José Luis Pozo, CTO de DotForce
José Luis Pozo CTO DotForce

Ciberseguridad en 2021, la necesidad de implementar un modelo Zero Trust

Zero Trust, ciberseguridad, candado

Aunque Zero Trust no es un concepto nuevo, es habitual que se aplique con acciones tibias o insuficientes. Zero Trust debe aplicarse a nivel global en sistemas, desarrollos y operaciones, poniendo el foco tanto en usuarios como en dispositivos, sin olvidarnos de proteger los datos.

Por ello, DotForce ha desarrollado un mapa para entender de una forma rápida y sencilla cómo aplicar el modelo Zero Trust en cada área de la organización: desde los usuarios, pasando por administradores, sistemas y datos.

1. Usuarios

A pesar de que el usuario es el principal punto de entrada de la gran mayoría de los ataques, son las organizaciones quienes deben implementar soluciones que impidan que esto suceda.

En primer lugar, se debe aplicar el método Zero Trust en los inicios de sesión. Si un usuario no dispone de múltiples factores de autenticación resistentes a ataques de phishing, Man-in-the-Middle e ingeniería social para TODAS sus cuentas, está altamente expuesto a ciberataques. Además, de cara a la productividad, la autenticación Passwordless (sin contraseñas) combina la mejor protección con la mayor facilidad y rapidez de acceso.

Hay soluciones avanzadas de ciberinteligencia que alertan a la organización de robos de credenciales. Lamentablemente, todos los usuarios reutilizan contraseñas, así que incluso las filtraciones de credenciales de cuentas personales son peligrosas para la organización. Estas soluciones utilizan el contraespionaje para alertar a la víctima muy poco tiempo después de que sus credenciales se vean comprometidas. Además, impiden la utilización de contraseñas vulneradas en Active Directory o cualquier otra aplicación.

2. Administradores

Zero Trust implica otorgar mínimos privilegios. Cada usuario solo debe disponer de los permisos que sean realmente necesarios. Esto cobra aún más importancia con un Administrador.

Las soluciones que gestionan los privilegios administrativos evitan muchos ciberataques, sobre todo los más peligrosos. Se llaman PAM por sus siglas en inglés (Privileged Access Management), aunque la última generación ha pasado a ser Privileged ACTIVITY Management, y solo concede privilegios para realizar tareas administrativas sin mantener cuentas administrativas permanentes para reducir la superficie de ataque.

3. Sistemas

Llevamos décadas protegiendo las redes y los endpoints, pero debemos asentar los cimientos de una nueva forma de trabajar que ha venido para quedarse. El antivirus ha dado paso al EDR (Endpoint Detection and Response), y ya existen los Firewall de nueva generación y los Cloud Access Security Broker (CASB). El problema es que los ataques no solo se han modernizado, sino que hay nuevos métodos de ataque que requieren nuevas estrategias de defensa.

En primer lugar, las VPN tradicionales están obsoletas. Toda organización debe contar con una red definida por software (SDN por sus siglas en inglés) que otorgue, fácilmente, conexión segura a sus redes privadas. Pero para aplicar el método Zero Trust, los recursos a los que tengan acceso los usuarios deben ser los estrictamente necesarios. Además, en la actualidad se puede limitar el acceso según el horario y la ubicación del usuario, entre otros parámetros.

Por otro lado, el alcance de un SIEM es limitado, porque se limita a monitorear los registros de eventos, así que hay que complementarlo con vigilancia del tráfico en la red para evitar tener puntos ciegos.

Las soluciones NDR (Network Detection and Response) monitorean las redes locales y cloud para detectar y anticipar, con Machine Learning, indicios de un ataque

La Tecnología del Engaño o Deception emulan nuestra red para que el atacante emplee su tiempo tratando de acceder a activos ficticios. Esto ayuda a nuestro equipo de ciberseguridad a detectarlos y a disponer del tiempo suficiente para contrarrestar esos ataques.

Pero si hay algo que es necesario en el panorama actual es la integración entre soluciones. Por ejemplo, la unión de NDR, EDR y Deception se llama eXtended Detection and Reponse o XDR.

Y más importante aún, la automatización de las respuestas ante incidencias es imprescindible para reducir la carga de trabajo manual. Cada SOC debe disponer de un SOAR (Security Orchestration, Automation and Response) de última generación. El SOAR aglutina todas las alertas que provienen de EDR, Firewall, SIEM, XDR, etc, y las correlaciona, eliminando alertas duplicadas para generar solo unos pocos incidentes a partir de innumerables alertas.

4. Datos

Por último, pero no por ello menos importante, se impone la seguridad de los datos. No ocuparse adecuadamente de este activo crítico puede acarrearnos problemas, desde ser víctimas de espionaje, hasta ser condenados a pagar multas literalmente millonarias.

Primero, cada organización debe tener un inventario de todos los datos que contenga, ya que no pueden protegerse si no saben qué tienen. Por suerte, existen soluciones de gobernanza de acceso que enumeran todos los datos existentes, los clasifican, eliminan accesos innecesarios, ya que ningún usuario debe tener acceso a datos que no necesita para su trabajo, y crean informes que permiten conocer la situación actual.

No podemos olvidarnos de que, para almacenar o compartir datos confidenciales, el cifrado es imprescindible. El cifrado vía hardware es el más robusto que existe, pero no podemos resignarnos a cifrar de forma insegura el contenido que compartimos en la nube, ni siquiera vía email. Hay soluciones que cifran este contenido vía hardware, con una clave privada protegida con un PIN único para cada usuario. De nuevo, se puede habilitar y deshabilitar a cada usuario con un solo clic, para que la organización tenga el control de los datos en todo momento.

En conclusión, Zero Trust implica SIEMPRE desconfiar de usuarios y dispositivos, mínimos privilegios, automatización, ciberinteligencia y Machine Learning. Las inversiones adecuadas en ciberseguridad son muy rentables, aportan estabilidad y mejoran la productividad.