O guia do inovador

para a segurança
Confiança Zero
Manter o ritmo com um panorama de ameaças em
rápida mudança - juntamente com uma crescente
falta de competências e uma mudança para modelos
de trabalho híbridos - requer uma nova abordagem.
O guia do inovador para a segurança Confiança Zero 2

Índice
1 Introdução
Página 3

Proteger o local de trabalho moderno

2 Página 5

3 6 áreas de risco de uma Confiança Zero

Página 8

Táticas para impulsionar uma implantação da Confiança Zero

4 Página 11

Orquestração e automatização
5 Página 14

6 Construir uma cultura de segurança

Página 17

Como falar com o seu conselho sobre a Confiança Zero

7 Página 21
Introdução 1

Entre as incertezas existentes nos mercados em todo o mundo, as organizações continuam

a acelerar as iniciativas de transformação digital para manter as suas operações a funcionar
sem problemas.
Os esforços para melhorar tanto a experiência dos colaboradores como a dos clientes estão
concentrados em facilitar a colaboração e as transações através dos canais digitais, enquanto
protegem também os dados que se tornaram a força vital da organização moderna.

Toda esta atividade digital se tornou um íman para os cibercriminosos que procuram aproveitar-
se dos modelos de trabalho em evolução. Os criminosos continuam a aumentar a sofisticação
das suas táticas, usando técnicas que os tornam mais difíceis de detetar. Ataques de alto perfil
na cadeia de fornecimento e de ransomware tornaram a segurança cibernética um imperativo,
uma vez que a proteção de dados e infraestruturas vai muito além das TI em todos os cantos
do negócio.

Para proteger o património digital moderno, os líderes de segurança estão a afastar-se

dos modelos de segurança tradicionais baseados em firewall, de comando e controlo, para
uma abordagem baseada na cloud computing que protege aplicações e dados, colocando
o utilizador no centro, onde quer que se encontre, sem comprometer a sua experiência.
Esta abordagem centra-se numa arquitetura de Confiança Zero.
O guia do inovador para a segurança Confiança Zero 4

Este e-book explora como a Confiança Zero está a ganhar

terreno como modelo para a segurança moderna ao visar
seis áreas centrais de risco em toda a organização. Proteger
essas áreas, com o apoio dos recursos de orquestração
e automação para apertar as lacunas exploradas pelos
criminosos, proporciona uma proteção ampla e profunda
que reduz o risco e permite às organizações permanecerem
produtivas, mesmo num mundo incerto.
O guia do inovador para a segurança Confiança Zero 5

Proteger o local de 2

trabalho moderno
À medida que os riscos de segurança cibernética aumentaram, as organizações intensificaram
os esforços para melhorar sua postura geral de segurança. No estudo da CIO 2021 State
of the CIO (Estado CIO 2021), 82% dos líderes de TI disseram ter implementado novas
tecnologias, estratégias de TI, e/ou metodologias devido à pandemia, enquanto mais de
metade (51%) duplicou a melhoria dos controlos de cibersegurança para proteger o trabalho
remoto. Além disso, 61% das organizações pesquisadas no estudo da Foundry 2021 Digital
Business afirmaram que a pandemia os forçou a adotar estratégias de digital-first.

Ainda há mais a fazer à medida que as organizações se adaptam a um local de trabalho

híbrido. À medida que as pessoas se deslocam entre ambientes domésticos e de escritório
e combinam mais das suas atividades empresariais e pessoais on-line, a rede corporativa
perdeu toda a aparência de uma fronteira rigorosa. O desafio para as equipas de segurança
é que as ferramentas e metodologias herdadas para proteger um perímetro endurecido já
não se aguentam.

