Algumas ameaças cibernéticas comuns que o setor de varejo enfrenta incluem ataques de ransomware, engenharia social, invasões de sistemas e ameaças internas. O setor de varejo
Atualizado em 9 de abril de 2024.
Confiança zero e conhecimento zero parecem semelhantes, mas se referem a diferentes conceitos de segurança cibernética. A principal diferença entre os dois é que a confiança zero está relacionada à segurança da rede, enquanto o conhecimento zero está relacionado à privacidade dos dados. Ambos são importantes para proteger informações confidenciais de caírem em mãos erradas.
Continue lendo para saber mais sobre confiança zero e conhecimento zero, as principais diferenças entre eles e por que as organizações precisam de ambos.
O que é confiança zero?
Confiança zero é uma estrutura de segurança cibernética que exige que usuários e dispositivos sejam continuamente autenticados. Ela presume que cada usuário e dispositivo pode estar comprometido e não confia automaticamente em qualquer pessoa dentro ou fora da rede da organização. Qualquer pessoa ou qualquer coisa, seja um humano ou uma máquina, deve ser verificada de forma contínua e explicita antes de obter acesso à rede.
Quando o usuário ou máquina obtém acesso à rede, recebe a quantidade mínima necessária de acesso à rede para fazer seu trabalho. Eles não podem acessar qualquer outra coisa dentro da rede. Essa limitação de acesso impede que cibercriminosos acessem outras informações confidenciais se a conta de um usuário for comprometida. A confiança zero não se concentra em onde o usuário está fazendo login, mas em quem ele é.
A confiança zero é composta por três princípios fundamentais:
- Presumir uma violação: a confiança zero pressupõe que todos os usuários ou máquinas que tentam acessar a rede de uma organização podem estar comprometidos e levar a uma violação de segurança.
- Verificar explicitamente: como a confiança zero elimina a confiança implícita, usuários e máquinas devem provar que são quem dizem ser toda vez que precisam de acesso.
- Garantir o menor privilégio: após serem verificados e obterem acesso, usuários ou máquinas receberão a quantidade mínima de acesso à rede para fazerem seus trabalhos, e nada além disso.
O que é conhecimento zero?
Conhecimento zero é um modelo de segurança que utiliza criptografia e segmentação de dados para minimizar os efeitos de violações de dados. Ele faz isso criptografando e descriptografando dados no nível do dispositivo, e não nos servidores da empresa ou na nuvem. O aplicativo que utiliza criptografia de conhecimento zero não armazena os dados em texto simples, e o provedor de serviços também nunca recebe esses dados em texto simples. As chaves necessárias para descriptografar os dados armazenados estão disponíveis apenas para o usuário no dispositivo dele. Isso garante que, se o provedor de serviços for violado, todos os dados armazenados permanecerão criptografados e protegidos.
Principais diferenças entre confiança zero e conhecimento zero
As pessoas geralmente confundem confiança zero e conhecimento zero porque ambos melhoram a segurança de usuários e organizações. No entanto, a confiança zero pode ser lembrada pelo slogan “não confie em ninguém”, enquanto o conhecimento zero pode ser lembrado pelo slogan “não sabemos nada”. Veja as principais diferenças entre confiança zero e conhecimento zero.
Zero Trust | Zero Knowledge | |
---|---|---|
Definition | Focuses on network security through continuous and explicit authentication and authorization of all users | Focuses on data security through encrypting and decrypting data on the device level |
Method of protection | Verification | Encryption |
Responsibility | Organization | Service provider |
Implementation techniques | Multi-Factor Authentication (MFA), network segmentation and least privilege access | 256-bit symmetric encryption and transport layer security from the service provider |
Por que as organizações precisam da confiança zero e do conhecimento zero
As organizações precisam da confiança zero e do conhecimento zero para proteger seus dados confidenciais contra comprometimento por acessos não autorizados. Elas precisam confiar seus dados a provedores de serviços que utilizam criptografia de conhecimento zero para garantir que a organização seja a única que pode acessar os dados.
Algumas organizações fizeram a transição para um ambiente híbrido utilizando infraestrutura de nuvem e local, tornando a confiança zero vital para proteger seus dados confidenciais. A confiança zero concede às organizações visibilidade sobre sua infraestrutura e ajuda a reduzir o risco de ataques cibernéticos. Com a confiança zero, as organizações podem ver todos os usuários e máquinas tentando acessar sua rede, de onde estão tentando se conectar e o que estão tentando acessar. Ela também ajuda a reduzir o risco de ataques cibernéticos, permitindo apenas o acesso a usuários autorizados e restringindo esses usuários autorizados a uma quantidade mínima de acesso à rede, evitando movimentos laterais dentro da rede.
O conhecimento zero protege os dados de uma organização mesmo se o provedor de serviços for violado. Como o provedor de serviços não pode descriptografar os dados da organização, cibercriminosos que violarem e roubarem dados do provedor teriam apenas os dados em texto cifrado e não poderiam descriptografá-los. O conhecimento zero também protege dados em repouso e em trânsito, pois os dados são criptografados e descriptografados apenas no dispositivo do usuário. O aplicativo nunca armazena dados em texto simples, o que significa que o provedor de serviços não pode vê-los. Quando os dados são sincronizados com outros dispositivos, eles permanecem criptografados até serem descriptografados pelo usuário no outro dispositivo. Dados em trânsito são protegidos por meio de criptografia de chave de transmissão, o que significa que não podem ser interceptados e lidos por usuários não autorizados.
Como o Keeper® utiliza a confiança zero e o conhecimento zero
O Keeper Security atinge a confiança zero unificando nossas soluções de gerenciamento de senhas, gerenciamento de segredos e gerenciamento de conexões, tudo construído com base em nosso modelo proprietário de criptografia de conhecimento zero. As organizações têm visibilidade total sobre toda a sua infraestrutura de dados. Os produtos do Keeper são protegidos com criptografia de conhecimento zero, garantindo que as organizações sejam as únicas que podem acessar seus dados e mais ninguém – nem mesmo o Keeper. Você pode ler mais sobre nossa arquitetura de segurança aqui.
A melhor maneira de implementar a confiança zero e o conhecimento zero é com o KeeperPAM. O KeeperPAM™ combina o Keeper Enterprise Password Manager (EPM), o Keeper Secrets Manager® (KSM) e o Keeper Connection Manager® (KCM) para conceder às organizações visibilidade, segurança e controle completos sobre todos os seus usuários e dispositivos privilegiados.