El modelo de confianza cero gana fuerza con los expertos en seguridad

"Nunca confíes; siempre verifica". Suena a sentido común, ¿verdad? Ese es el lema detrás de una estrategia llamada Zero Trust, que está ganando terreno en el mundo de la ciberseguridad. Se trata de un departamento de TI que verifica a todos los usuarios antes de otorgar privilegios de acceso. Administrar de manera efectiva el acceso a las cuentas es más importante que nunca, ya que el 58 por ciento de las pequeñas y medianas empresas (PYMES) reportaron violaciones de datos en 2017, según el Informe de investigación de violación de datos de Verizon 2018.

El concepto Zero Trust fue fundado por John Kindervag, ex analista de Forrester Research y ahora CTO de campo en Palo Alto Networks. "Necesitamos comenzar a hacer una estrategia real, y eso es lo que Zero Trust permite", dijo Kindervag a la audiencia el 30 de octubre en la Cumbre SecurIT Zero Trust en la ciudad de Nueva York. Agregó que la idea de Zero Trust se originó cuando se sentó y realmente consideró el concepto de confianza, y cómo son los actores maliciosos los que generalmente se benefician de las compañías que confían en las partes que no deberían.

El Dr. Chase Cunningham se convirtió en el sucesor de Kindervag como analista principal en Forrester al defender un enfoque de acceso de confianza cero. "Zero Trust es lo que implica esas dos palabras, lo que significa no confiar en nada, no confiar en la administración de contraseñas, no confiar en las credenciales, no confiar en los usuarios y no confiar en la red", dijo Cunningham a PCMag en Zero Trust Cumbre.

Kindervag utilizó el ejemplo del Servicio Secreto de los EE. UU. Para ilustrar cómo una organización debe realizar un seguimiento de lo que necesita proteger y quién necesita acceso. "Continuamente monitorean y actualizan esos controles para que puedan controlar lo que transita el micro perímetro en cualquier momento", dijo Kindervag. "Este es un método de protección ejecutiva de Zero Trust. Es el mejor ejemplo visual de lo que estamos tratando de hacer en Zero Trust".

Lecciones de confianza cero aprendidas en OPM

Un ejemplo perfecto de cómo Zero Trust puede funcionar para beneficiar a las organizaciones provino del ex CIO del gobierno federal de los Estados Unidos. En la Cumbre Zero Trust, el Dr. Tony Scott, quien ocupó la oficina del CIO de EE. UU. Desde 2015 hasta 2017, describió una violación importante de datos que ocurrió en la Oficina de Administración de Personal (OPM) de EE. UU. En 2014. La violación se produjo debido a espionaje extranjero en el que se robaron información personal y antecedentes de autorización de seguridad para 22.1 millones de personas junto con datos de huellas digitales de 5.6 millones de personas. Scott describió cómo no solo habría sido necesaria una combinación de seguridad física y digital para evitar esta violación, sino también una aplicación efectiva de la política de Zero Trust.

Cuando las personas solicitaban un trabajo en la OPM, completaban un exhaustivo cuestionario del Formulario Estándar (SF) 86, y los datos serían guardados en una cueva por guardias armados y tanques, dijo. "Si fueras una entidad extranjera y quisieras robar esa información, tendrías que abrir una brecha en esta cueva en Pensilvania y pasar a los guardias armados. Entonces tendrías que irte con camiones cargados de papel o tener una máquina Xerox muy rápida o algo así. ", Dijo Scott.

"Hubiera sido monumental tratar de escapar con 21 millones de registros", continuó. "Pero lentamente, a medida que la automatización entró en el proceso OPM, comenzamos a poner estas cosas en archivos de computadora en medios magnéticos, y así sucesivamente. Eso hizo que sea mucho más fácil robar". Scott explicó que la OPM no pudo encontrar el tipo equivalente de seguridad efectiva que los guardias armados cuando la agencia se volvió digital. Después del ataque, el Congreso publicó un informe que pedía una estrategia de Zero Trust para proteger este tipo de violaciones en el futuro.

"Para combatir las amenazas persistentes avanzadas que buscan comprometer o explotar las redes de TI del gobierno federal, las agencias deben avanzar hacia un modelo de arquitectura de TI y seguridad de la información 'Cero Confianza'", indicó el informe del Congreso. El ex representante estadounidense Jason Chaffetz (R-Utah), entonces presidente del Comité de Supervisión, también escribió una publicación sobre Zero Trust en ese momento, originalmente publicada por Federal News Radio. "La Oficina de Administración y Presupuesto (OMB) debería desarrollar pautas para que los departamentos ejecutivos y los jefes de agencias implementen Zero Trust de manera efectiva junto con medidas para visualizar y registrar todo el tráfico de red", escribió Chaffetz.