Adicionar simplesmente mais ferramentas não é a resposta e pode até agravar o problema,
acrescentando complexidade e turvando a visibilidade dos dados, aplicações e sistemas
em silo. Dada a crescente complexidade do ecossistema digital e a crescente sofisticação
dos cibercriminosos que procuram explorá-lo, não é surpreendente que 87% dos líderes de
segurança no estudo da Foundry 2021 Security Priorities (Prioridades de Segurança 2021)
acreditem que a sua organização está a ficar aquém do que seria de esperar ao abordar os
riscos cibernéticos.
O guia do inovador para a segurança Confiança Zero
A adaptação a esta nova realidade requer
um novo conjunto de princípios, que formam
o núcleo de uma estratégia de Confiança Zero:
Passe do pressuposto à verificação
explícita.
Adote um modelo de acesso baseado
em políticas e menos privilegiado.
Conceba segundo o princípio de que
cada elemento do seu sistema pode
ser violado.
6
“Porque a arquitetura da Confiança Zero é essencialmente concebida para prevenir
a capacidade de um atacante se mover lateralmente, uma estratégia da Confiança Zero
é extremamente útil na priorização e abordagem de investimentos focados na prevenção,
afirma Vasu Jakkal, vice-presidente corporativo de Segurança, Conformidade, Identidade e
Gestão na Microsoft. “Ao implementar uma estratégia de Confiança Zero, as organizações
podem abraçar com mais segurança um local de trabalho híbrido, e proteger pessoas,
dispositivos, aplicações e dados onde quer que se encontrem”.
A Confiança Zero fornece um quadro de segurança moderno para gerir a complexidade
das organizações de hoje, e os CISO e as suas equipas de segurança aperceberam-se disso.
O Microsoft’s Zero Trust Adoption Report (Relatório de Adoção da Confiança Zero da
Microsoft) constatou que 96% dos profissionais de segurança acreditam que a Confiança
Zero será fundamental para o sucesso da sua organização, e 81% já estão a avançar nessa
direção, impulsionados pela mudança para um local de trabalho híbrido. Esta constatação
está alinhada com o estudo das Prioridades de Segurança da Foundry, que descobriu
que 46% das organizações implantaram ou estão a testar as soluções de Confiança Zero
e outros 38% estão a estudar a abordagem da Confiança Zero.
“Houve uma mudança fundamental nos últimos dois anos sobre a realidade da adoção da
Confiança Zero”, declarou Bob Bragdon, SVP e diretor geral mundial da CSO. “Antes disso,
era considerado como um esforço excessivo para a maioria das organizações. Isso mudou
completamente. As organizações maiores, em particular, estão totalmente investidas
no tema.”
O guia do inovador para a segurança Confiança Zero 7

Os CISO que lideram estas iniciativas estão a aprender que a Confiança Zero não é uma
implantação única, e não requer a desmontagem e substituição das infraestruturas de
segurança existentes. Pelo contrário, é uma série de iniciativas e otimizações contínuas
que em conjunto reduzem o risco em toda a organização. A Confiança Zero também
está a evoluir, como a Microsoft nota num novo documento técnico.

As aprendizagens dos últimos dois anos refinaram a nossa

arquitetura Confiança Zero para enfatizar a importância
crítica de integrar a aplicação de políticas e automação,
inteligência de ameaças e proteção contra ameaças”,
afirma Nitika Gupta, líder de produtos da Confiança Zero
da Microsoft. “Estes elementos integrados funcionam
através da telemetria em todos os pilares de segurança
para informar as decisões com sinais em tempo real”.
O guia do inovador para a segurança Confiança Zero 8

6 áreas de risco de uma 3

Confiança Zero
Os CISO que implementam um quadro de Confiança Zero também descobriram que não
existe uma abordagem universal. Muitas organizações concentraram-se na identidade como
um ponto de partida, o que faz sentido dada a importância crítica de verificar a identidade
de qualquer pessoa ou qualquer coisa que solicite acesso à informação, sistemas ou redes.
Mas o percurso não termina na identidade.

