Zero Trust: una cuestión de confianza para un mundo sin perímetros
El acercamiento clásico de seguridad corporativa se ha basado, tradicionalmente, en tres factores: que todos los dispositivos usados para acceder a los recursos son de la compañía, que todos los usuarios, equipos y aplicaciones están en un lugar concreto y predecible, y que todos los sistemas corporativos pueden confiar los unos en los otros. Sin embargo, con el paso de los años, sabemos que esta aproximación no es suficiente. El aumento del trabajo remoto, la deslocalización de los usuarios, aumentode aplicaciones cloud o el incremento de la colaboración son solo algunos de los ingredientes que hacen necesario otro enfoque, otro modelo de seguridad.
La línea invisible que dibujamos entre lo que pertenece a la empresa y lo que no (servidores, escritorios, aplicaciones o accesos), tradicionalmente dependía de tecnologías que protegen la red o el dispositivo.
Pero no hay más que ver algunos de los últimos casos de ciberataques e incidentes de seguridad que han afectado a todo tipo de empresas para darse cuenta de que esto no es suficiente.
El perímetro es cada vez más difuso, a veces incluso inexistente, por eso debemos pensar en él como cualquier lugar donde se pueda realizar una decisión de control de acceso. Esta es una de las bases del modelo Zero Trust, que hace que nos cuestionemos nuestras decisiones cada vez que hay un intento de acceso.
Esta filosofía se construye sobre otros fundamentos, como son la relevancia de la visibilidad y la información para producir políticas de seguridad, tener en cuenta que propiedad no es sinónimo de control o que las decisiones de acceso están basadas en restablecer la confianza una y otra vez.
Adicionalmente, la implementación de este modelo hace que la seguridad sea transparente para el usuario que usa la tecnología, además de aportar simplicidad, minimizando los esfuerzos mediante automatización, orquestación e integración.
El modelo Zero Trust permite obtener una mayor visibilidad a través de los usuarios, dispositivos, contenedores, redes y aplicaciones, porque se verifica el estado de seguridad en cada solicitud de acceso.
De esta forma se logra reducir la superficie de ataque de la organización, segmentando los recursos y garantizando solamente los permisos y el tráfico necesario.
En definitiva, hacérselo más difícil a los atacantes para que no obtengan lo que están buscando: credenciales, accesos, moverse lateralmente a través de los sistemas…
Los usuarios pueden lograr una experiencia más productiva y segura sin importar dónde estén físicamente, qué dispositivos están usando o qué aplicaciones se encuentran on-premise o en la nube.
La seguridad absoluta siempre ha sido un objetivo imposible, pero necesitamos adoptar nuevos framework que realmente minimicen los riesgos. Vivimos en un mundo transformado por la digitalización, que ha creado un entorno dinámico. Hay que tener estos factores en cuenta.
De hecho, en el último informe “Global Threat Intelligence Report 2021” de NTT, se señala que se ha detectado un incremento del 300% de los ataques dirigidos por los distintos sectores, debido en gran medida al proceso de digitalización de las empresas, el teletrabajo y los accesos remotos.
Verificar y seguir verificando
En este contexto, la rápida digitalización ha incrementado asimismo esa superficie de ataque susceptible a ciberataques. La rápida adopción de servicios y aplicaciones en la nube también influye en el tipo de ataques y explotaciones de vulnerabilidades que se van a ir viendo.
Los ataques de phishing, por ejemplo, han explotado tradicionalmente una de las vulnerabilidades de las empresas: el comportamiento humano.
El aumento de los ataques de phishing ha sido significativo durante los últimos meses y años, así como ataques de ransomware a través del dispositivo de un usuario, que no ha percibido que ha descargado malware de un adjunto en un correo electrónico o un enlace.
Un riesgo que ha seguido (y seguirá) aumentando con el escalado de este tipo de servicios a través de conexiones desde múltiples lugares.
El objetivo para las empresas es seguir concienciando en estas materias a los empleados, al mismo tiempo que se proveen soluciones de seguridad que prevengan este tipo de incidentes.
Y es que, otro de los principales retos es que sin detección temprana, visibilidad o verificación continua, una vez que un atacante ha logrado acceder, estamos asumiendo que podemos confiar en él.
En este entorno, los atacantes sofisticados tienen tiempo para planificar ataques más peligrosos. En este panorama, es vital que se aplique un modelo de verificación continua.
Protegiendo los accesos
¿Es el usuario quien dice ser? ¿Tiene acceso a las aplicaciones correctas? ¿Es seguro este dispositivo? ¿Es confiable? Los equipos de seguridad de las organizaciones deben poder responder a estas y otras preguntas para establecer confianza y permitir el acceso a los recursos corporativos. Pero además de esto, necesitan hacerlo usando un acercamiento que equilibre la seguridad y la usabilidad.
En este aspecto, es interesante considerar ciertos elementos en el proceso de implementación del modelo Zero Trust para asegurar a los empleados.
Zero Trust y seguridad por diseño
Manteniendo la confianza en su sitio, se elimina mucha incertidumbre a la hora de proteger la infraestructura de todas las potenciales amenazas, incluyendo todos los dispositivos móviles. Un aspecto vital a tener en cuenta. De hecho, en el último CISO Benchmark Study de Cisco se destaca que más del 52% de las empresas admiten que los dispositivos móviles son extremadamente difíciles de proteger.
Zero Trust es un modelo pragmático y con futuro que puede ayudar a desarrollar una seguridad efectiva en toda la arquitectura: desde la fuerza de trabajo, cargas de trabajo y en cualquier lugar.
Un modelo que encaja a la perfección, y que debería ser implementado, adoptando asimismo un acercamiento de seguridad por diseño. incluyendo la seguridad como un elemento fundamental desde la base en todos los procesos.