[13/10/2023] A pesar de que las organizaciones aumentan cada año su gasto en tecnología, infraestructura y servicios de ciberseguridad, los actores de las amenazas siguen encontrando formas de colarse por las rendijas. Esto se debe a dos razones principales: Una, el error humano: Por desgracia, muchos usuarios siguen sin tomarse en serio la seguridad. Visitan sitios web que no deberían, hacen clic en cosas que no deberían e introducen credenciales en lugares donde no deberían. Como resultado, sus sistemas, identidades y credenciales se ven comprometidos, lo que permite a los atacantes entrar cómodamente por la puerta principal.
En segundo lugar, los ataques a aplicaciones: Los atacantes se dirigen a las aplicaciones orientadas a Internet, y aprovechan los errores y vulnerabilidades de su código. Esto se debe a que muchas de estas aplicaciones de terceros gozan de una confianza implícita y normalmente su tráfico no es inspeccionado por las organizaciones. El reciente pirateo de MOVEit es un buen ejemplo: los atacantes aprovecharon una vulnerabilidad y penetraron en los entornos de más de mil organizaciones, robando los registros de más de 60 millones de personas.
El enfoque de la seguridad tradicional ha quedado obsoleto
Con más empleados trabajando fuera del perímetro corporativo y accediendo a datos y aplicaciones de software como servicio (SaaS) en la nube, el modelo tradicional de ciberseguridad ya no es relevante. Además, todas y cada una de las organizaciones que se han visto expuestas a una brecha cuentan con un firewall, por lo que éste no siempre es eficaz. Los actores de las amenazas están cifrando todo el malware y este tráfico cifrado pasa a través de los firewalls utilizando canales legítimos como el puerto 443. Descifrar el tráfico no es fácil. Descifrar el tráfico no siempre es factible. Los firewalls tradicionales suelen carecer de la capacidad o el rendimiento necesarios para inspeccionar el enorme volumen de tráfico entrante de computación en nube. Por estas razones, muchos expertos ven la confianza cero como la respuesta.
Recomendaciones y buenas prácticas para la implantación de la confianza cero
En el mundo físico, si los atacantes se presentan en su edificio y presentan una identificación válida emitida por la empresa, obtienen acceso general al edificio. Pueden ir a cualquier departamento, mirar en cualquier habitación, acceder a todas las áreas del edificio y marcharse.
La confianza cero se basa en el principio de que no se debe confiar implícitamente en ningún usuario, aplicación o dispositivo. Esto significa que, si los atacantes se presentan en su edificio, su identidad se verificará en cada una de las salas y departamentos que visiten, y no sólo en la puerta principal. El gobierno estadounidense ha ordenado que todas las agencias gubernamentales y contratistas adopten tecnologías y marcos de confianza cero.
Los estudios demuestran que, aunque el 90% de las empresas están adoptando la confianza cero, la mayoría tiene problemas para aprovechar todo su potencial. Esto se debe a que la confianza cero es confusa, y a que los proveedores de seguridad la han estado comercializando como si fuera una tecnología que se puede comprar de la estantería. En realidad, la confianza cero es más bien una arquitectura (un marco), y no hay una bala de plata. La confianza cero consiste en minimizar o contener el radio de explosión. A continuación, se ofrecen recomendaciones a tener en cuenta a la hora de implantar la confianza cero:
1. Empezar con la confianza cero desde cero utilizando un enfoque moderno: Cuando Blockbuster intentó ser más listo que Netflix, conectó un montón de reproductores de DVD a la nube. Obviamente, esto no produjo la fidelidad adecuada y Blockbuster quebró. Fundamentalmente, tomaron la decisión arquitectónica equivocada. Del mismo modo, con la confianza cero, es importante tener en cuenta la deuda técnica y diseñar la seguridad desde cero. Si las organizaciones se limitan a poner capas de seguridad encima, harán más daño, introducirán más lagunas y crearán más complejidades para gestionar la seguridad.
