Si bien la “estructura de confianza cero” se ha convertido en una frase de moda, hay mucha confusión en cuanto a lo que realmente es. ¿Es una idea? ¿Un normal? ¿Un marco? ¿Un conjunto preciso de plataformas de conocimientos? Según los especialistas en seguridad, se describe mejor como una mentalidad reciente para abordar la protección de la seguridad cibernética, y las empresas de todos los tamaños deberían comenzar a implementarla, especialmente para la seguridad en la nube.
Por el uso de la definición, la creencia cero es en realidad un paradigma de seguridad para garantizar que las personas y las entidades que intentan conectarse con fuentes firmes sean quienes dicen ser, lo que requiere un permiso expreso para cada movimiento y un seguimiento constante para buscar indicadores de molestia. . Esto va más allá de la autenticación primaria y la administración de entradas en el sentido de que la estrategia asume que los clientes son una amenaza, sin importar su identificación, ubicación o cómo se conectan con una comunidad (ya sea “dentro” del perímetro de la comunidad de una organización o de forma remota).
Como tal, implementar una estructura de confianza cero tiene un sentido explícito para la naturaleza distribuida de la seguridad en la nube, según Jim Fulton, director sénior de SASE/opciones de confianza cero en Forcepoint. A pesar de todo, se puede acceder a la nube de alguna manera y su infraestructura no incluye inherentemente seguridad. Es tan seguro como lo hace una organización, razón por la cual las configuraciones incorrectas son tan frecuentes.
[Editor’s Note: This article was originally published in the free Threatpost eBook “Cloud Security: The Forecast for 2022.” In it we explore organizations’ top risks and challenges, best practices for defense, and advice for security success in such a dynamic computing environment, including handy checklists. Please download the FREE eBook for the full story]
“Las reglas de confianza cero son esenciales para la seguridad de la nube, especialmente para las funciones de la nube a las que probablemente se pueda acceder desde cualquier parte de la web”, explicó. “La creencia cero comienza con una autenticación sólida para verificar que las personas que intentan acceder o utilizar fuentes vitales sean reconocidas de manera confiable. Posteriormente, una estrategia de confianza cero comprueba si el que ha sido reconocido tiene permiso expreso cada vez que accede o utiliza un recurso útil. Esto hace que sea mucho más difícil para los piratas informáticos interrumpir las aplicaciones en la nube y transferirse libremente a través de la comunidad”.
La estrategia es eficaz: tenga en cuenta que el informe Zero Belief Adoption más reciente de Microsoft reveló que el 31 % de las organizaciones que avanzaron con la implementación de su sistema Zero Trust se vieron afectadas por los piratas informáticos de SolarWinds, en contraste con el 75 % que no lo había hecho. t pero lo aplicó absolutamente.
Cómo parece ser Zero-Belief dentro de la nube
Profundizando más, una protección de confianza cero para la nube puede tener varias partes diferentes, señaló Fulton. Esto podría implicar ocultar las fuentes de la entrada básica para que las personas solo puedan acceder a ellas a través de controles específicos, lo que requiere una autenticación sólida para asegurarse de que las personas son quienes dicen ser, lo que permite que las personas solo realicen acciones específicas que han permiso expreso para llevar a cabo, validación constante de estos permisos y monitoreo constante para identificar robos y intentos de imitar a clientes auténticos.
Para darse cuenta de esto, “las funciones delicadas requieren cada vez más métodos específicos para acceder a ellas, como pasar a través de un Cloud Access Safety Dealer (CASB) en lugar de ingresar directamente desde cualquier parte de la web”, explicó Fulton. “Entonces, solo las personas que pueden iniciar sesión con las credenciales correspondientes (nombres de usuario, contraseñas y más) pueden incluso comenzar a acceder a la nube de la empresa. Para fortalecer este paso, muchos programas actualmente requieren estrategias de autenticación multifactor que usan más datos más allá de las contraseñas, como un código enviado a un teléfono confiable registrado previamente o preguntas problemáticas que solo una persona confiable probablemente sabría.
Además, si la seguridad de la nube del grupo se esfuerza por monitorear constantemente las acciones de las personas, la conducta extraña en la nube probablemente elevaría las banderas rojas y haría que la persona o entidad en particular se apague dinámicamente y se bloquee para que no haga algo dañino.
Es vital notar que la confianza cero es una evolución, no una revolución. “Los conceptos básicos para la fe cero han existido durante algún tiempo: el foro de discusión de Jericho argumentó en contra de contar en el perímetro hace más de 20 años; El control de acceso a la comunidad (NAC) requería que las unidades que se unieran a una comunidad tuvieran que someterse a un escrutinio antes de obtener acceso, el control de acceso privilegiado requería que las personas tuvieran una validación de identidad positiva antes de acceder a procesos o datos confidenciales”, explicó William Malik, vicepresidente de métodos de infraestructura en Patrón Micro. “La creencia cero reúne estas ideas en un cuerpo arquitectónico completo en lugar de un conjunto de productos básicos que abordan una vulnerabilidad específica”.
Más allá de los grandes trazos: Eventualidades del mundo real
Básicamente, las iniciativas de confianza cero tienen dos objetivos en mente: reducir el piso de ataque y mejorar la visibilidad. Para demostrar esto, piense en la situación (frecuente) de una pandilla de ransomware que busca acceso inicial a la nube de una organización a través de un distribuidor clandestino de acceso inicial y luego intenta montar un ataque.
En términos de visibilidad, “la creencia cero debería detener ese ataque o hacerlo tan problemático que se notará mucho antes”, dijo Greg Younger, vicepresidente de seguridad cibernética en Pattern Micro. “Si las empresas conocen las posiciones de sus identidades, funciones, cargas de trabajo en la nube, fuentes de datos y contenedores involucrados en la nube, debería ser extremadamente difícil para los atacantes. Comprender lo que no está parcheado, lo que es un movimiento lateral no confiable y monitorear constantemente la postura de las identidades en realidad limita el área de ataque disponible para ellas”.
