El modelo Zero Trust se basa en la desconfianza por naturaleza

David Marchal

Ninguna organización es inmune a los ciberataques. Y menos en estos tiempos, en los que la movilidad de la fuerza laboral y la computación en la nube han situado la mayoría de las cargas de trabajo más allá de la protección de las redes corporativas y la defensa perimetral tradicional. Así lo apunta Josu Franco, asesor en estrategia de Cytomic, a WatchGuard brand: «En los modelos clásicos de seguridad siempre se ha buscado generar un entorno definido por un perímetro donde se proteja el interior de la red de un exterior lleno de potenciales amenazas. Actualmente, con la llegada del todo conectado y del trabajo remoto, esto está cambiando».

Así también lo pone de manifiesto la consultora IDC en un artículo publicado en su blog: «La adopción de los nuevos entornos MultiCloud nos confirma el desplazamiento del foco de protección, que en un principio se centraba en el perímetro que albergaban las empresas, para ir trasladándose poco a poco hacia los dispositivos móviles». Surge, por tanto, la necesidad de «proteger redes en las que el perímetro se ha difuminado por completo y donde los atacantes pueden encontrarse tanto dentro como fuera de nuestra red», tal y como asegura Josep Albors, responsable de investigación y concienciación en Eset España.

La consultora Forrester acuñó hace unos años el concepto Zero Trust, que viene a decir «confianza cero». Esto, como argumenta Ángel Ortiz, director regional de McAfee en España, suponía «un cambio de las defensas de la red hacia un modelo de seguridad IT más completo, que permitiera a las organizaciones restringir los controles de acceso a las redes, las aplicaciones y el entorno sin sacrificar el rendimiento y la experiencia del usuario». En resumen, continúa, «un enfoque Zero Trust no confía en nadie».

Desde que se acuñó el concepto Zero Trust, su demanda no ha parado de crecer y de tener una mayor presencia en las organizaciones

«La adopción empresarial del modelo de seguridad Zero Trust está creciendo como parte de iniciativas clave para mitigar el riesgo cibernético. Con su principio de verificación de usuarios, dispositivos e infraestructura antes de otorgar privilegios mínimos basados en el acceso condicional, Zero Trust mantiene la promesa de una usabilidad, protección de datos y gobernanza enormemente mejoradas». Así se expresa Holger Schulze, CEO y fundador de Cybersecurity Insiders, en el informe Zero Trust Progress Report publicado a principios de este año junto a la empresa Pulse Secure. En él, además, se pone de manifiesto que el 72 por ciento de las organizaciones planean evaluar o implementar las capacidades de Zero Trust en 2020 para mitigar el creciente riesgo cibernético.

De esta forma también lo constatan los expertos consultados. Por ejemplo, Ortiz, de McAfee, considera que «un número cada vez mayor de organizaciones está adoptando el enfoque de Zero Trust como un elemento o un componente de su arquitectura de red de confianza y de su estrategia de seguridad empresarial». Y lo mismo opina Albors, de Eset: «Incluso antes del impacto de la pandemia y la consecuente aplicación masiva del teletrabajo, ya eran bastantes las empresas que estaban interesadas o habían empezado a aplicar este modelo».

Características principales de Zero Trust

Ese auge ha sido posible gracias a que este modelo incorpora algunas características que lo hacen fundamental en cualquier estrategia de ciberseguridad corporativa. En primer lugar, Zero Trust implica «definir qué es lo que se quiere proteger y, a partir de ahí, identificar qué flujos de información o de comunicación se tienen para, de esa manera, establecer una arquitectura en la que no se confíe en nada y que permita decidir con otros procedimientos cómo establecer esa confianza y medidas de seguridad», en palabras de Franco, de Cytomic.

Es lo que Albors, de Eset, resume en una palabra: «visibilidad», porque, según el directivo, «no es posible proteger un recurso que no sabemos que existe». Y a esto le añade un par de características más: políticas, «en tanto en cuanto permiten llevar a cabo controles que faciliten que solo personas y sistemas específicos tengan acceso a entidades concretas en condiciones determinadas»; y automatización, «que asegura la correcta aplicación de las políticas y permite la rápida aplicación de medidas frente a posibles desvíos», desgrana.

Por su parte, Ortiz, de McAfee, también habla de la autenticación multifactorial (MFA) como la base de la seguridad Zero Trust. «Este modelo considera cada intento de acceso a la red como una amenaza. Mientras que la seguridad tradicional de la red puede requerir una única contraseña para permitir el acceso a un usuario, la MFA de Zero Trust requiere que los usuarios introduzcan un código enviado a un dispositivo separado, como un teléfono móvil, para verificar que son quienes dicen ser».

Por otro lado, las redes Zero Trust permiten derechos de acceso solo cuando es absolutamente necesario, verificando todas las solicitudes de conexión a los sistemas antes de conceder el acceso. «La reducción de los perímetros de seguridad a zonas más pequeñas para mantener un acceso diferenciado a partes separadas de la red limita el acceso lateral en toda la red», añade Ortiz, quien también remarca la importancia de que este modelo ayude a inspeccionar y registrar todas las actividades mediante el análisis de seguridad de datos. «Las líneas de base de las cuentas de usuario deben establecerse para ayudar a identificar comportamientos anormales que podrían ser una actividad maliciosa». Y aquí enlaza con lo que comentaba anteriormente Albors, de Eset, sobre la automatización; que gracias a ella se puede conseguir «que estas funciones sean eficientes y asequibles para los equipos de seguridad», confirma el representante de McAfee.