A Confiança Zero assume a violação em todo o seu

património digital, o que garante que precisa de
olhar para todos os componentes do seu ambiente
para estar seguro e reduzir a sua área de ataque,”
afirma Nitika Gupta, líder de produtos da Confiança
Zero da Microsoft.
O guia do inovador para a segurança Confiança Zero
Esta abordagem holística da Confiança
Zero serve como uma filosofia de
segurança integrada, de ponta a ponta,
em seis áreas principais de risco:
9
Identidades
Com a distribuição de sistemas e dados trazidos por dispositivos móveis, dispositivos de
Internet das coisas (IoT), e a própria computação na cloud, a segurança deve concentrar-
se no contexto e na identidade, em vez das fronteiras tradicionais da rede. As identidades,
quer representem pessoas, serviços ou dispositivos IoT, definem o plano de controlo de
Confiança Zero. Quando uma identidade tenta aceder a um recurso, precisa de ser verificada
com autenticação forte. As políticas devem garantir que o acesso é compatível e típico para
essa identidade e que segue princípios de acesso de menor privilégio.
Dispositivos
Assim que o acesso a um recurso seja concedido uma identidade, os dados podem ser
transmitidos a vários dispositivos diferentes, desde dispositivos de IoT a smartphones, de
BYOD a dispositivos geridos por parceiros e de workloads on-premises a servidores alojados
na cloud. Esta diversidade de endpoints e outros dispositivos cria uma área de ataque
massivo, exigindo ferramentas e processos para monitorizar e impor a saúde e conformidade
dos dispositivos para um acesso seguro.
Dados
Dado que a informação sensível deixa muitas vezes os espaços dos centros de dados e viaja
pelo mundo em diferentes redes e dispositivos, deve levar consigo a sua própria proteção.
Sempre que possível, os dados devem permanecer seguros ao longo do ciclo de vida, mesmo
que saiam dos dispositivos, aplicações, infraestruturas e redes controlados pela organização.
Esta proteção começa com a capacidade de identificar, classificar e etiquetar os dados
sensíveis para que as políticas apropriadas possam ser aplicadas a eles. A automatização
de tais processos de trabalho intensivo é fundamental.
O guia do inovador para a segurança Confiança Zero 10

Aplicações
A organização média tem 254 aplicações SaaS, de acordo com dados de 2021 da Productiv.
E esse número não inclui as aplicações de legado on-premises ou outras workloads que
foram migradas para a cloud. As aplicações, portanto, representam outra superfície de ataque
em expansão. As equipas de segurança e TI precisam de aplicar controlos e tecnologias para
detetar TI sombra ou não autorizada, garantir permissões na aplicação adequadas, limitar
o acesso com base em análises em tempo real, monitorizar comportamentos anormais,
controlar as ações dos utilizadores e validar opções de configuração seguras.

Infraestrutura
A infraestrutura de TI assume muitas formas nas organizações atuais, incluindo servidores
on-premises, máquinas virtuais baseadas na cloud (VM), containers e microsserviços, entre
outros. Como tal, a infraestrutura representa um vetor de ameaça crítico. Em data centers
on-premises, pode ser difícil acompanhar todos os componentes da infraestrutura, muito
menos protegê-los. Não é raro os administradores de TI “perderem” um servidor ou VM,
ou tropeçarem num que se tinham esquecido que existia. Para proteger infraestruturas,
as equipas precisam de ferramentas para avaliar a versão, configuração, e acesso just-in-time.
A telemetria é vital para detetar ataques e anomalias, bloquear e assinalar automaticamente
comportamentos de risco e adotar medidas de proteção.

Redes
Todos os dados são, em última análise, acedidos na infraestrutura de rede. Os controlos
de rede podem fornecer salvaguardas críticas para aumentar a visibilidade e ajudar
a impedir que os atacantes se movam lateralmente na rede. As redes devem ser
segmentadas (incluindo uma microssegmentação na rede mais profunda) e suportadas
por proteção contra ameaças em tempo real, encriptação ponto a ponto, monitorização
e análise.
O guia do inovador para a segurança Confiança Zero 11

Táticas para impulsionar 4

uma implantação da
Confiança Zero
Ao avaliar a sua prontidão de Confiança Zero para melhorar a proteção entre identidades,
dispositivos, aplicações, dados, infraestrutura e redes, considere estas áreas-chave de foco:

Autenticação forte
Implemente uma forte autenticação multifator e deteção de risco de sessão como a espinha
dorsal da sua estratégia de acesso para minimizar o risco de comprometimento da identidade.

Acesso baseado em políticas adaptativas

Defina políticas de acesso aceitáveis para todos os recursos - e aplique essas políticas com
um mecanismo de política de segurança consistente que forneça a governação e insight
das variações.

Microssegmentação
Vá além de um perímetro centralizado baseado em rede para uma segmentação abrangente
e distribuída usando micro-perímetros definidos por software.
O guia do inovador para a segurança Confiança Zero 12

Automatização
Invista em alertas e remediações automáticas para reduzir o tempo
médio de resposta a ataques.

