No des nada por supuesto, no confíes en nada ni nadie; esta es la consigna del Zero Trust o confianza cero, un modelo de ciberseguridad que consiste en eliminar completamente la confianza de la ecuación.
Adiós al perímetro
Hasta hace bien poco, en los modelos de seguridad, siempre se había buscado generar un entorno definido por un perímetro donde se protegía el interior de la red de un exterior lleno de potenciales amenazas, dando por hecho que todo lo que estaba dentro de ese perímetro o red era considerado de confianza de forma predeterminada.
Hoy en día y en el contexto actual, las formas convencionales de asegurar el acceso a la red corporativa, a las aplicaciones y a los datos ya no son adecuadas. Con una fuerza de trabajo cada vez más dispersa, los límites del perímetro se amplían, ya no hay un red contenida o definida para proteger y los datos críticos de la empresa se sitúan fuera del cortafuegos corporativo. Así que, en vez de asumir que tu organización está a salvo detrás de un firewall, es necesario considerar que habrá una brecha de seguridad, ya sea con intenciones maliciosas o por descuido.
Además, los ciberataques están incrementando día a día con más virulencia que nunca, con más impacto para las empresas y con rescates cada vez más millonarios ¿Qué podemos hacer ante esta situación cada vez más compleja?
«La seguridad tradicional basada en el perímetro no puede seguir el ritmo de la complejidad del trabajo híbrido y de la proliferación de los múltiples dispositivos desde los que acceden los usuarios»
La solución: Zero Trust
El modelo Zero trust es el mejor enfoque defensivo que puede tomar tu organización. Con este modelo, todos los usuarios y dispositivos se clasifican como no fiables por principio. El acceso a la red y a todos los servicios y recursos no se concede hasta que la persona que lo solicita pueda verificar su identidad o su dispositivo mediante una autenticación multifactor.
Zero Trust adopta tres principios clave:
- Verificar: De forma explícita, autenticando y autorizando continuamente el acceso. El hecho de que, por ejemplo, tengamos un nombre de usuario y contraseña no prueba que seamos el usuario al que pertenecen esas credenciales. Por ese motivo, se debe verificar siempre cada solicitud de acceso a un recurso de la organización.
- Acceso con privilegios mínimos: Limitar el acceso de los usuarios otorgando los privilegios mínimos para trabajar y cumplir su función.
- Asumir la brecha: Con esta estrategia se asume que puede haber atacantes tanto dentro de nuestra red como fuera de ella y que se va a producir un ataque. Por ese motivo, no se debe confiar de forma predeterminada en ningún usuario o dispositivo.
Con Zero Trust siempre sabes quién, qué, cuándo, dónde y cómo alguien está intentando acceder a recursos y aplicaciones corporativas, proporcionando a IT la información que necesita para evaluar adecuadamente el riesgo y limitar los accesos.
Zero Trust a través de los activos digitales de la empresa
El enfoque Zero Trust debe extenderse en todo el entorno digital y funcionar como una filosofía de seguridad integrada de principio a fin. El siguiente diagrama muestra cómo implementar esta metodología:
Este sistema, a través de la evaluación continua del riesgo y un motor de validación en tiempo real de directivas de seguridad en su núcleo, ofrece protección mediante el análisis de señales e inteligencia de amenazas, garantizando que se verifiquen y autentiquen identidades y que los dispositivos estén seguros antes de otorgar acceso a los datos, aplicaciones, infraestructura y redes. Asimismo, la visibilidad, el análisis, la automatización y la remediación se aplican de forma continua e integral.
Ahora que ya sabemos cómo trabaja esta metodología, vamos a entrar en detalle en cada una de las áreas a proteger:
Identidad: Verificar y asegurar cada identidad con autenticación sólida
Las identidades, ya sea que representen a personas, servicios o dispositivos, definen el centro de la estrategia y control del Zero Trust. Con este modelo se asume que todos los usuarios no son de confianza, de manera que se requiere confirmar y autenticar la identidad no solo para asegurar el primer acceso a la plataforma y la información que contiene, sino en cada nuevo nivel de acceso, de manera que solo se concede los privilegios suficientes para realizar un trabajo o tarea determinados.