Evolución hacia las aplicaciones

Todo lo comentado hasta ahora se venía aplicando a un modelo que se asociaba principalmente al control de los accesos a la red corporativa. Así, cuando se debe autorizar esa conexión a la red y en función del contexto, se analizan diferentes circunstancias y los riesgos que tiene esa operación partiendo siempre de la desconfianza y se decide aplicar unas medidas más o menos restrictivas o autorizar o no tal acceso. «Esta decisión hasta ahora y bajo el modelo tradicional Zero Trust venía siendo muy binaria: o se concede permiso para entrar o no», asegura Franco, de Cytomic.

Sin embargo, este profesional sostiene: «Con la evolución que se ha producido, nos hemos encontrado que es clave desconfiar de las aplicaciones. Hoy los negocios exigen una monitorización continua del riesgo de cada transacción». Por eso, en el caso de su compañía han decidido llevar el concepto de Zero Trust a la ejecución de las aplicaciones. «Esto supone que, por defecto, nuestro modelo Zero Trust solo va a permitir ejecutar aquellas aplicaciones que ya conocemos y que sabemos que son confiables», afirma. Incluso, van un paso más allá y, aunque el software sea bueno o de confianza, continúan monitorizándolo para identificar posibles comportamientos extraños. «En caso de detectar anomalías, procedemos a bloquearlo», agrega.

Zero Trust, ciberseguridad, candado

Futuro prometedor para Zero Trust

Parece claro que la evolución de este modelo no se va a detener ahí. «Zero Trust se aplicará incluso a todo tipo de ataques, a todo lo que sean las actividades e interacciones de los sistemas, más allá del control de accesos o de aplicaciones. Creo que este modelo se va a popularizar en todos los segmentos», opina el asesor en estrategia de Cytomic.

Albors, de Eset, también considera que su uso se irá ampliando. «Como muchas otras capas y modelos, lo más probable es que se integre dentro del modelo de seguridad de la empresa y funcione como una capa adicional que dificulte que los atacantes alcancen su objetivo», manifiesta.

Y si echamos mano de las cifras, estas ponen sobre la mesa la necesidad que tienen las empresas de implementar este modelo. Por ejemplo, la consultora Gartner estima que el 75 por ciento de las organizaciones mundiales ejecutarán aplicaciones en contenedores para 2022, beneficiándose de ciclos de lanzamiento más rápidos, mayor escalabilidad, fiabilidad y resistencia. «Asimismo, durante la pandemia hemos visto un 50 por ciento de incremento en el uso de la nube empresarial», asegura Ortiz, de McAfee, quien añade: «Los beneficios de Zero Trust incluyen precisamente la capacidad de asegurar mejor todos estos servicios en la nube, que requieren un enfoque de seguridad robusto más allá de la protección perimetral tradicional. Por lo tanto, parece lógico que Zero Trust se extienda cada vez más, a medida que aumente el número de organizaciones que difunden su información a través de múltiples proveedores de nubes».

En definitiva, se trata de que las nuevas estrategias de ciberseguridad se enfoquen en «el ciclo de vida del dato», tal como afirma la consultora IDC en su mencionado blog. Para ello, explican, «las nuevas redes de información deben ser percibidas bajo la filosofía Zero Trust con el fin de aumentar la protección del dato, al mismo tiempo que se implementan nuevos modelos de acceso con sistemas de autenticación y gestión de identidades dinámicos capaces de orquestar las nuevas estrategias de ciberseguridad digital», concluyen.

El interés en implementar capacidades de Zero Trust va en aumento

A principios de año, Cybersecurity Insiders y Pulse Secure publicaron un informe denominado Zero Trust Progress Report, en el que se encuestó a más de 400 profesionales de la ciberseguridad. Estas son algunas conclusiones:

  • El 72 por ciento de las organizaciones planea implementar Zero Trust en 2020.
  • El 47 por ciento de los encuestados carece de confianza al aplicar un modelo Zero Trust a su arquitectura de acceso seguro.
  • El 53 por ciento planea trasladar las capacidades de acceso Zero Trust a una implementación de TI híbrida.
  • Más del 60 por ciento considera que los principios de autenticación y autorización continuos, la confianza obtenida a través de la verificación y la protección de datos son los aspectos más atractivos del modelo Zero Trust para su organización.
  • Más del 40 por ciento afirma que la administración de privilegios, el acceso inseguro de los partners, los ciberataques, los riesgos del shadow TI y el acceso a recursos en dispositivos móviles vulnerables son los principales desafíos para asegurar el acceso a aplicaciones y recursos.
  • El 45 por ciento está preocupado por la seguridad de acceso a las aplicaciones en la nube pública.
  • El 70 por ciento de las organizaciones planea mejorar su administración de identidades y accesos.
  • El 30 por ciento de las empresas buscan simplificar la entrega de acceso seguro, lo que incluye mejorar la experiencia del usuario y optimizar la administración y el aprovisionamiento.
  • El 41 por ciento busca reevaluar su infraestructura de acceso seguro.