Modelo de seguridad de confianza cero: Lo que hay que saber

Por Mark Knowles

Recuerde los días en que la seguridad era sencilla, o eso creíamos. Se encerraban los datos valiosos en las profundidades de las fortalezas corporativas. Con perímetros fortificados de alta tecnología para bloquear a los malos, los equipos de seguridad estaban tranquilos. Las amenazas venían del exterior, mientras que todo y todos los que estaban dentro de la fortaleza recibían una confianza incuestionable.

Esos días son un recuerdo lejano. Con el aumento de los entornos empresariales móviles, el servicio en la nube, el IoT y las políticas de "trae tu propio dispositivo", la naturaleza de la seguridad ha cambiado drásticamente. Los perímetros se han extinguido y nuestros datos están en todas partes. Las oportunidades de explotación abundan, y los atacantes las aprovechan al máximo.

Ha llegado el momento de adoptar un modelo de seguridad diferente. En el panorama actual, muy abierto, con amenazas que vienen de todas las direcciones, la confianza es igual a la vulnerabilidad. Debemos eliminar la confianza del entorno moderno, verificando todo y a todos, independientemente de su ubicación. Bienvenidos a la era de la confianza cero.

En este artículo, hablaremos de todo lo que necesitas saber sobre el modelo de seguridad de Confianza Cero. Hablaremos de la historia, los valores y los principios, la tecnología y la estrategia, y de por qué Zero Trust es tan importante ahora mismo. Pista: piensa en COVID-19. Y lo que es más importante, también te dejaremos con consejos útiles para empezar a implementar Zero Trust en tu propio entorno. Empecemos, ¿de acuerdo?

modelo de seguridad de confianza cero

Seguridad de confianza cero: ¿Qué es?

La confianza cero es una estrategia de ciberseguridad basada en la eliminación de cualquier confianza dentro de un entorno, independientemente de su ubicación. Todos y todo se leen como una amenaza hasta que se demuestre lo contrario. Todos los usuarios y dispositivos deben ser autenticados y autorizados antes de que se les permita el acceso a recursos valiosos.

Los modelos tradicionales de castillos y fosos se rigen por el credo de "confiar pero verificar". Comienzan con una confianza de facto de todos dentro de una red. Este modelo es ineficaz hoy en día porque los perímetros tradicionales ya no existen. Hay que tener en cuenta que todo es móvil, los datos no están confinados y el número de superficies de ataque es enorme. Además, una vez dentro, un atacante puede abrir la puerta a sus amigos y moverse lateralmente para acceder a activos vulnerables.

Zero Trust desafía la premisa del castillo y el foso de permitir que exista cualquier tipo de confianza en su entorno. La confianza cero se rige por el mantra "nunca confíes, siempre verifica", basado en la suposición de que toda la actividad de la red es maliciosa hasta que se demuestre lo contrario. Esta mentalidad de "culpable hasta que sea inocente" puede parecer dura, pero se ha convertido en algo obligatorio en el panorama moderno de las amenazas.

La historia de la seguridad de confianza cero

Como probablemente sepa, la confianza cero no es un concepto nuevo. Surgió en 2010 cuando un analista de Forrester llamado John Kindervag introdujo nuevas líneas de batalla en la ciberseguridad. Reconoció que los datos ya no se encontraban ordenadamente detrás de muros protegidos, y que la única forma de mantenerlos seguros era en un entorno libre de confianza. La adopción e implementación por parte de Google de metodologías de Confianza Cero creó un interés más amplio. En abril de 2020, Google finalmente lanzó su producto Beyond Corp Remote Access, que se basa en el enfoque de Zero Trust que implementaron durante casi una década.

El modelo de Confianza Cero está ganando impulso hoy en día debido al creciente número de amenazas a la seguridad. Las organizaciones son conscientes de esta tendencia y reconocen la gravedad de su impacto en su negocio. Si su empresa posee datos personales, sus clientes estarán preocupados por la seguridad de su infraestructura y su capacidad para proteger adecuadamente su información sensible. Mientras tanto, la reciente pandemia de COVID-19 ha hecho que la Confianza Cero sea aún más relevante, con tantos empleados que trabajan de forma remota en dispositivos y redes no seguras.

Valores y principios del modelo de seguridad de confianza cero

Los modelos de seguridad de red de confianza cero reconocen que los atacantes pueden venir de dentro o de fuera de su red. He aquí una estadística reveladora: el 34{1f0cc4060f4fe9fc982bbd4bbe2778698630254e28c6e7cd32c637f8f4aaee17}de las violaciones de datos implican a actores internos, según el Informe de Datos de Verizon de 2019. En Zero Trust, las filtraciones son un hecho: hay que asumir que el peligro ya está dentro. Así, todo y todos son vistos como una amenaza potencial. Esto naturalmente conduce a controles extremadamente estrictos en todo el acceso de usuarios y dispositivos dentro de un entorno de Confianza Cero.

Zero Trust también se centra en los datos: todas las organizaciones deben identificar sus datos y trazar meticulosamente su flujo. Tenga en cuenta que, al no haber perímetros definidos, la seguridad debe seguir a sus datos.