Inteligência e IA
Utilize a análise de informações da cloud e todos os sinais disponíveis
para detetar e responder às anomalias de acesso em tempo real.

Classificação e proteção de dados

Descubra, classifique, proteja e monitorize dados sensíveis para
minimizar a exposição de exfiltração maliciosa ou acidental.
O guia do inovador para a segurança Confiança Zero

Telemetria/análise/avaliação

Soluções de confiança zero da Microsoft

O gráfico abaixo ilustra como a sua empresa pode permitir uma abordagem de
“best-of-breed confiança zero”, integrando soluções de segurança end-to-end
da Microsoft com políticas melhoradas e sistemas existentes.
Dados
Otimização
de políticas Microsoft Defender para Office
Azure Purview
Microsoft Defender para Cloud Proteção de Informações da Microsoft
Identidades Classificação de Segurança
Gestor de Conformidade

Azure Active Directory

Política Confiança Aplicações

Zero Rede
Azure Active Directory
Acesso Condicional do Azure AD funcionamento em rede do Azure Microsoft Defender para Aplicações
Proxy de Aplicações do Azure AD na Cloud

Endpoints Infraestrutura
Proteção contra
Microsoft Endpoint Manager Ameaças Segurança do Azure
Microsoft Defender para Endpoint
Microsoft Sentinel
Microsoft Defender
O guia do inovador para a segurança Confiança Zero 14

Orquestração 5

e automatização
Estas seis áreas de risco não podem ser monitorizadas e protegidas de forma isolada. No
contexto empresarial de hoje, a estratégia de segurança precisa de abordar tanto a amplitude
como a profundidade de toda a propriedade. A visibilidade integral é fundamental, mas também
o é uma compreensão mais profunda das ligações e correlações em todo o património digital.
É aí que entram em jogo a orquestração e o controlo automatizado.

Os controlos de segurança devem cruzar instantaneamente e analisar todas as variáveis

relevantes em todo o ecossistema para determinar se devem permitir ou bloquear o acesso
desejado. A telemetria de todos os sistemas tem de ser processada e agir automaticamente
para ajudar os sistemas de defesa a prevenir a ocorrência de ataques - ou mover-se
à velocidade da cloud para responder a e mitigar as ameaças ativas.

Estão a evoluir duas fundações de operações de segurança para simplificar a investigação

e a resposta aos alertas: gestão de informações e eventos de segurança (SIEM) e deteção
e resposta prolongadas (XDR):
O guia do inovador para a segurança Confiança Zero 15

Gestão de Informações e Eventos Deteção e Resposta Alargadas

de Segurança
O SIEM desempenha um papel crucial em ajudar as organizações a identificar ameaças ativas
e potenciais, agregando informação de todas as fontes de dados (SO, aplicação, antivírus,
base de dados, ou logs de servidor) e analisando grandes quantidades de dados de um
local, à procura de anomalias e outros sinais de ameaças. Os tradicionais SIEM on-premises,
contudo, podem ter dificuldade em englobar e interpretar todos os sinais que emanam da
pegada virtual e distribuída de uma organização.
“Os SIEM nativos da cloud, melhorados com capacidades de IA/ML, estão mais aptos
a correlacionar sinais de ameaça e priorizar alertas para ajudar as investigações,”, afirma
Tim woolford, gestor sénior de Marketing de produtos para a proteção contra ameaças da
Microsoft.
As soluções XDR permitem a proteção multi-cloud e multiplataforma e capacitam as
equipas de operações de segurança a aumentar a sua eficiência e prevenir ameaças através
de endpoints, identidades e aplicações. “A correlação automática de alertas em incidentes
abrangentes significa que os defensores não estão a filtrar dados de sinal infinitos ou
a responder a alertas individuais sem contexto” , afirma Woolford. XDR estabelece relações
entre alertas, o que significa que um incidente inteiro pode ser tratado através de silos de
segurança.
“A automação poderosa que alavanca a IA e as capacidades de aprendizagem da máquina
corrigem muitos alertas e incidentes, devolvendo os ativos afetados a um estado seguro.
Isto permite que os defensores se concentrem nas ameaças críticas ou na prevenção
proativa”, conta Woolford.