Y en la entrada de la superficie de ataque, Malik señaló que si la pandilla usaba una vulnerabilidad de día cero o sin parches para lograr la entrada, la confianza cero atrapará a los atacantes.
“Primero, en algún momento no especificado en el futuro, los atacantes harán que una persona de confianza o un proceso comience a portarse mal”, explicó. “Esa conducta anómala dispararía una alerta y resultaría en el bloqueo de las acciones de la persona o de los procesos. En segundo lugar, en algún momento no especificado en el futuro, el asalto requeriría que el conocimiento sea encriptado (alterado) o exfiltrado (robado). Eso requiere permisos elevados”.
Ese intento de superar el peso esperado de los permisos haría que se negara la entrada a los atacantes, o generaría una solicitud de permisos más altos a través de un proceso de aprobación, que podría marcar y poner en cuarentena la conducta anómala.
Otra situación común del mundo real para los objetivos de confianza cero para la visibilidad y la reducción de la superficie de ataque incluye empleados remotos que utilizan herramientas de “TI en la sombra”, como visitar funciones de software como servicio en la nube no autorizadas desde sus redes domésticas. Esta es una circunstancia demasiado frecuente que puede generar peligro o vulnerabilidad en los entornos empresariales (a través de videojuegos inseguros, por ejemplo, o empresas de intercambio de archivos explotables).
“Si tengo un agente en el punto final, entonces puedo saber la posición de la computadora portátil que se está usando”, explicó Younger. “A través del acceso a la API y/o un CASB, puedo ver la aplicación en la nube y obtener información sobre si la aplicación está autorizada o no, y si la identificación y la posición de la identificación y la computadora portátil pueden ingresar. ”
A partir de ahí, “puedo construir una conexión de entrada de comunidad de creencia cero (ZTNA) que es lo más completa posible, y puedo evaluar constantemente la creencia y las posturas para que, si en algún momento, el peligro pasa a un estado más allá de lo que creo, la conexión podría cortarse y bloquearse la entrada. Mientras tanto, estoy evaluando los datos de amenaza y la posición de todos los bienes de mi empresa, incluidas las identidades y los problemas”.
El hacer de la implementación
Más allá de comprender la mentalidad y los objetivos, lograr una estructura de confianza cero desde un punto de vista sensato requiere muchos elementos móviles diferentes y muchas capas diferentes, por lo que su implementación debe verse como una empresa a largo plazo.
Autenticación de dos problemas. Verificación de identificación de know-how de moda. Código de seguridad para acceder a información financiera en línea.
Eso puede ser desalentador, particularmente para las organizaciones medianas y las empresas más pequeñas con menos fuentes. En realidad, enfatizan los especialistas, existen muchas opciones para meterse en la refriega de la confianza cero, independientemente de la dimensión corporativa. “El mercado de tamaño mediano tiene esencialmente más para realizar con cero creencias, pero se saldrán de la autopista ZT hacia el éxito rápidamente si intentan tomar una estrategia empresarial”, advirtió Younger. En cambio, las empresas deberían comenzar con un elemento pequeño de confianza cero y construir a partir de ahí, sugirió, como implementar la autenticación multifactor, reemplazar las VPN con ZTNA o ubicarse en un mejor control de identidad.
“Decida cuál es el mejor para implementar, o el que está maduro para la alternativa y puede obtener la mayor ganancia”, dijo. “No intente comprar su estrategia para la confianza cero: establezca objetivos pequeños, asegúrese de que esté enraizado en la erradicación de creencias no ganadas y siempre asegúrese de tener mejoras de visibilidad”.
En el último nivel, Fulton de Forcepoint señaló que el primer paso que deben dar las empresas es saber qué fuentes son importantes para proteger, qué acciones específicas deben permitirse en estas fuentes y qué clases de personas deben poder realizar cada acción. Esto simplifica el uso de los conocimientos técnicos adecuados en cada paso.
Otra buena opción para que comience el conjunto no empresarial es la ciencia aplicada Safe Entry Service Edge (SASE), que combina varios pilares de confianza cero en una sola plataforma, señalaron los investigadores. SASE puede presentar las características de CASB, ZTNA y gateway seguro de Internet que las pequeñas y medianas empresas desean en un solo panel de administración con un solo conjunto de pólizas de seguro.
No importa cómo comiencen las empresas, es hora de comenzar por el camino de la confianza cero en caso de que aún no lo hayan hecho, según Deepen Desai, CISO y vicepresidente de análisis y operaciones de seguridad en Zscaler.
“La industria ha estado hablando de creencia cero durante una década, pero las empresas que han tomado medidas a medias pueden querer ser críticas sobre lo que realmente significa creencia cero”, dijo. “Del mismo modo, las empresas federales de EE. UU. tienen la obligación de adoptar y ejecutar la verdadera creencia cero desde los mejores niveles. Con ataques en aumento y trabajadores, funciones y unidades ubicadas en cada rincón del mundo, [it’s] en realidad ahora no es optativo”.
¿Cambiar a la nube? Descubra las crecientes amenazas de seguridad en la nube junto con una fuerte recomendación para aprender a proteger sus pertenencias con nuestro Libro electrónico descargable GRATIS“Seguridad en la nube: el pronóstico para 2022”. Descubrimos los principales peligros y desafíos de las organizaciones, las mejores prácticas de protección y recomendaciones para el éxito de la seguridad en un entorno informático tan dinámico, junto con listas de verificación útiles.