¿Qué es la Zero Trust?

Zero Trust (ZT) es un objetivo y enfoque arquitectónico para la seguridad de la red que asume que cada transacción, entidad e identidad no son de confianza hasta que se establece la confianza y se mantiene a lo largo del tiempo. Las estrategias de Zero Trust contrastan con la visión heredada de que una red es segura a menos que los sistemas de seguridad identifiquen una filtración.

Seguridad más allá de los límites

A lo largo de la última década las empresas se han vuelto cada vez más digitales. Ahora incluyen arquitectura de nube, incorporan más trabajo a distancia y han añadido soluciones como servicio entre otros cambios transformadores. Los equipos de seguridad han escalado la seguridad de la red correspondientemente, a menudo fortaleciendo las medidas de seguridad segmentando la red en zonas más pequeñas.

Desafortunadamente, esta estrategia creó más oportunidades para los atacantes. Cuando los atacantes acceden a la información de inicio de sesión del usuario, pueden moverse lateralmente por la red, propagando el ransomware y añadiendo privilegios a medida que avanzan.

La autenticación multifactor (MFA) mejoró la fortaleza de las credenciales, pero añadió solo una capa extra de autenticación. Una vez dentro, los hackers siguen teniendo acceso hasta que cierran sesión o el sistema les cierra la sesión.

Las nuevas formas de trabajo, incluidas la de «Traiga su propio dispositivo (Bring Your Own Device, BYOD), el trabajo remoto y la arquitectura de la nube añadieron un nuevo conjunto de vulnerabilidades. Pero incluso las nuevas y más potentes protecciones de seguridad con mayor visibilidad terminan en los límites de la red empresarial y más allá de ellos, no ven nada.

Modelo de seguridad de Zero Trust

El enfoque de Zero Trust con la ciberseguridad da un giro al viejo paradigma. La ciberseguridad ya no se define por los segmentos de red o en una demarcación de red empresarial. La confianza no se concede con base en si una empresa o individuo posee una conexión o activo. Tampoco se concede con base en la ubicación de la red o física: red de área local o internet.

En su lugar, la confianza cero se centra en los recursos, usuarios y activos individualmente, sin importar quién los posee ni dónde están localizados. La autenticación se realiza de forma individual para un recurso empresarial antes de que se le conceda acceso a un usuario.

El objetivo final es no confiar en ningún elemento de la red hasta que este se haya verificado.

Estándares de Zero Trust

El resumen de los estándares y las certificaciones de confianza cero es que no existe ninguno. El National Institute of Standards and Technology (NIST), fundado en 1901 y ahora parte del Departamento de comercio de los EE. UU. proporciona tecnología, medición e información de estándares para los EE. UU. Su objetivo es aumentar la competitividad de la tecnología.

El NIST crea estándares de comunicaciones, tecnología y prácticas de ciberseguridad. El grupo aún no ha creado estándares o certificaciones para la confianza cero, pero creó una Publicación especial (Special Publication, SP) analizando los objetivos de la arquitectura de confianza cero.

El resumen del documento describe la confianza cero de este modo: «Confianza cero es un término acuñado a un conjunto de paradigmas de ciberseguridad en evolución que traslada las defensas desde el modelo estático de perímetros basados en la red para centrarse en usuarios, activos y recursos». El documento continúa describiendo el enfoque de confianza cero en profundidad.

Confusión sobre Zero Trust

Hay cierta confusión en el mundo de la ciberseguridad acerca de lo que es ZT. Algunos proveedores se aprovechan de esta confusión para vender productos etiquetados como «Productos de ZT». Para aquellas personas desinformadas, esto puede conducirles al malentendido de que la ZT se basa en productos.

La confianza cero no se trata acerca de productos específicos, aunque hay productos nuevos y heredados que pueden ser bloques fundamentales para la arquitectura ZT. La confianza cero es un enfoque revolucionario para la ciberseguridad. Se apoya firmemente en la realidad de cómo las organizaciones y los trabajadores se conectan y trabajan en la actualidad.

De camino hacia la Zero Trust

Si una empresa está creando su infraestructura desde cero, es posible y quizás más sencillo, identificar los flujos de trabajo esenciales y los componentes, y crear una estructura puramente ZT. A medida que la empresa y la infraestructura cambia, el crecimiento puede continuar adhiriéndose a los principios de ZT a largo plazo.

En la práctica, la mayoría de las implementaciones de ZT serán un proceso. Las organizaciones permanecerán en cierto equilibrio de ZT y la seguridad basada en perímetro durante un tiempo, implementando gradualmente las iniciativas de modernización.

Es probable que la arquitectura ZT completamente establecida lleve varios años y que abarque un número discreto de proyectos antes de lograr el objetivo final ZT. Sin embargo, nunca hay una «llegada» a ZT. Se trata de continuar implementando y aplicando la estrategia ZT o a lo largo del tiempo, teniendo en cuenta los futuros cambios infraestructurales y empresariales.

El desarrollo de un plan de acción con antelación puede fragmentar el proceso en pequeñas piezas y lograr el éxito con el tiempo. Comenzar con un exhaustivo catálogo de sujetos, procesos empresariales, flujos de tráfico y mapas de dependencia le prepara para abordar los sujetos, activos y procesos empresariales dirigidos.