A integração das soluções SIEM e XDR é um passo fundamental. A junção

dos sinais proporciona uma verdadeira visibilidade de ponta a ponta e um
contexto profundo para identificar as ameaças mais urgentes, ajudando as
equipas de segurança a responder rapidamente.
O guia do inovador para a segurança Confiança Zero 16

A aprendizagem automática impulsiona

a inovação em segurança
Um modelo de sucesso da Confiança Zero depende da combinação engenhosa
da IA e da ingenuidade humana. Uma forte IA e aprendizagem automática requer
dados amplos, profundos e diversificados.

A Microsoft, graças à sua amplitude de negócios - do setor de consumo ao

empresarial, dos jogos à plataforma na cloud- tem um conjunto incrivelmente
diversificado de dados para treinar algoritmos de IA de segurança. Os produtos
Microsoft Security veem mais de 24 biliões de sinais de segurança todos os dias.

A recolha destes sinais é fundamental, mas a visibilidade é apenas tão útil como
os insights derivados deles. Os produtos Microsoft Security aproveitam a IA para
correlacionar sinais através de produtos diferentes mas ligados para fornecer um
contexto rico e detetar atividades maliciosas ou arriscadas.
O guia do inovador para a segurança Confiança Zero 17

Construir uma cultura 6

de segurança
Um modelo de Confiança Zero pode ter um impacto tangível na vulnerabilidade de uma
organização aos ciberataques. Mas também fornece valor intangível ao ajudar a estabelecer
uma cultura organizacional que encara a cibersegurança como uma responsabilidade
partilhada entre todos os colaboradores.

Dada a constante vaga de ataques, as organizações estão a lutar com um aumento

da procura de profissionais de segurança que ultrapassa de longe a oferta de talentos
qualificados.
O guia do inovador para a segurança Confiança Zero 18

De acordo com um relatório de investigação conjunto

de julho de 2021 da ESG e ISSA, a crise de competências
afetou mais de metade (57%) das organizações,
resultando em:
Quase todas as empresas que responderam (95%) disseram que a falta de competências
de cibersegurança e os seus impactos associados não melhoraram nos últimos anos, e 44%
acreditam que o problema se intensificou.

A escassez de talento em cibersegurança torna o foco nos princípios e tecnologias da

reportam workloads
62% Confiança Zero ainda mais crucial. As ferramentas e plataformas de segurança construídas
em torno das capacidades de automação e orquestração proporcionam novos níveis de
crescentes.
velocidade e escala, libertando o pessoal interno de tarefas manualmente intensivas para
se concentrar em atividades de alto valor.

Os desafios de não ter pessoas suficientes tornam

têm requisições de emprego a orquestração e automação incrivelmente importantes,
38% não preenchidas. particularmente com o crescente cenário de ameaças
e o número de ataques com que as empresas
estão a lidar,” , Bob Bragdon, SVP e diretor geral
de administração global da CSO.
acreditam que isto está
38% a levar ao esgotamento
dos colaboradores.
O guia do inovador para a segurança Confiança Zero 19

A experiência do utilizador é crucial para qualquer iniciativa de confiança zero e instrumental

na construção de uma cultura orientada para a segurança. As empresas que são mais bem
sucedidas na transição adotam uma abordagem centrada no utilizador que não obriga
a uma troca entre colaboração moderna e segurança robusta - enquanto também facilita
às pessoas a adaptação a novas formas de trabalhar. Para abordar ainda mais a lacuna de
competências de cibersegurança, os líderes de segurança devem olhar além dos papéis
técnicos tradicionais e considerar a contratação e formação de profissionais em áreas
adjacentes. Os Colaboradores com formação em psicologia, sociologia e economia dão
diversidade de pensamento a uma equipa de segurança, proporcionando uma compreensão
mais profunda dos fatores comportamentais dos criminosos, promovendo a capacidade de
iniciar a tomada de decisões críticas, e comunicando resultados rapidamente.

A segurança é inerentemente uma prática multidisciplinar,”

afirmou Geoff Belknap, CISO no LinkedIn, no podcast Security
Unlocked: CISO Series com o CISO da Microsoft, Bret Arsenault.
“Precisamos de pessoas de muitas especialidades diferentes,
todas a trabalharem em conjunto para resolver este tipo de
problemas. Vão trazer uma visão que poderá desenvolver
com outras pessoas que tenham outros conjuntos de
competências para resolver um problema”.
O guia do inovador para a segurança Confiança Zero 20

Redução do esforço necessário

80% para fornecer e assegurar novas
infraestruturas em 80 por cento.

