Zero Trust segundo a NSA: do acesso inicial ao controlo contínuo
Falamos de zero trust há anos — e por boas razões. A evolução das ameaças e a crescente sofisticação dos ataques continuam a reforçar a necessidade de uma abordagem baseada na validação contínua, deixando para trás a confiança implícita que durante muito tempo definiu a segurança tradicional.
No entanto, muitas implementações de zero trust têm-se centrado em reforçar o acesso inicial, sem transformar verdadeiramente o modelo de controlo. O erro não está em reforçar a identidade, mas em manter uma mentalidade baseada no perímetro. Hoje, os atacantes exploram cada vez mais identidades legítimas e credenciais válidas, redefinindo o panorama de risco. Já não basta monitorizar quem entra; o que realmente importa agora é compreender o que acontece depois de essa identidade ser validada.
Da identidade ao comportamento
Consideremos um cenário simples. Um colaborador acede com sucesso à rede utilizando autenticação multifator (MFA) válida. Tudo parece normal. No entanto, pouco depois, começa a descarregar milhares de registos de clientes às 3 da manhã, a partir de um país onde nunca se ligou antes. Num modelo estático, desde que o token de sessão permaneça ativo, este comportamento é permitido. Num modelo de autorização dinâmica, o sistema deteta que esse comportamento não corresponde ao padrão habitual do utilizador e decide bloquear a ação ou solicitar verificação adicional.
Isto reflete uma mudança de foco destacada pela Agência de Segurança Nacional dos Estados Unidos (NSA) nas suas orientações de implementação de zero trust. O controlo de acesso deixa de ser uma decisão pontual para passar a ser um processo contínuo. Na prática, verificar a identidade ou o dispositivo no início é apenas o ponto de partida, uma vez que a autorização precisa de ser reavaliada sempre que o contexto, o comportamento ou as condições de acesso mudam. A partir daí, as decisões baseiam-se no que o utilizador faz após o acesso, deslocando o foco da identidade para a ação.
Para alcançar este objetivo, é necessário implementar uma avaliação baseada no comportamento que ajuste privilégios consoante o contexto e que possa interromper sessões ou exigir passos adicionais quando o risco aumenta. Assim, a confiança deixa de ser um estado fixo e passa a adaptar-se ao que está a acontecer em cada momento.
Naturalmente, nada disto funciona sem controlos de segurança capazes de avaliar a identidade, o estado do dispositivo, o contexto de acesso e a atividade do utilizador ao longo de toda a sessão. Neste modelo, o acesso não é um evento único; é continuamente reavaliado com base no que o utilizador está a tentar fazer, no recurso a que pretende aceder e na manutenção — ou não — das condições de confiança.
É por isso que o zero trust depende da articulação entre identidade e acesso ao nível da sessão. A autenticação estabelece quem é o utilizador, mas a autorização contínua determina se esse utilizador deve manter o mesmo nível de acesso à medida que as condições mudam. Se o risco aumentar durante a sessão, os privilégios podem ser limitados, pode ser exigida autenticação reforçada ou o acesso pode ser totalmente interrompido.
Para os MSP, isto altera o foco: deixa de ser apenas conceder acesso seguro e passa a ser controlar continuamente o que acontece após a concessão desse acesso. O objetivo não é apenas impedir acessos não autorizados, mas reduzir o impacto de identidades comprometidas, tokens roubados ou comportamentos de risco durante a sessão.
Além disso, a inteligência contextual não serve apenas para identificar anomalias. Ajuda também a reduzir falsos positivos, ao compreender padrões normais e distinguir entre variações legítimas e comportamentos de risco. Em ambientes geridos com múltiplos clientes, esta capacidade de correlação e análise facilita a priorização e reduz a carga operacional quando o volume de sinais aumenta.
Para além do acesso: o verdadeiro desafio para os MSP
Em 2026, o risco já não é definido apenas pelo acesso não autorizado. Uma das ameaças mais difíceis de travar é o uso indevido de identidades válidas, porque o utilizador pode parecer legítimo no momento do acesso. Para os MSP, isto significa que a segurança gerida não pode terminar na autenticação. O foco tem de passar para o controlo do que acontece durante a sessão, com avaliação contínua da atividade e limitação do impacto quando o risco muda.
Isto altera também a forma como os MSP estruturam os seus compromissos de serviço e gerem as expectativas dos clientes. O valor já não está apenas em bloquear acessos indevidos no momento do login, mas em reduzir o risco ao longo de toda a sessão. Isso exige validação contínua das condições de acesso e limitação do que um utilizador, dispositivo ou sessão pode fazer quando a confiança muda. Na prática, a conversa com o cliente deixa de se centrar apenas na prevenção e passa a incluir o controlo contínuo sobre acessos legítimos.
As orientações da NSA deixam claro que o zero trust não pode ser entendido apenas como uma estratégia de verificação. O acesso é apenas o ponto de partida. A verdadeira redução de risco acontece quando cada ação pode ser reavaliada. A autenticação valida quem é o utilizador, enquanto a autorização contínua — suportada por múltiplas camadas de segurança que monitorizam a atividade em endpoints, redes e identidades — valida o que esse utilizador faz. Só quando ambas as dimensões funcionam em conjunto é que o zero trust se torna uma estratégia eficaz de redução do risco operacional.
A orientação da NSA reforça ainda que o zero trust não se resume à verificação da identidade no momento do acesso. O acesso é apenas o início. A redução real do risco ocorre quando a confiança é continuamente reavaliada ao longo da sessão e quando é possível agir à medida que as condições mudam. A autenticação confirma quem é o utilizador, mas a autorização contínua determina o que esse utilizador pode fazer, durante quanto tempo e em que condições. Quando identidade e controlo de acesso funcionam desta forma articulada, o zero trust deixa de ser uma verificação pontual e passa a ser um modelo prático de redução do risco operacional.