¿Qué significa para tu seguridad usar un modelo Zero Trust?

Las amenazas de seguridad internas y el uso incorrecto de credenciales son un serio problema; los números hablan por sí mismos. De acuerdo al informe de SpyCloud de 2020 [1], la compañía recuperó la enorme cantidad de 1.500 millones de credenciales que fueron robadas a través de 854 infracciones (o intentos exitosos y no autorizados de ciberdelincuencia para llegar a las áreas de datos restringidas). 

Hablamos de un incremento del 33% respecto al año anterior. También existe el riesgo de que los usuarios con un acceso legítimo a la red quieran dañar o robar información a otros usuarios. Entonces, ¿cuál es la solución?

Aquí es donde entra el modelo Zero Trust. Este no hace distinción entre solicitudes internas o externas. De hecho, asegura que solo aquellos con acceso en un rango específico pueden acceder a cierto nivel de información. Esta es la razón del porqué las compañías están optando por este modelo de seguridad y aquí te presentamos lo que ofrece a las empresas.

¿Qué es un modelo Zero Trust?

mano cibernética a través de la pantalla del computadormano cibernética a través de la pantalla del computador
El modelo requiere una verificación de conexión interna y externa antes de que dé acceso al usuario. Se elimina el enfoque reactivo y asume que no hay un borde de red tradicional. Incluso, también asume como una amenaza las solicitudes hechas desde el firewall corporativo y solicita una verificación de cada petición. El término “zero trust model” fue propuesto por John Kindervag [2], un analista de Forrester Research y líder de confianza del sector.

¿Qué hace distinto al modelo Zero Trust?

A diferencia del modelo “trust but verify” (confía pero verifica), Zero Trust nunca confía y siempre verifica. Con modelos de seguridad previos, únicamente las solicitudes fuera de la red de confianza o firewall requerían autenticación. Zero Trust, sin embargo, asume cada solicitud como una potencial amenaza y por ende solicita una identificación completa, autorización y encriptación. 

Este modelo de seguridad rastrea los datos que utiliza a lo largo del proceso, los analiza y los pone a trabajar en tiempo real para identificar y, luego, responder a las amenazas activas. Este enfoque basado en el análisis ayuda a detener amenazas mientras suceden o nuevas que no han sido aún identificadas por softwares de seguridad u otras herramientas.

¿Por qué se creó Zero Trust?

Ahora más que nunca, nuestra información es compartida de manera remota. Antes el acceso general a la red era suficiente para un empleado, pero el trabajo remoto y la infraestructura basada en la nube requieren un acceso a la información desde el exterior del firewall de la compañía. La consecuencia del incremento de reparto de información sensible, se ve reflejada en estos nuevos riesgos e impedimentos. 

Las estadísticas respaldan la respuesta a la amenaza. Según Verizon, "más del 80% de las infracciones de hacking implican fuerza bruta o el uso de credenciales perdidas o robadas" [3].

¿Cuáles son los principios de Zero Trust?

candado en pantalla de computadorcandado en pantalla de computador

A medida que las empresas buscan formas de evitar que los usuarios con las contraseñas adecuadas (y las intenciones equivocadas) accedan a determinados sistemas, Zero Trust se convierte en un modelo atractivo.

Todos los buenos modelos de seguridad se basan en principios fundamentales. Los propios principios de Zero Trust son lo que lo hace tan diferente de los intentos previos. Aquí te presentamos los cuatro componentes centrales de este modelo.

1. Revisar todos los controles de acceso de usuarios por defecto

No hay fuentes confiables en este modelo, por ende cada uno es sospechoso hasta que se pruebe inofensivo. Cada solicitud se filtra por medio del proceso de autenticación, autorización y encriptación sin excepciones.

2. Impedir las solicitudes no autorizadas

Ser proactivo es el sello de calidad de Zero Trust. Esta aproximación incluye protección de identidad, descubrimiento de dispositivos y autenticación Multifactor (MFA). Cada solicitud recibe el menor privilegio de acceso o el menor nivel posible. Los usuarios pueden acceder únicamente para lo que necesitan, lo que limita daños en caso de una fuga de información. 

La microsegmentación es una forma de particionar la información de la red por medio de diferentes puntos de acceso, y asegura que una sola brecha se contenga y no vaya más allá de cada microsegmento. Al implementar esto u otras medidas de protección, puedes contribuir a mitigar el daño y evitar daños de gran alcance.

3. Usar monitorización en tiempo real

oficina de seguridad de hpoficina de seguridad de hp
En lugar de esperar reportes sobre qué es lo que pasó, Zero Trust confía en los datos en tiempo real para prevenirte de riesgos potenciales. Identifica agentes malintencionados de manera inmediata y los mitiga, reduciendo de manera eficiente el “tiempo de ruptura”. Esta es la brecha entre el momento en que se compromete la primera máquina y el momento en que se accede a otros sistemas. Saber cómo lidiar con cada tipo de brecha puede significar segundos vitales.

4. Crear una estrategia y adaptarse

La simple aproximación al modelo Zero Trust no arreglará las cosas por sí solas, pues se trata de una parte de toda una estrategia que incluye vigilancia y respuesta de los puntos finales. Como resultado, quizá necesites actualizar cualquier tecnología que sea obsoleta y que no se pueda nivelar con los modelos Zero Trust. 

