[13/09/2023] Adoptar la confianza cero no es una garantía contra los ciberataques. Los atacantes están constantemente encontrando nuevas formas de eludir la confianza cero, y esto sucede a menudo porque no todo dentro del entorno de la organización se tuvo en cuenta al emplear la confianza cero. Entre los riesgos que se pasan por alto están los sistemas heredados, los dispositivos IoT no supervisados o el abuso de acceso privilegiado.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
La confianza cero es un paradigma de ciberseguridad -una filosofía, en realidad- en el que cada usuario, cada dispositivo, cada mensaje se considera que no es de confianza a menos que se demuestre lo contrario. Es una alternativa al antiguo enfoque basado en el perímetro, en el que las cosas del exterior no eran de confianza y las del interior de las redes corporativas se consideraban automáticamente de confianza. En otras palabras, las empresas tenían una cáscara dura y un centro blando y pegajoso.
En una era en la que el perímetro está en todas partes, en la que es tan probable que los empleados estén en casa como en la oficina, en la que los recursos informáticos están repartidos entre múltiples centros de datos, nubes y otros terceros, los antiguos enfoques ya no funcionan. La confianza cero es la respuesta moderna a este problema. Y todo el mundo está de acuerdo. Según una encuesta de Okta a 700 empresas publicada en el 2022, el 55% de las organizaciones ya contaban con una iniciativa de confianza cero -frente al 24% en el 2021- y el 97% planeaba tener una en los próximos 12 a 18 meses.
La confianza cero o zero trust no es una panacea. Según Gartner, hasta el 2026, más de la mitad de los ciberataques irán dirigidos a áreas que la confianza cero no cubre y contra las que no puede proteger. "Hay dos grandes problemas con la confianza cero. Uno es el alcance, como la tecnología heredada o la TI en la sombra. El segundo es que hay ataques que eluden los controles de confianza cero", afirma John Watts, analista de Gartner.
Las empresas tardan en implantar la confianza cero
Sólo el 19% de las organizaciones ha implantado ya la confianza cero, según una encuesta de Cybersecurity Insiders a 400 profesionales de TI y ciberseguridad de EE.UU. publicada en marzo. Mientras tanto, el 30% afirma que hay proyectos en marcha y el 38% que aún están en fase de planificación. Estas estimaciones pueden ser demasiado optimistas. Según Gartner, menos del 1% de las organizaciones cuentan con un programa de confianza cero maduro y medible, y sólo el 10% lo tendrá en el 2026.
Incluso cuando se ha implantado la confianza cero, no significa que se hayan resuelto todos los problemas de seguridad. La confianza cero tiene varios puntos ciegos, incluidos los sistemas heredados que no fueron diseñados para la confianza cero, los usuarios privilegiados que hacen cosas que no deberían, los dispositivos IoT no supervisados, los sistemas de terceros y, por supuesto, el problema continuo de la gestión del cambio.
5 áreas en las que la confianza cero por sí sola no protegerá a las organizaciones
1. Sistemas heredados: No todos los sistemas y aplicaciones se actualizan fácilmente a los principios de confianza cero. Muchos sistemas heredados, por ejemplo, simplemente no tienen lo que hay que tener. El corredor de seguros PIB Group se fundó hace sólo siete años, pero desde entonces ha adquirido otras 92 empresas, la mayoría de ellas otras aseguradoras. Ha pasado de tener 12 empleados a 3.500. "Estamos adquiriendo muchas plataformas, y están escritas por su primo, que se ha ido a otro trabajo y no les da el soporte adecuado", explica el CISO, Jason Ozin.
Ni siquiera el actual sistema de recursos humanos de la empresa admite la confianza cero, afirma Ozin. "Ni siquiera admite la autenticación de dos factores. Soporta nombre de usuario y contraseña. Admite listas blancas de IP". Pero las listas blancas de IP no son muy útiles cuando todo el mundo trabaja desde casa o desde otra ubicación remota.
La empresa está a punto de cambiar a un nuevo sistema de recursos humanos, pero otros sistemas no se pueden sustituir tan rápidamente. Hasta que lo sean, Ozin tiene una solución. "Lo que podemos hacer es ponerle una envoltura de confianza cero. Se le autenticará. ¿Viene de un lugar que reconocemos? ¿Está utilizando dos factores? Una vez gestionada la autenticación, sólo entonces la envoltura pasará el tráfico al sistema heredado. El sistema heredado -por ejemplo, el actual sistema de recursos humanos- comprobará la dirección IP para asegurarse de que procede de la plataforma de confianza cero. Algunos sistemas heredados son tan horribles que ni siquiera tienen nombre de usuario y contraseña, anota Ozin. "Pero nadie puede acceder a ellos si no es a través de los gatekeepers".
La pandemia fue una de las principales motivaciones para pasar a la confianza cero, al igual que el rápido crecimiento de la empresa, aunque la pandemia ya había terminado cuando PIB empezó a desplegar la confianza cero. "Mi plan es deshacerme de todos y cada uno de los sistemas heredados que tenemos", sostiene Ozin. "Pero, en realidad, eso nunca va a ocurrir. Dentro de seis años no me extrañaría seguir utilizándolo".
