El avance de la tecnología y el acceso que los usuarios tienen a todo tipo de recursos y dispositivos hacen que las compañías se encuentren con que las fronteras de su IT corporativa desaparezcan y que exista una enorme cantidad de información (y lo que es peor, indeterminada y desconocida), así como cientos de dispositivos fuera de su control. De esta forma se crean zonas grises (shadow IT), en las que la capacidad de organización, de control y de protección es prácticamente inexistente.
Si a esto le añadimos nuevas tendencias como el Internet de las Cosas, que va a aumentar el nivel de riesgo de manera exponencial, o la terrible situación a la que se enfrentan los CISO y los CIO cada día debido a la carencia de perfiles cualificados y a los continuos y exitosos ataques de ransomware, tenemos la tormenta perfecta para que desastres como los vividos estos últimos años en grandes compañías no solo sigan sucediendo, sino que además lo hagan con una facilidad que preocupa cada vez más al sector. Por tanto, se hace cada vez más real la frase de «hay que tener cero confianza en la seguridad» y el tan conocido concepto de Zero Trust, hoy más real que nunca.
Futuro de la ciberseguridad
Ante este horizonte, el analista de Forrester John Kindervag ya predijo hace tiempo que los CIO y los CISO deben avanzar hacia la implantación de Zero Trust en sus compañías, explicando la importancia de la «no confianza» inherente cuando se trata del tráfico de red, independientemente de su procedencia.
La seguridad tiene que estar centrada en los datos y las identidades verificadas, ya que la seguridad en profundidad y el modelo tradicional de redes están demostrando que no son suficientes. De ahí que el modelo Zero Trust sea considerado como el futuro de la ciberseguridad, hacia donde toda compañía debería caminar.
El modelo Zero Trust proporciona seguridad por niveles mediante la autenticación continua y la desconfianza inherente de todos los dispositivos, usuarios y acciones, existan o no dentro del perímetro.
Un ejemplo para entender este concepto es imaginar un viajero ante un mapa del mundo. Lo primero que tendrá que hacer antes de subir a un avión es pedir permiso al país de destino para visitarlo autenticado, mostrando su identidad e indicando la razón por la que lo ha de visitar. Luego, el país es quien hace las validaciones y le autoriza, o no, su viaje. Zero Trust funciona como si el viajero perteneciera al país con la peor política exterior del mundo: por defecto no es bienvenido en ningún sitio y tendrá que pedir acceso y ser revisado antes de subir a ningún avión o medio de transporte con el que pretenda pasar alguna frontera.
‘Zero Trust’ es el futuro de la ciberseguridad, hacia donde toda organización debería caminar
Características del ‘Zero Trust’
Zero Trust se basa en unas premisas desde las que hay que partir para entender y cambiar todo el modelo de seguridad de la empresa:
- Mínimos privilegios posibles: Se presupone siempre que todo usuario o elemento dentro de la red es, por defecto, hostil y que no se ha de confiar ni de las personas de confianza. Se parte de que todo está por defecto en «deny-all». Los atacantes dirigirán sus intentos de acceso hacia aquellos usuarios que tengan más privilegios o permisos de acceso a más recursos; ahí es donde entra en valor la sensibilización de las personas. Gracias a esta primera premisa ya se cortan los posibles movimientos laterales que pudiera realizar un atacante, y esto supone limitar de forma exponencial el daño que podría hacer un ransomware. Como los permisos y accesos están cerrados, no podrá saltar con facilidad entre las máquinas de la red e infectar a un alto volumen de las mismas.
- Verificación continua: Cada nueva entrada, ya sea de un usuario o de un dispositivo, o cada nuevo acceso requiere de autenticación. En ningún caso se da acceso o se confía la entrada por defecto. Pero no es suficiente una verificación del usuario por medios tradicionales como el usuario y contraseña, ya que para un atacante puede ser relativamente sencillo adquirir esas credenciales en la Deep o Dark Web, pudiendo simular hasta la procedencia del usuario con un simple proxy. Debe añadirse una verificación de dispositivo adecuada, con una política de MFA que incrementará el éxito a la hora de limitar accesos no deseados a recursos.
Te interesa: Ponencia de María Rojo «Ciberseguridad fuera del perímetro».
- Supervisión del comportamiento continua: Aunque un usuario esté autenticado, si se aprecian comportamientos o accesos fuera de lo común o fuera del perímetro habitual de su área habrá que validarlo de nuevo. Las políticas de seguridad deben aprender y evolucionar de forma constante revisando el usuario, los lugares a los que quiere acceder, cómo, con qué, qué acciones realiza en el destino, etc. Toda la información que se pueda observar dentro de la red sobre el comportamiento del usuario podrá ser analizada por un motor de Inteligencia Artificial y comprobar si suceden movimientos extraños o fuera de la dinámica diaria habitual de un usuario.
- Las amenazas son continuas y vienen tanto del perímetro externo como interno: Son muchas las ocasiones en las que se menosprecia el valor de un ataque interno, y no es necesario que sea un usuario enfadado o alguien tratando de robar a la empresa. Basta uno mal sensibilizado que esté mandando información fuera del perímetro o usando recursos externos de una forma indebida para tirar abajo todo el sistema de seguridad. Las filtraciones de información que puede provocar un usuario de forma inconsciente, en muchos casos, hacen que un atacante no necesite ni elaborar ataques muy complejos. Y en ocasiones, ni siquiera entrar en la red, ya que puede encontrar fuera del perímetro de la compañía la información y las herramientas necesarias para perpetrar un ataque con muchas posibilidades de éxito. Esta es la razón por la que, independientemente de la implantación de políticas Zero Trust, es imprescindible vigilar posibles fallos que vengan de comportamientos no deseados y no siempre maliciosos, los cuales pueden hacer inútiles todos los controles. Siempre va a haber algo que falle.
Como ya lleva tiempo anunciando Forrester, solo es válida una tendencia hacia políticas de seguridad Zero Trust contando con que el fallo siempre se va a producir y preparando a la organización para actuar frente a ello. Es decir, con sistemas de análisis y políticas de seguridad inteligentes que den una visión 360 a los expertos en seguridad que les permita analizar todo lo que sucede dentro, pero sobre todo también lo que sucede fuera de sus fronteras. Y, con todo ello, poder tomar decisiones inteligentes de seguridad, atacando al problema desde el momento anterior en que empiece a serlo.