2. Reducir su superficie de ataque utilizando una nube de seguridad: Recuerde siempre esto: si es accesible, es infranqueable. Por lo tanto, si las aplicaciones están expuestas a Internet, lo más probable es que los atacantes las pongan en peligro. Por lo tanto, las aplicaciones y los servidores deben colocarse siempre detrás de una nube de seguridad para evitar este vector de ataque. Ahora bien, cuando un atacante llama a su puerta, es una centralita y no una puerta. La centralita dice: "Dígame, ¿adónde quiere ir? Voy a puentear esa conexión para usted. No voy a conectarle directamente a esa aplicación". Este es un elemento importante de una arquitectura de confianza cero.
3. Utilizar la segmentación para evitar el movimiento lateral: Aunque la segmentación de la red no es nueva, la confianza cero fomenta la microsegmentación. Esto significa que las organizaciones deben segmentar o bifurcar las redes, las cargas de trabajo y las aplicaciones a un nivel granular. En caso de que los adversarios penetren en su entorno, la microsegmentación ayuda a limitar el movimiento lateral, contiene la amenaza y evita que el malware se propague por todo el entorno.
4. Implementar un acceso de usuario detallado: El error humano es inevitable. Es la razón por la que se producen la mayoría de las brechas en la nube y los ataques de ransomware. Si los atacantes consiguen acceder a la cuenta de un usuario con privilegios, pueden aprovecharla para robar información confidencial, desconectar sistemas, secuestrarlos o desplazarse lateralmente por la red y comprometer otros sistemas. En un mundo de confianza cero, los usuarios tienen acceso a las cosas a las que se supone que deben acceder y nada más.
No sólo se comprueba la identidad. Hay que revisar algunos parámetros contextuales (hora de acceso, ubicación desde la que se originó la solicitud, tipo de dispositivo, etc.). Para ello, las organizaciones deben aplicar el principio del mínimo privilegio, aplicar permisos granulares y desplegar mecanismos de autenticación que tengan en cuenta tanto la identidad como el contexto.
5. Tener siempre presente la experiencia del usuario: La forma más rápida de acabar con un proyecto de confianza cero es perturbar a los usuarios. Si despliega la arquitectura correctamente, la experiencia del usuario puede mejorar, lo que puede ayudar a reducir la fricción interna. Por ejemplo, si la autenticación se realiza sin problemas, el acceso y la conectividad serán más fáciles; los usuarios aceptarán de buen grado la confianza cero.
Las brechas son inevitables: no basta con cerrar ventanas y puertas. Lo que las organizaciones necesitan es un nivel de seguridad que acompañe a los usuarios con los ojos vendados hasta el lugar donde se encuentra el edificio, luego los acompañe hasta la sala a la que tienen que ir y, por último, los acompañe de vuelta a la salida, mientras se asegura de que no se han llevado ni dejado nada.
Sin embargo, si las organizaciones siguen las mejores prácticas y se centran en conseguir la arquitectura y la experiencia de usuario adecuadas, sin duda construirán una postura de ciberseguridad más resistente, que es la necesidad del momento.
Basado en el artículo de Michelle Drolet (CSO) y editado por CIO Perú
Michelle Drolet es una experta en seguridad con 26 años de experiencia prestando servicios tecnológicos de seguridad informática a organizaciones. Antes de fundar Towerwall (antes Conqwest) en 1993, fundó CDG Technologies, haciendo crecer el negocio de consultoría de TI de dos a 17 empleados en su primer año. A continuación, la vendió a una empresa pública y permaneció a bordo. Desalentada por la dirección que estaba tomando la empresa matriz, decidió recomprar su empresa. Relanzó la empresa con sede en Framingham como Towerwall. Entre sus clientes figuran Biogen Idec, Middlesex Savings Bank, PerkinElmer, Raytheon, Smith & Wesson, Covenant Healthcare y muchas empresas medianas.