Pero se necesitan recursos y dinero para actualizarlo todo. "Hemos decidido hacerlo en ciertos elementos de alto riesgo para empezar", añade.
2. Dispositivos IoT: Ozin señala que hay montones de dispositivos IoT en la organización. "Tengo IoT que ni siquiera conozco". Esto es un problema, especialmente cuando, por ejemplo, una oficina local decide poner un sistema de portero automático sin hablar primero con nadie. "Lo están instalando y el tipo dice: '¿Me puedes dar la clave de acceso WiFi a la red? Y puede que alguien se la dé", comenta Ozin.
Sin confianza cero en todos los gateways Wi-Fi, la empresa utiliza una solución alternativa: una red separada para dispositivos no aprobados que no tiene acceso a ningún dato corporativo. PIB también dispone de herramientas que le permiten realizar auditorías para asegurarse de que sólo los dispositivos aprobados se conectan a la red principal.
Watts, de Gartner, coincide en que IoT y OT pueden plantear retos de seguridad a las empresas. "Es más difícil implantar una postura de confianza cero para esos dispositivos y sistemas. Tienen menos garantías de identidad. Si no hay usuario, entonces no hay cuenta de usuario”, anota. "No hay una buena forma de autenticar si algo debe estar en la red. Se convierte en un problema difícil de resolver".
Algunas empresas excluirán IoT y OT de su ámbito de confianza cero porque no pueden abordar este problema, añade Watts. Algunos proveedores, sin embargo, ayudarán a las empresas a asegurar estos sistemas, señala. De hecho, Gartner ha publicado una guía de mercado para asegurar los sistemas ciberfísicos que incluye a Armis, Claroty y Dragos. "Pero una vez implantadas estas tecnologías, hay que confiar más en los proveedores. Si tienen sus propias vulnerabilidades y desafíos, los atacantes encontrarán un punto débil", explica Watts.
3. Acceso privilegiado: El riesgo de amenazas internas es un problema para todas las empresas. La confianza cero no servirá de nada en los casos en los que un privilegiado pueda tener permiso válido para acceder a recursos sensibles, porque este empleado es de confianza.
Otras tecnologías pueden reducir el riesgo, afirma Ozin. "Alguien puede tener todos los privilegios, pero ¿de repente está en Internet a las 3 de la mañana? Puede poner análisis de comportamiento junto a la confianza cero para detectarlo. Nosotros lo utilizamos como parte de nuestro EDR [endpoint detection and response] y como parte de nuestro inicio de sesión Okta. También tenemos un programa de prevención de pérdida de datos: ¿están imprimiendo 60 páginas cuando normalmente no imprimen nada?".
Según Watts, de Gartner, las amenazas internas constituyen un importante riesgo residual tras la implantación de controles de confianza cero. Además, las personas de confianza pueden ser engañadas para que filtren datos o permitan a los atacantes entrar en los sistemas mediante ingeniería social. "Las amenazas internas y los ataques de toma de control de cuentas son los dos riesgos que persisten en un mundo perfecto de confianza cero", afirma.
También está el correo electrónico de empresa comprometido, en el que las personas con acceso al dinero de la empresa son engañadas para que envíen los fondos a los malos. "Un correo electrónico comercial comprometido puede ser una falsificación profunda que llama a un miembro de la organización y le pide que transfiera dinero a otra cuenta", indica Watts. "Y nada de eso toca realmente ninguno de sus controles de confianza cero". Para hacer frente a esto, las empresas deben limitar el acceso de los usuarios para que, si se ven comprometidos, el daño sea mínimo. "Con una cuenta privilegiada, esto es difícil", señala. El análisis del comportamiento de usuarios y entidades puede ayudar a detectar amenazas internas y ataques de toma de control de cuentas. La clave está en desplegar la tecnología de forma inteligente, para que los falsos positivos no impidan a alguien hacer completamente su trabajo.
Por ejemplo, una actividad anómala podría activar un control adaptativo, como cambiar el acceso a sólo lectura o bloquear el acceso a las aplicaciones más sensibles. Las empresas deben asegurarse de no dar demasiado acceso a demasiados usuarios. "No es sólo un problema tecnológico. Hay que contar con las personas y los procesos que lo respalden", afirma Watts.
Según la encuesta de Cybersecurity Insiders, el 47% señala que el acceso excesivo de los empleados con privilegios es uno de los principales retos a la hora de implantar la confianza cero. Además, el 10% de las empresas afirma que todos los usuarios tienen más acceso del que necesitan, el 79% dice que algunos o unos pocos usuarios sí lo tienen, y sólo el 9% afirma que ningún usuario tiene demasiado acceso. Un estudio de Dimensional Research, realizado en nombre de BeyondTrust, descubrió que el 63% de las empresas declararon haber tenido problemas de identidad en los últimos 18 meses que estaban directamente relacionados con usuarios o credenciales privilegiados.