Antes de que una identidad intente acceder a un recurso, la organización debe:
- Verificar la identidad con una autenticación sólida. Hoy en día es fundamental que todas las cuentas estén protegidas con doble factor de autenticación (MFA). Asimismo, si utilizamos una identidad unificada (misma identidad para todas las aplicaciones), estableceremos una estrategia de seguridad mucho más sencilla y robusta.
- Asegurarse de que el acceso sea compatible y habitual para esa identidad, mediante la inteligencia de analítica con machine learning, que analiza y aprende de los comportamientos de los usuarios creando un patrón de normalidad que ayuda a detectar rápidamente cualquier comportamiento inusual del usuario.
- Seguir los principios de acceso con privilegios mínimos que hemos mencionado anteriormente.
Al adoptar esta estrategia de seguridad, las empresas pueden adaptarse más fácilmente a los cambios; por ejemplo, al retirar privilegios de acceso a los empleados que se marchan o al ajustar los privilegios de aquellos cuyas responsabilidades han cambiado.
Dispositivos: Permitir que solo los dispositivos de confianza accedan a los recursos de la empresa
Una vez que a una identidad se le ha otorgado acceso a un recurso, los datos pueden distribuirse a una variedad de dispositivos diferentes, desde dispositivos IoT a teléfonos inteligentes, BYOD a dispositivos administrados y cargas de trabajo locales a servidores alojados en la nube. Esta diversidad crea una superficie de ataque muy amplia que requiere que verifiquemos continuamente el estado de salud desde el punto de vista de cumplimiento de políticas corporativas.
Hay algunas reglas clave para proteger dispositivos en un modelo Zero Trust:
- La plataforma, así como las aplicaciones que se ejecutan en los dispositivos, se aprovisionan de forma segura, se configuran correctamente y se mantienen actualizadas.
- Existe una respuesta rápida y automatizada para contener el acceso a los datos corporativos en caso de que la seguridad de un dispositivo se vea comprometida.
- El sistema de control de acceso asegura que todos los controles de políticas estén en vigor antes de que se acceda a los datos.
Aplicaciones: Garantizar que las aplicaciones estén siempre disponibles, visibles y seguras
Las aplicaciones proporcionan la interfaz mediante la cual se consumen los datos por lo que deben aplicarse políticas de control para:
- Descubrir el uso de aplicaciones de los usuarios no aprobadas por IT (Shadow IT)
- Garantizar los permisos adecuados de acceso.
- Monitorizar y detectar comportamientos inusuales.
- Controlar las acciones de los usuarios.
- Validar las opciones de configuración segura.
Datos: Proteger los datos confidenciales dondequiera que estén ubicados o viajen
La protección de los datos es una de las principales responsabilidades de los equipos de seguridad y cumplimiento. Los datos deben permanecer protegidos mientras están en reposo, en uso y cuando salen de los dispositivos, las aplicaciones, la infraestructura y las redes que están bajo el control de la organización. Para garantizar la protección y que el acceso a los datos esté restringido a los usuarios autorizados, los datos deben:
- Inventariarse y clasificarse
- Etiquetarse y aplicar acceso restringido en función de los atributos.
- Cifrarse
Cuando los datos y el contenido sensible se controlan mediante las herramientas adecuadas, las organizaciones pueden:
- Informar y hacer cumplir las decisiones de políticas para bloquear o eliminar correos electrónicos, archivos adjuntos o documentos.
- Cifrar archivos con etiquetas de confidencialidad en los dispositivos.
- Clasificar automáticamente el contenido con etiquetas de confidencialidad mediante políticas y aprendizaje automático.
- Rastrear y monitorizar el contenido sensible usando políticas a medida que el contenido viaja dentro y fuera de su entorno digital.
Infraestructura: Fortalecer las defensas para detectar y responder a las amenazas en tiempo real
La infraestructura (ya sean servidores locales, máquinas virtuales basadas en la nube, contenedores o microservicios) representan un vector de amenaza crítica. La seguridad moderna con una estrategia de confianza cero de un extremo a otro, facilita:
- Emplear privilegios administrativos Just-In-Time y Just-Enough-Access (JIT / JEA) para fortalecer las defensas.
- Utilizar la telemetría para detectar ataques y anomalías.
- Bloquear y marcar automáticamente el comportamiento de riesgo y tomar medidas de protección.