Cero confianza en el mundo real

En un ejemplo del mundo real de una implementación de Zero Trust, Google implementó internamente una iniciativa llamada BeyondCorp destinada a mover los controles de acceso desde el perímetro de la red a dispositivos y usuarios individuales. Los administradores pueden usar BeyondCorp como una forma de crear políticas de control de acceso granulares para Google Cloud Platform y Google G Suite basadas en la dirección IP, el estado de seguridad del dispositivo y la identidad de un usuario. Una compañía llamada Luminate proporciona seguridad Zero Trust como un servicio basado en BeyondCorp. Luminate Secure Access Cloud autentica a los usuarios, valida los dispositivos y ofrece un motor que proporciona un puntaje de riesgo que autoriza el acceso a la aplicación.

"Nuestro objetivo es proporcionar acceso de forma segura a cualquier usuario, desde cualquier dispositivo, a cualquier recurso corporativo, independientemente de dónde esté alojado, en la nube o en las instalaciones sin desplegar ningún agente en el punto final o cualquier dispositivo como redes privadas virtuales (VPN), cortafuegos o servidores proxy en el sitio de destino ", dijo Michael Dubinsky, jefe de gestión de productos en Luminate, a PCMag en la Conferencia de Protección de Identidad Híbrida (HIP) 2018 (HIP2018) en Nueva York.

Una disciplina clave de TI en la que Zero Trust está ganando terreno es la gestión de identidad. Eso es probable porque el 80 por ciento de las infracciones son causadas por el mal uso de credenciales privilegiadas, según el informe "Forrester Wave: Privileged Identity Management, Q3 2016". Los sistemas que controlan el acceso autorizado a un grado más granular pueden ayudar a prevenir estos incidentes.

El espacio de administración de identidades no es nuevo, y hay una larga lista de compañías que ofrecen tales soluciones, siendo probablemente la más generalizada Microsoft y su plataforma Active Directory (AD), que está integrada en el todavía conocido sistema operativo Windows Server (OS). Sin embargo, hay una gran cantidad de jugadores más nuevos que pueden ofrecer no solo más funcionalidad que AD, sino que también pueden facilitar la implementación y el mantenimiento de la administración de identidades. Dichas compañías incluyen jugadores como Centrify, Idaptive, Okta y SailPoint Technologies.

Y si bien aquellos que ya han invertido en Windows Server pueden negarse a pagar más por la tecnología que sienten que ya han invertido, una arquitectura de administración de identidad más profunda y mejor mantenida puede generar grandes dividendos en incumplimientos frustrados y auditorías de cumplimiento. Además, el costo no es prohibitivo, aunque puede ser significativo. Por ejemplo, Centrify Infrastructure Services comienza en $ 22 por mes por sistema.

Cómo funciona la confianza cero

"Una de las cosas que hace Zero Trust es definir la segmentación de la red", dijo Kindervag. La segmentación es un concepto clave tanto en la gestión de redes como en la ciberseguridad. Implica dividir una red informática en subredes, ya sea lógica o físicamente, para mejorar el rendimiento y la seguridad.

Una arquitectura de confianza cero va más allá de un modelo perimetral, que abarca la ubicación física de una red. Implica "empujar el perímetro hacia la entidad", dijo Cunningham.

"La entidad podría ser un servidor, un usuario, un dispositivo o un punto de acceso", dijo. "Empujas los controles al nivel micro en lugar de pensar que has construido un muro realmente alto y que estás a salvo". Cunningham describió un firewall como parte de un perímetro típico. "Es un problema de enfoque, estrategia y perímetro", señaló. "Los altos muros y la gran cosa: simplemente no funcionan".

Para obtener acceso a una red, un viejo aspecto de la seguridad era usar enrutadores, según Danny Kibel, el nuevo CEO de Idaptive, una compañía de gestión de identidad que se está separando de Centrify. Antes de Zero Trust, las compañías verificarían y luego confiarían. Pero con Zero Trust, "siempre verificas, nunca confías", explicó Kibel.