4. Servicios de terceros: CloudFactory es una empresa de datos de IA con 600 empleados y ocho mil "trabajadores en la nube" bajo demanda. La compañía ha adoptado plenamente la confianza cero, comenta el jefe de operaciones de seguridad de la compañía, Shayne Green. "Tenemos que hacerlo, debido a la gran cantidad de usuarios que soportamos".
Los trabajadores remotos inician sesión con la autenticación de Google, a través de la cual la empresa puede aplicar sus políticas de seguridad, pero hay una brecha, señala Green. Algunos proveedores de servicios de terceros críticos no admiten el inicio de sesión único ni la integración del lenguaje de marcado de aserción de seguridad. Como resultado, los trabajadores pueden iniciar sesión desde un dispositivo no aprobado utilizando su nombre de usuario y contraseña, anota. "Entonces no hay nada que les impida salir de nuestra visibilidad". Los proveedores de tecnología son conscientes de que esto es un problema, según Green, pero se están quedando atrás y tienen que dar un paso adelante.
CloudFactory no es la única empresa que tiene este problema, pero los problemas de seguridad de los proveedores van más allá de los mecanismos de autenticación que utilicen. Por ejemplo, muchas empresas exponen sus sistemas a terceros a través de API. Puede ser fácil pasar por alto las API al calcular el alcance de una implantación de confianza cero.
Se pueden tomar los principios de la confianza cero y aplicarlos a las API, sostiene Watts. Esto puede mejorar la seguridad, pero sólo hasta cierto punto. "Sólo puede controlar la interfaz que expone y pone a disposición de terceros. Si el tercero no tiene buenos controles, eso es algo sobre lo que normalmente no tiene control". Cuando un tercero crea una aplicación que permite a sus usuarios acceder a sus datos, la autenticación en el cliente puede ser un problema. "Si no es muy fuerte, alguien podría robar el testigo de sesión", anota Watts.
Las empresas pueden auditar a sus proveedores externos, pero las auditorías suelen ser una comprobación única o se realizan ad hoc. Otra opción es desplegar análisis que permitan detectar si algo que se está haciendo no está aprobado. Permite detectar eventos anómalos. Una falla en una API que se explota podría aparecer como uno de esos eventos anómalos, indica Watts.
5. Nuevas tecnologías y aplicaciones: Según una encuesta realizada este año por Beyond Identity a más de 500 profesionales de la ciberseguridad en Estados Unidos, el manejo de nuevas aplicaciones era el tercer mayor reto para implantar la confianza cero, citado por el 48% de los encuestados. Añadir nuevas aplicaciones no es el único cambio que las empresas pueden querer hacer en sus sistemas. Algunas empresas intentan constantemente mejorar sus procesos y mejorar el flujo de comunicación, afirma John Carey, director general del grupo de soluciones tecnológicas de AArete, una consultora global. "Esto está reñido con el concepto de confianza en los datos, que pone barreras a los datos que circulan libremente".
Esto significa que, si la confianza cero no se implementa o no se diseña correctamente, la productividad puede verse afectada, sostiene Carey. Un ámbito en el que esto puede ocurrir es el de los proyectos de IA. Las empresas disponen de un número cada vez mayor de opciones para crear modelos de IA personalizados y afinados, específicos para sus negocios, incluida, más recientemente, la IA generativa.
Cuanta más información tenga la IA, más útil será. "Con la IA, queremos que tenga acceso a todo. Ese es el propósito de la IA, pero si se vulnera, tiene un problema. Y si empieza a revelar cosas que no quiere, es un problema", explica Martin Fix, director de tecnología de la consultora tecnológica Star.
Hay un nuevo vector de ataque, anota Fix, llamado "pirateo rápido", en el que los usuarios malintencionados intentan engañar a la IA para que les diga más de lo que debería mediante una redacción inteligente de las preguntas que hacen. Una solución, dice, es evitar entrenar IAs de propósito general con información sensible. En su lugar, estos datos podrían mantenerse separados, con un sistema de control de acceso que compruebe si el usuario que hace la pregunta tiene permiso para acceder a ellos. "Los resultados podrían no ser tan buenos como con una IA no controlada. Requiere más recursos y más gestión".
La cuestión de fondo aquí es que la confianza cero cambia la forma de trabajar de las empresas. "Los proveedores dicen que es fácil. Basta con poner un poco de seguridad en los bordes por donde entra su gente. No, no es fácil. Y la complejidad de la confianza cero está empezando a salir a la luz", explica Deepak Mathur, responsable de confianza cero para Estados Unidos de KPMG. Ese es uno de los grandes defectos de los que nunca habla la confianza cero, afirma. Cuando las empresas implantan tecnologías de confianza cero, tienen que cambiar los procesos. En cambio, con demasiada frecuencia se da por sentado que la gente arreglará los procesos.
Basado en el artículo de Maria Korolov (CSO) y editado por CIO Perú