Red: Ir más allá de los enfoques tradicionales de seguridad de red
En última instancia, se accede a los datos a través de la infraestructura de red. En lugar de creer que todo lo que está detrás del firewall corporativo es seguro, una estrategia de Zero Trust supone que las infracciones son inevitables. Eso significa que debes verificar cada solicitud como si se originara en una red no controlada; como ya hemos comentado antes, la administración de identidad juega un papel crucial en esto.
En el modelo Zero Trust, hay tres objetivos clave cuando se trata de proteger la red:
- Aplicar controles críticos para mejorar la visibilidad y evitar que los atacantes se muevan lateralmente a través de la red.
- Estar preparado para detectar los ataques antes de que sucedan y minimizar la extensión del daño y la rapidez con que se propaga, en caso de un ataque.
- Emplear protección, cifrado de extremo a extremo, monitorización y análisis.
- Las redes deben estar segmentadas (incluida la microsegmentación más profunda dentro de la red)
¿Cómo ayudan las soluciones de Microsoft?
Para tener éxito, Zero Trust depende en gran medida de la integración e interpretación de señales; el entorno debe estar conectado para poder proporcionar las señales necesarias para tomar decisiones y ofrecer cobertura extremo a extremo. Los ataques pueden llegar desde cualquier parte; desde el exterior, pero también desde dentro, por lo que es imprescindible contar con un sistema de seguridad transversal que pueda moverse de arriba a abajo y de izquierda a derecha.
En este sentido, Microsoft considera la estrategia Zero Trust como la piedra angular de la protección eficaz y cuenta con un elemento diferencial frente a otros fabricantes de soluciones de seguridad puesto que es la única empresa que considera la identidad, gestión de dispositivos, infraestructura de datos en la nube y la defensa contra ataques modernos como un todo, ofreciendo soluciones integradas y conectadas que se extienden por todos los puntos clave de la ciberseguridad:
- Identidades: A través de Microsoft Defender for Identity (anteriormente Azure Advanced Threat Protection) y Azure Active Directory que administran y protegen identidades híbridas, y simplifica el acceso de empleados. Microsoft defender for Identity usa señales de Active Directory para identificar, detectar e investigar amenazas avanzadas, identidades en peligro y acciones indirectas dañinas dirigidas a la organización.
- Dispositivos: A través de Microsoft Defender for Endpoint (anteriormente Microsoft Defender Advanced Threat Protection), una solución que combina la tecnología de Windows 10 y el servicio en la nube de Azure para ofrecer a las empresas protección preventiva, detección posterior a la infracción, investigación automatizada y respuesta frente amenazas avanzadas en sus redes.
- Datos: A través de Microsoft Defender for Office 365 (anteriormente Office 365 Advanced Threat Protection), protege a tu organización frente a amenazas malintencionadas que plantean mensajes de correo electrónico, vínculos (URL), documentos y herramientas de colaboración. Asimismo, a través de Microsoft Information Protection, puedes clasificar, etiquetar y proteger documentos y correos electrónicos en el momento que se crean o se modifican.
- Aplicaciones: A través de Microsoft Cloud App Security, una solución completa de SaaS que proporciona a los departamentos IT visibilidad y control sobre las aplicaciones en la nube que usan los usuarios de tu organización (las permitidas y las no permitidas).
- Infraestructura: A través de Azure Defender, una evolución de Azure Security Center con capacidades de protección contra amenazas para proteger infraestructuras allí donde estén, incluyendo máquinas virtuales, bases de datos, contenedores, IoT y mucho más, tanto si se alojan en la nube híbrida (Azure y/o otras nubes) como si todavía residen en un datacenter clásico on-premise.
Un proyecto a largo plazo en el que Softeng puede ayudarte
Si bien el modelo Zero Trust es más eficaz cuando se integra en todo el entorno, implementarlo es un viaje gradual que requiere planificar y ejecutar correctamente para que el impacto en la experiencia del usuario sea mínimo.
La mayoría de las empresas valoran positivamente un enfoque por fases debido a la complejidad de este viaje, con un acompañamiento experto y aquí es donde Softeng puede ayudarte, ofreciéndote nuestra experiencia y conocimientos para ayudarte a implantar paulatinamente el modelo de Zero Trust.
¿Quieres saber más? Contacta con nosotros.