Idaptive ofrece una plataforma de acceso de próxima generación que incluye inicio de sesión único (SSO), autenticación multifactor adaptativa (MFA) y gestión de dispositivos móviles (MDM). Servicios como Idaptive proporcionan una forma de crear los controles necesariamente granulares sobre el acceso. Puede aprovisionar o cancelar el aprovisionamiento en función de quién necesita acceder a varias aplicaciones. "Le da a la organización esa capacidad específica para controlar su acceso", dijo Kibel. "Y eso es muy importante para las organizaciones que estamos viendo porque hay mucha expansión en términos de acceso no autorizado".

Kibel definió el enfoque de Idaptive para Zero Trust con tres pasos: verificar al usuario, verificar su dispositivo y solo entonces permitir el acceso a aplicaciones y servicios solo para ese usuario. "Tenemos múltiples vectores para evaluar el comportamiento del usuario: ubicación, geovelocidad, hora del día, hora de la semana, qué tipo de aplicación está utilizando e incluso, en algunos casos, cómo está utilizando esa aplicación", dijo Kibel. Idaptive supervisa los intentos de inicio de sesión exitosos y fallidos para ver cuándo necesita volver a colocar la autenticación o bloquear a un usuario por completo.

El 30 de octubre, Centrify introdujo un enfoque de ciberseguridad llamado Zero Trust Privilege en el que las empresas otorgan el acceso menos privilegiado necesario y verifican quién solicita el acceso. Los cuatro pasos del proceso Zero Trust Privilege incluyen verificar al usuario, examinar el contexto de la solicitud, asegurar el entorno de administración y otorgar la menor cantidad de privilegios necesarios. El enfoque de privilegio de confianza cero de Centrify implica un enfoque gradual para reducir el riesgo. También trae una transición de la administración de acceso privilegiado (PAM), que es un software que permite a las compañías restringir el acceso a nuevos tipos de entornos como plataformas de almacenamiento en la nube, grandes proyectos de datos e incluso proyectos avanzados de desarrollo de aplicaciones personalizadas que se ejecutan en la web de nivel empresarial. instalaciones de alojamiento.

Un modelo Zero Trust supone que los hackers ya están accediendo a una red, dijo Tim Steinkopf, presidente de Centrify. Según Steinkopf, una estrategia para combatir esta amenaza sería limitar el movimiento lateral y aplicar AMF en todas partes. "Cada vez que alguien intenta acceder a un entorno privilegiado, debe tener inmediatamente las credenciales y el acceso correctos", dijo Steinkopf a PCMag. "La forma de imponer eso es consolidar las identidades, y luego se necesita el contexto de la solicitud, es decir, quién, qué, cuándo, por qué y dónde". Después de eso, usted otorga la cantidad de acceso necesaria, dijo Steinkopf.

"Estás tomando el contexto del usuario, en cuyo caso podría ser un médico, una enfermera o una persona que intenta acceder a los datos", dijo Dubinsky. "Tomas el contexto del dispositivo desde el que están trabajando, tomas el contexto del archivo al que intentan acceder, y luego necesitas tomar una decisión de acceso basada en eso".

AMF, confianza cero y mejores prácticas

Un aspecto clave de un modelo Zero Trust es la autenticación fuerte, y permitir múltiples factores de autenticación es parte de eso, señaló Hed Kovetz, CEO y cofundador de Silverfort, que ofrece soluciones MFA. Con la falta de perímetros en la era de la nube, existe una mayor necesidad de autenticación que nunca. "La capacidad de hacer MFA de cualquier cosa es casi un requisito básico de Zero Trust, y es imposible hacerlo hoy porque Zero Trust surge de la idea de que ya no hay perímetros", dijo Kovetz a PCMag en HIP2018. "Entonces, cualquier cosa se conecta a cualquier cosa, y en esta realidad, no tienes una puerta de entrada a la que puedas aplicar el control".

Cunningham de Forrester ha esbozado una estrategia llamada Zero Trust eXtended (XTX) para asignar las decisiones de compra de tecnología a una estrategia Zero Trust. "Realmente analizamos los siete elementos de control que necesita para administrar un entorno de forma segura", dijo Cunningham. Los siete pilares son automatización y orquestación, visibilidad y análisis, cargas de trabajo, personas, datos, redes y dispositivos. Para ser una plataforma ZTX, un sistema o tecnología tendría tres de estos pilares junto con las capacidades de la interfaz de programación de aplicaciones (API). Varios proveedores que ofrecen soluciones de seguridad encajan en varios pilares del marco. Centrify ofrece productos que abordan la seguridad de las personas y los dispositivos, Palo Alto Networks y Cisco ofrecen soluciones de red, y las soluciones Security Guardium de IBM se centran en la protección de datos, señaló Cunningham.