Redução do risco de uma violação

50%
ROI de confiança zero: de dados em 50 por cento.

custo, vantagens para

o negócio 75%
aceleração do processo de
configuração dos utilizadores finais
em novos dispositivos em 75%.
um relatório da Forrester Consulting Total Economic Impact™ (TEI) examinou o potencial
retorno do investimento (ROI) que as empresas podem realizar ao implementar uma
arquitetura de Confiança Zero com soluções da Microsoft. Entre os resultados, uma
arquitetura de confiança zero:
Aumentou a eficiência das equipas
50% de segurança em 50 por cento.

Obtenha o estudo completo

O guia do inovador para a segurança Confiança Zero 21

Como falar com 7

o seu conselho sobre

a Confiança Zero
A segurança tornou-se uma preocupação a nível da administração. Mas conceitos como
a confiança zero podem ser difíceis de entender pelos executivos seniores, a menos que
sejam colocados no contexto adequado. O vice-presidente e CISO da Microsoft, Bret
Arsenault partilha estas sugestões sobre como ter uma conversa eficaz sobre segurança
com os principais intervenientes.
O guia do inovador para a segurança Confiança Zero 22

Não posicione a confiança zero como uma iniciativa de

segurança. Defina-a como uma iniciativa de experiência
do utilizador para a qual a segurança é a força motriz.

Faça um plano que estabeleça princípios e prioridades

claras de proteção - por exemplo, protegendo os dados
dos clientes, assegurando a integridade do dispositivo
e protegendo a cadeia de fornecimento.

Defina o que é o sucesso no contexto mais amplo do seu

negócio. Isto inclui o aumento dos níveis de flexibilidade
e agilidade necessários para uma organização moderna
prosperar.

Reforce o impacto da não implementação da Confiança Zero.

Partilhe as potenciais implicações a nível do negócio de

uma violação, incluindo a fidelização reduzida dos clientes,
a reputação da marca perdida e a perda de receitas e lucros.

Partilhe o seu progresso com métricas digeríveis que

identificam os principais indicadores de risco e o seu
progresso em relação a eles.
Passos seguintes
Uma abordagem de Confiança Zero à segurança proporciona a proteção abrangente
necessária para se defender contra as ameaças de hoje e de amanhã, independentemente
da sua evolução. Uma experiência unificada que correlaciona sinais através das seis áreas
de risco discutidas neste e-book pode permitir-lhe:

Proteger tudo
Proteja toda a sua organização com soluções integradas de segurança, conformidade
e identidade construídas para funcionar através de plataformas e ambientes na cloud.
Tudo o que não seja segurança integral não é segurança nenhuma.

Simplifique o complexo
Veja o panorama geral, dê prioridade aos riscos certos e corrija cadeias inteiras de ataque
com um conjunto de ferramentas e orientação estratégica totalmente integrados criados
para maximizar a competência humana dentro da sua empresa.
A Microsoft está singularmente posicionada para satisfazer
Veja o que os outros perdem as necessidades de segurança do futuro. Como defensores da
A IA líder, automação e conhecimentos especializados ajudam-no a detetar ameaças
rapidamente, responder eficazmente, e fortificar a sua postura de segurança. Porque cibersegurança, os peritos em segurança da Microsoft sabem
não pode parar o que não consegue ver.
como este trabalho é crítico - e são seus aliados neste percurso.
Expanda o seu futuro
Com a paz de espírito que vem com uma abordagem de segurança abrangente, ficará livre
Saiba mais sobre como implementar um modelo de confiança
para crescer, criar e inovar o seu negócio. A segurança permitir-lhe-à chegar mais longe, zero como parte de uma arquitetura de segurança moderna.
mais depressa.

©2022 Microsoft Corporation. Todos os direitos reservados. Este documento é fornecido “tal como está”. As informações e opiniões nele expressas, incluindo os URL e outras referências a sites, podem ser alteradas sem
aviso prévio. O utilizador é o único responsável pela utilização destas informações. Este documento não lhe confere qualquer direito legal a qualquer propriedade intelectual em qualquer produto Microsoft. Poderá copiar
e utilizar este documento para fins internos e de referência.