Algunas tareas adicionales incluyen la instalación de parches y actualizaciones de firmware. Trabaja con tus proveedores para estar al tanto de las nuevas actualizaciones a medida que se vayan produciendo. Genera un plan de mantenimiento y actualización, y delega con antelación quién es el responsable de comunicar los parches, las actualizaciones u otras tareas de mantenimiento a los empleados que deben conocerlas.

Cómo usar Zero Trust

Saber todo sobre él y utilizar Zero Trust podría implicar mucho trabajo y una inversión significativa de parte de tu organización. Aun así, los expertos recomiendan el cambio a este tipo de seguridad. Sin importar que planees una estrategia de migración para este año o el siguiente, considera estos pasos.

1. Entender qué es

La arquitectura de Zero Trust no sirve como una solución que conectas y prendes, y que simplemente puedes comprar, descargar y usar con normalidad. Es necesario que todos los socios de la organización se involucren y se comprometan a hacer lo que sea necesario para conseguirlo.

Planea bien el proceso completo antes de unirte e infórmate bien sobre los costos que conlleva, incluyendo el tiempo y los recursos. También evalúa los sistemas heredados, dispositivos o soluciones para software que sean necesarios reemplazar.

2. Prever cómo puede afectar a los usuarios

Toma el tiempo para considerar qué significaría el cambio para tus empleados y clientes, y considera cómo cada cambio afectará a tu público. La constante verificación de autenticación puede ser algo cansada al principio, especialmente para aquellos que no entienden los beneficios. 

Da prioridad a las preocupaciones más importantes frente a las que puedan alejar a los clientes y no proporcionen beneficios óptimos. Después, genera una experiencia que emule el mismo aspecto y sensación de verificación y autenticación en el grueso de todas tus aplicaciones.

3. Escoger la infraestructura correcta

No hay una única solución para usar Zero Trust de manera óptima. Tanto la microsegmentación, los perímetros definidos por software (SDP) y los proxies tienen sus puntos fuertes, así que familiarízate con cada uno antes de tomar cualquier decisión.

  • La microsegmentación clasifica los activos, las aplicaciones y los usuarios en grupos, con un firewall entre ellos. Puede ser difícil de escalar, pero también existe de una forma u otra desde hace años, lo que significa que puede haber más documentación y ayuda disponible.
  • Un SDP permite a las empresas crear “túneles IP” a la carta que los usuarios atraviesan tras la autenticación y la verificación. Los usuarios ni siquiera ven fuera del perímetro de su red, pero mantener la seguridad puede ser difícil una vez que el túnel se abre.
  • Los proxies de Zero Trust combinan lo mejor de los dos métodos anteriores y añaden el análisis de la carga útil. Es una opción escalable que se puede desplegar de manera eventual.

4. Reforzar la verificación y la validación

Olvida lo que creas saber de seguridad. Con el acceso de red de Zero Trust, debes reexaminar las apps, los usuarios y los extremos. Esto mejorará las contraseñas y añadirá pasos de verificación para todos los usuarios, incluyendo a los proveedores, clientes, empleados y socios informáticos. 

Asimismo, debes añadir a este plan la verificación en dispositivos individuales, lo que puede obligarte a actualizar tus equipos por unos más seguros si son obsoletos y no pueden vincularse a los nuevos objetivos. Los dispositivos con jailbreak o los que se salten los parches o los requisitos de encriptación tampoco tendrán acceso a la red.

5. Prever los retos

Zero Trust no es una solución fácil y debes mantenerte alerta a medida que surjan nuevas amenazas. Te presentamos algunos obstáculos comunes y predecibles para la seguridad Zero Trust. 

  • El precio de actualización de las aplicaciones heredadas, los recursos de red y los protocolos de autenticación puede ser elevado, lo que puede dificultar la aceptación por parte de los líderes de la compañía.
  • No todos los grupos reguladores del sector han adoptado Zero Trust, por lo que es difícil cumplir con las mejores prácticas del sector y a la vez ser experto en métodos seguros.
  • El éxito de Zero Trust se mide por la ausencia de ataques o infracciones, lo que puede ser difícil cuantificar y vincular un retorno de inversión medible más que una métrica que existe -y por lo tanto es medible-.

Un cambio de mentalidad importante se produce gracias a Zero Trust. No todo el mundo estará preparado, pero llegará el momento en que este método se convierta en la norma. Si lo adoptas pronto, podrías estar a la vanguardia en tu sector.

Conclusión

mano con candado sobre tecladomano con candado sobre teclado

El modelo Zero Trust es un nuevo acercamiento a una seguridad que implica un cambio de mentalidad en todos los niveles de una organización. Considera que en el momento que tú y tus socios investiguen y desarrollen un nuevo plan, estarán a tiempo de marcar una diferencia. Aunque tengas la sensación de que te estás precipitando, migrar a Zero Trust es un cambio que motivará una temporada donde “confía, pero verifica”, no durará por mucho tiempo. 

Ponte en contacto con tu proveedor de servicios en la nube o de plataformas, o con el administrador de la red para obtener ideas sobre cómo avanzar en la seguridad de Zero Trust. Después de evaluar tus hábitos tecnológicos actuales y tus necesidades futuras, podrás crear un plan exclusivo para tu empresa y estarás preparado para mantener seguros tus dispositivos, aplicaciones y datos.

Referencias (en inglés):