De camino hacia Zero Trust

Si una empresa está creando su infraestructura desde cero, es posible y quizás más sencillo, identificar los flujos de trabajo esenciales y los componentes, y crear una estructura puramente ZT. A medida que la empresa y la infraestructura cambia, el crecimiento puede continuar adhiriéndose a los principios de ZT a largo plazo.

En la práctica, la mayoría de las implementaciones de ZT serán un proceso. Las organizaciones permanecerán en cierto equilibrio de ZT y la seguridad basada en perímetro durante un tiempo, implementando gradualmente las iniciativas de modernización.

Es probable que la arquitectura ZT completamente establecida lleve varios años y que abarque un número discreto de proyectos antes de lograr el objetivo final ZT. Sin embargo, nunca hay una «llegada» a ZT. Se trata de continuar implementando y aplicando la estrategia ZT o a lo largo del tiempo, teniendo en cuenta los futuros cambios infraestructurales y empresariales.

El desarrollo de un plan de acción con antelación puede fragmentar el proceso en pequeñas piezas y lograr el éxito con el tiempo. Comenzar con un exhaustivo catálogo de sujetos, procesos empresariales, flujos de tráfico y mapas de dependencia le prepara para abordar los sujetos, activos y procesos empresariales dirigidos.

Principios de la confianza cero

La arquitectura de confianza cero es un objetivo y un enfoque que lleva tiempo y atención implementar. No se trata de una instalación de una sola vez que puede implementar y pasar a la siguiente. Es una filosofía de ciberseguridad que se basa en cuatro principios fundamentales. Un principio específico puede confiar en una técnica de seguridad en particular como la MFA para la identidad, pero la técnica utilizada a lo largo del tiempo puede cambiar.

Hay tres funciones básicas que subyacen en el enfoque de confianza cero.

  • Postura: en una seguridad basada en perímetro anterior a la confianza cero, la verificación de la identidad rara vez era blanca o negra, segura o no segura. El enfoque de confianza cero significa evaluar las identidades, dispositivos, aplicaciones y usos de datos en busca de posibles y graves riesgos. La postura es cualitativa y observa el panorama completo.
  • Evaluación continua: el enfoque de confianza cero es evaluar constantemente todas las transacciones. Un enfoque anterior, el control de admisión de red (Network Admission Control, NAC) tenía un grado de esta cualidad, pero era un solo punto crítico, verificaba un número pequeño de criterios y, a continuación, concedía confianza. La arquitectura de confianza cero considera cada intento de acceso como un punto crítico.
  • Compromiso asumido: los equipos del centro de operaciones de seguridad (Security Operations Center, SOC) a menudo operan en una política de «verificar y, a continuación, confiar». Es el supuesto de que todo está bien hasta que el sistema de seguridad emite una alerta. La confianza cero comienza con la asunción de que nada es seguro y de que nada debe proceder hasta que todo esté claro.

El viaje de la confianza cero

La confianza cero se debe implementar progresivamente y se debe aplicar de forma continua. No es un reemplazo completo ni una implementación de una sola vez que tiene lugar para toda la vida de la red. Es un proceso gradual de varios proyectos y varios años que implica diversos aspectos de la red y de que necesitará una constante evaluación a medida que cambian las amenazas, la tecnología y los hábitos de trabajo.

La forma en la que su organización implemente el enfoque de confianza cero depende de su operación. Sus activos más valiosos son un buen punto de partida.

El viaje de la confianza cero incluye cuatro componentes:

  • Gestión de acceso e identidad (IAM): los usuarios desean un inicio de sesión único y los administradores desean una administración de usuarios consolidada. Para que un proyecto de IAM tenga éxito, tiene que equilibrar la necesidad de la organización para la seguridad con disponibilidad, usabilidad y rentabilidad. Comienza con el diseño de qué usuarios necesitan acceso a qué recursos y añade MFA si el recurso es especialmente sensible.
  • Gestión de acceso privilegiado (PAM): para los recursos más sensibles, una herramienta de PAM como CiberArk, BeyonTrust o Thycotic añade un nivel adicional de seguridad. Esto aumenta la seguridad y añade visibilidad.
  • Contraseñas: la filosofía de contraseña cambia con el tiempo. El NIST ha publicado recientemente unas directrices. Con base en sus análisis, recomiendan contraseñas largas utilizando palabras familiares de un grupo de caracteres aleatorios que sea difícil de recordar. Además, los agentes maliciosos utilizan contraseñas comprometidas rápidamente y la opinión del NIST es que el cambio de contraseña cada 90 días no disminuye el riesgo, cosa que sí hace el MFA.
  • Supervisión continua: defina las políticas de acceso de su organización para el acceso, ya sea se basen en tiempo, solicitudes de nuevos recursos, modificaciones de recursos o anomalías. La autenticación y la autorización se deben aplicar estrictamente antes de conceder acceso.

Solución Zero Trust de Trend Micro

Comience con base sólida de arquitectura de confianza cero en consonancia con las mejores prácticas de la industria.

Investigaciones relacionadas

Artículos relacionados