El acceso dentro de una red de Confianza Cero puede basarse en el mínimo privilegio o en la mínima funcionalidad. El mínimo privilegio concede el acceso, según sea necesario, basándose en la función de un individuo. ¿Necesita el usuario acceso para hacer su trabajo? Si es así, la identidad del usuario se verifica en tiempo real a través de la autenticación multifactorial. El sistema de mínimos privilegios reconoce que los empleados pueden ser accidentalmente negligentes o trabajar desde entornos inseguros, como en casa durante una pandemia. La funcionalidad mínima es diferente, ya que supervisa el acceso en función del sistema que el individuo necesita para participar, en lugar de la función de la persona.

Por qué son importantes los sistemas de seguridad de confianza cero

La seguridad de confianza cero es importante hoy en día porque la forma en que el mundo hace negocios ha cambiado drásticamente. A medida que las organizaciones se esfuerzan por digitalizarse en todo el mundo, los empleados y los datos ya no están confinados detrás de las fortalezas corporativas. Con esta movilidad llega el monumental desafío de asegurar un mar de superficies de ataque en rápida expansión. Los atacantes, armados con la automatización y la tecnología más reciente, siguen aumentando el tipo y la frecuencia de las amenazas a la seguridad. En resumen, la ciberseguridad se ha convertido en una lucha callejera virtual en la que nadie puede permitirse el lujo de confiar. Las cifras son ciertamente desalentadoras. Desde 2005, el número de brechas ha aumentado constantemente en Estados Unidos, con 1.473 brechas registradas en 2019, exponiendo más de 164,68 millones de registros sensibles.

En segundo lugar, los reguladores han elevado el listón de la seguridad imponiendo formidables obligaciones de cuidado de los datos de los clientes que posee una empresa. Reglamentos estrictos como el Reglamento General de Protección de Datos (RGPD), la Ley de Privacidad del Consumidor de California (CCPA) y la Ley del Escudo de Nueva York hacen a las empresas responsables de los terceros que trabajan con esos datos en nombre de la empresa. El incumplimiento tampoco es una opción, ya que pueden producirse fuertes sanciones económicas cuando la información personal de un usuario se ve comprometida debido a las vulnerabilidades del sistema.

Por último, la falta de seguridad es un obstáculo importante para el acceso de los clientes y el mercado. Los clientes quieren hacer negocios con empresas que mantienen sus datos seguros. Y realmente, ¿se les puede culpar? Nadie quiere saber que los datos de su tarjeta de crédito pueden estar circulando por las profundidades de la web oscura. Los clientes quieren ver que sus riesgos de seguridad están bajo control para poder confiarle cómodamente sus datos personales.

Tecnologías y estrategias detrás de la seguridad de confianza cero

¿Cuáles son los principios fundamentales del éxito de Zero Trust? Dediquemos un momento a explorar algunos.

Microsegmentación

Este principio clave consiste en dividir las redes en zonas separadas para compartimentar los daños en caso de que se produzca una brecha. Al igual que los bomberos bloquean secciones de un edificio para controlar un incendio, la microsegmentación reduce la superficie de ataque inmediata y da a los equipos de seguridad más control sobre el movimiento lateral.

Autenticación multifactorial (MFA)

Esta práctica se considera esencial para mantener un entorno de confianza cero, y muchos creen que ni siquiera esto es lo suficientemente estricto para mantener alejados a los invasores maliciosos. Los usuarios obtienen acceso a la red al mostrar dos o más formas de identificación basadas en lo que saben (contraseña), poseen (artículo físico como token o teléfono móvil) o contienen inherentemente (huella dactilar o retina).

Gestión del acceso a la identidad (IAM)

Los modelos de confianza cero se basan en esta práctica, que requiere la identificación positiva del usuario para acceder a los recursos de una red. IAM utiliza funciones como MFA y Single Sign-On (SSO) para verificar a los usuarios y determinar el nivel de acceso que se les concederá.

Análisis

Implementar con éxito una postura de seguridad de Confianza Cero exige datos, muchos y muy abundantes. La aplicación de análisis a los datos del comportamiento de los usuarios y los dispositivos genera puntuaciones de riesgo. Estas puntuaciones pueden permitir el acceso o hacer sonar la sirena de alarma que dispara las alertas que solicitan una mayor verificación.

Orquestación

Piense en la orquestación como el conductor necesario de todo su ecosistema de seguridad. Como tal, la verdadera confianza cero no puede ocurrir sin ella. La orquestación alinea sus procesos para una respuesta rápida, sustituye las lentas funciones manuales por la automatización, ordena la acción a los puntos de aplicación necesarios y consolida toda su operación de seguridad.

Codificación

Esta práctica de convertir los datos sensibles en código para evitar su uso no autorizado es de vital importancia cuando se opera en un entorno de confianza cero. Dado que todo el mundo es una amenaza potencial, naturalmente todas las comunicaciones internas y las contraseñas deben estar codificadas en caso de que caigan en las manos equivocadas. Tenga en cuenta que los malos atacan los datos cifrados a través del acceso a las claves, y la gestión eficiente de las claves es crucial para mantener su postura de Cero Confianza.

