "rede corporativa".
Já faz tempo que estamos caminhando lentamente em direção à segurança baseada em identidade. Mas o crescimento explosivo da automação e da digitalização, juntamente com uma tendência para modelos de trabalho híbridos, acelerará esse movimento até que finalmente abandonemos os endereços IP como método principal de controle de acesso.
Segurança centrada na identidade é o caminho.