Un modelo de confianza cero también debe incluir túneles cifrados, una nube de tráfico y cifrado basado en certificados, dijo Steinkopf. Si está enviando datos desde un iPad a través de Internet, entonces desea verificar que el destinatario tenga acceso, explicó. La implementación de tendencias tecnológicas emergentes como contenedores y DevOps puede ayudar a combatir el abuso de credenciales privilegiadas, según Steinkopf. También describió la computación en la nube como la vanguardia de una estrategia Zero Trust.

Dubinate de Luminate está de acuerdo. Para las PYMES, recurrir a una empresa en la nube que proporciona gestión de identidad o MFA como servicio descarga estas responsabilidades de seguridad a las empresas que se especializan en esa área. "Desea descargar todo lo que pueda a las empresas y personas responsables de su trabajo diario", dijo Dubinsky.

El potencial del marco de confianza cero

Aunque los expertos reconocieron que las empresas están recurriendo a un modelo Zero Trust, particularmente en la gestión de identidad, algunos no ven la necesidad de grandes cambios en la infraestructura de seguridad para adoptar Zero Trust. "No estoy seguro de que sea una estrategia que me gustaría adoptar en cualquier nivel hoy", dijo Sean Pike, vicepresidente de programas del Grupo de Productos de Seguridad de IDC. "No estoy seguro de que el cálculo del ROI exista en un marco de tiempo que tenga sentido. Hay una serie de cambios arquitectónicos y problemas de personal que creo que hacen que el costo sea prohibitivo como estrategia".

Sin embargo, Pike ve potencial para Zero Trust en telecomunicaciones e IDM. "Creo que hay componentes que pueden adoptarse fácilmente hoy y que no requerirán cambios de arquitectura al por mayor, por ejemplo, la identidad", dijo Pike. "Si bien están asociados, mi fuerte sentimiento es que la adopción no es necesariamente un movimiento estratégico hacia Zero Trust, sino más bien un movimiento para abordar las nuevas formas en que los usuarios se conectan y la necesidad de alejarse de los sistemas basados ​​en contraseña y mejorar la administración de acceso" explicado.

Aunque Zero Trust puede interpretarse como un concepto de marketing que repite algunos de los principios estándar de ciberseguridad, como no confiar en los participantes en su red y la necesidad de verificar a los usuarios, según los expertos, sirve como un plan de juego.. "Soy un gran defensor de Zero Trust, de avanzar hacia ese tipo de mantra singular y estratégico y defenderlo dentro de la organización", dijo Cunningham de Forrester.

Las ideas de Zero Trust introducidas por Forrester en 2010 no son nuevas en la industria de la ciberseguridad, señaló John Pescatore, Director de Tendencias de Seguridad Emergentes en el Instituto SANS, una organización que brinda capacitación y certificación en seguridad. "Esa es más o menos la definición estándar de ciberseguridad: trate de hacer que todo sea seguro, segmente su red y administre los privilegios de los usuarios", dijo.

Pescatore señaló que alrededor de 2004, una organización de seguridad ahora extinta llamada el Foro Jericho introdujo ideas similares a las de Forrester con respecto a la "seguridad sin perímetro" y recomendó solo permitir conexiones confiables. "Esto es como decir: 'Muévete a un lugar que no tenga delincuentes y tenga un clima perfecto, y no necesites un techo o puertas en tu casa'", dijo Pescatore. "Zero Trust al menos trajo de vuelta en el sentido común de segmentación: siempre segmentas desde Internet con un perímetro".

• Más allá del perímetro: cómo abordar la seguridad en capas Más allá del perímetro: cómo abordar la seguridad en capas
• NYC Venture busca estimular empleos, innovación en ciberseguridad NYC Venture busca estimular empleos, innovación en ciberseguridad
• Cómo prepararse para su próxima violación de seguridad Cómo prepararse para su próxima violación de seguridad

Como alternativa al modelo Zero Trust, Pescatore recomendó seguir los Controles de seguridad críticos del Centro de seguridad de Internet. Al final, Zero Trust ciertamente puede traer beneficios a pesar de la exageración. Pero, como señaló Pescatore, ya sea que se llame Zero Trust u otra cosa, este tipo de estrategia aún requiere controles básicos.

"No cambia el hecho de que para proteger el negocio, hay que desarrollar procesos y controles básicos de higiene y seguridad, así como contar con el personal calificado para mantenerlos funcionando de manera efectiva y eficiente", dijo Pescatore. Eso es más que una inversión financiera para la mayoría de las organizaciones, y es algo en lo que las empresas deberán centrarse para tener éxito.