Permisos del sistema de archivos

Estos accesos controlan la capacidad del usuario para ver, navegar, cambiar o ejecutar en el contenido de un sistema de archivos protegido. Las funciones pueden estar disponibles u ocultas según el nivel de permiso del usuario.

Software de operaciones de cumplimiento

Este tipo de software ayuda a los responsables de riesgos, cumplimiento y seguridad a auditar continuamente la seguridad interna y a mantener un sistema de información seguro y conforme a las normas, de forma mucho más sencilla que los flujos de trabajo manuales.

La estricta normativa actual y las exigencias de los clientes obligan a auditar continuamente el cumplimiento de la normativa. Las empresas deben demostrar continuamente que están protegiendo los datos, gestionando eficazmente el riesgo de los proveedores y cumpliendo las normas. Los equipos de seguridad pueden estar desbordados por esta tarea; el software que automatiza los flujos de trabajo de cumplimiento (por ejemplo, la recopilación de pruebas de la eficacia de los controles, la asignación de tareas de corrección) alivia esta carga y permite a los equipos de seguridad centrarse en frustrar a los hackers y mantener las redes seguras.

Cómo empezar con la seguridad de confianza cero

Si está preparado para la seguridad de Cero Confianza en su organización, estos son los pasos recomendados:

1. Evalúe su riesgo

Este debe ser su primer paso, y comienza con un inventario de sus activos. ¿Qué datos son más valiosos y necesitan ser protegidos? ¿Qué grado de protección necesitan? ¿Qué sistemas procesan qué datos? ¿Cómo fluyen los datos entre los distintos sistemas?

2. Segregue su red

ElDr. Kenneth Cooper, DCS y CISSP, opina aquí: "Para implantar la plena confianza cero, lo primero que hay que hacer es segregar la red. Todas las unidades organizativas, los dispositivos y las ubicaciones de red deben estar segregados dentro de la red real, con todas las subredes y los grupos de directorio activo para todos los usuarios configurados y en su lugar". Sólo con la segmentación de la red en su lugar está listo para empezar a pensar en sus requisitos de acceso.

3. Configurar el acceso específico

Ahora es el momento de decidir a quién dejarás entrar y qué podrán hacer una vez dentro. Tendrás que configurar un acceso específico por usuario, por aplicación y por rol, basado en reglas de identidad claramente definidas. En Zero Trust estas reglas son estrictas, con la autenticación multifactor siempre a favor. El acceso a un entorno nunca significa el acceso automático a otros.

Aquí es donde muchos intentos de confianza cero van mal, como explica el Dr. Cooper: "La mayoría de las organizaciones fallan al no eliminar las conexiones de sistema a sistema de los dispositivos que se encuentran en el mismo dominio o red. Tampoco eliminan o desactivan las credenciales de administrador por defecto en los dominios. Para un verdadero entorno de confianza cero, hay que abordar deliberadamente estas dos cuestiones".

4. Formar a su gente

Formar y preparar a su equipo para la concienciación en materia de seguridad puede marcar la diferencia en el éxito de su iniciativa de confianza cero. Los empleados y contratistas pueden representar un riesgo importante, aunque sea de forma involuntaria. Melody Kaufman, especialista en ciberseguridad de Saviynt, reitera lo que todos sabemos muy bien. "Por mucho que eduques, tu gente siempre será uno de tus eslabones más débiles".

Es fundamental que enseñe a su equipo la importancia general de la seguridad y los hábitos granulares que pueden practicar para la seguridad de la red. Enseñe a los empleados a reconocer esquemas comunes como el phishing y la suplantación de identidad por correo electrónico. Pídeles que utilicen sistemas de gestión de contraseñas como LastPass.

5. Hacer cumplir el acceso mínimo

Practica con diligencia el acceso con menos privilegios y funciones a tus recursos más valiosos. El acceso se concede solo cuando es necesario, en función de los trabajos del usuario o de los sistemas a los que accede.

6. Utilice la analítica para mantener y controlar su ecosistema

Zero Trust se nutre de los datos, así que posicione a su equipo para maximizar la recopilación y el desglose de este valioso recurso. Prepárese para probar continuamente los sistemas y las redes para verificar el éxito de su iniciativa de Confianza Cero.

Reflexiones finales sobre la seguridad cero

Mantener la seguridad y la conformidad de nuestros sistemas y redes de información es más difícil y, al mismo tiempo, más importante que nunca. Los obstáculos son mayores y las trampas más costosas, pero las organizaciones apenas ven el perdón cuando tropiezan. Vivimos en un mundo móvil con nuevas líneas de batalla, donde la confianza equivale a la vulnerabilidad, y nadie está libre de sospecha.

En última instancia, sin perímetros claros que defender, fuerzas de trabajo remotas, datos dispersos y posibles ataques desde todas las direcciones, el modelo de seguridad "nunca confíes, siempre verifica" puede ser nuestra única esperanza. ¿Está su organización preparada para dar los siguientes pasos para garantizar la seguridad de sus sistemas de información, redes, clientes y futuro? Si es así, está preparado para Zero Trust.