Cada paso que da en el viaje del “Zero trust” de su organización reduce su riesgo de tiempo de inactividad, violaciones de datos y fallas de cumplimiento, por lo que el momento de comenzar a implementarlo es ahora, dice Bryan Patton. Aquí explora por qué tantas organizaciones se están moviendo hacia el “Zero trust” y cómo dar sus primeros pasos.

Los costos de violación de datos se han disparado desde el brote de COVID-19 a medida que las empresas pasaron abruptamente a soluciones basadas en la nube de trabajo remoto solo para descubrir que sus esquemas de seguridad a menudo se retrasaban con respecto a este rápido cambio tecnológico, pero la seguridad de “Zero trust” podría proporcionar algo de luz al final de este túnel oscuro.

El costo promedio de un solo incidente de violación de datos ha alcanzado los $ 4.24 millones este año, según un informe reciente de IBM, la cantidad más alta en los 17 años de historia del informe y un aumento del 10 por ciento en 2020.

Los costos aumentaron un 19 por ciento más que el promedio de las empresas que emprenden un proyecto de migración a la nube cuando se ve afectada por una violación de datos, pero el informe también revela una solución potencial en forma de seguridad de “Zero trust”. Las empresas que adoptaron un enfoque efectivo de “Zero trust” sufrieron una violación de datos promedio de $ 3.28 millones, y eso es $ 1.76 millones más bajo que aquellos que no lo habían implementado.

Comprensiblemente, todo el mundo está hablando de “Zero trust” en estos días. Microsoft anunció recientemente que está adoptando un modelo de “Zero trust”,y la NSA ha emitido una guía para ayudar a otras organizaciones a implementarlo también.

Zero Trust no es un nuevo conjunto de tecnología, y tampoco es un producto mágico que pueda comprar a Microsoft o a algún otro proveedor. Tampoco es un checklist definido de acciones a tomar, ni un procedimiento específico que pueda copiar de un sitio web y seguir paso a paso.

Más bien, el “Zero trust” es un modelo de seguridad para entornos de TI, que tiene muchos componentes diferentes: estaciones de trabajo de usuario, servidores, aplicaciones, bases de datos, dispositivos de red y, por supuesto, usuarios.

Toda esta tecnología y todos estos datos, no es bueno para nadie si están completamente aislados de las personas que lo necesitan. Es por eso que uno de los desafíos principales que enfrenta cualquier equipo de TI es garantizar que cada persona pueda ver y usar los datos, aplicaciones y otros recursos que requieren para hacer su trabajo, pero sin permitir que nadie tenga más acceso del que necesita. Esto también debe lograrse sin crear un sistema que sea demasiado oneroso para permitir realmente a los usuarios realizar el trabajo.

Un buen modelo de seguridad establece un conjunto de principios de diseño de sistemas, controles y procesos para garantizar la llamada Tríada de la CID (CIA en inglés), lo que significa confidencialidad, integridad y disponibilidad de sus activos de TI. Con este tipo de modelo de seguridad, puede diseñar una arquitectura de TI que cumpla con sus objetivos de seguridad y al mismo tiempo la productividad del usuario.

El “Zero trust” no es el primer ni el único modelo de seguridad. Se basa en una larga historia de modelos de seguridad de TI.

La razón apremiante para adoptarlo, aparte de las impactantes cifras destacadas anteriormente, es que asegurar un entorno de TI se ha vuelto más difícil a lo largo de los años. En el pasado, «estación de trabajo» significaba una PC corporativa con un conjunto específico de aplicaciones instaladas; y conectarse a la red corporativa requería atravesar no solo la puerta principal del negocio, sino también la puerta de una oficina con una PC adecuada y una conexión física a la red. Por lo tanto, los modelos de seguridad se construyeron en torno a la fortificación del perímetro para mantener a los atacantes fuera.

La llegada de los portátiles y luego traer su propio dispositivo (BYOD) junto con la necesidad de trabajar de forma remota gracias a la pandemia lo ha cambiado todo.

Ahora, los usuarios se conectan rutinariamente a las redes corporativas de forma remota utilizando dispositivos sobre los que TI podría tener poco control, lo que aumenta las posibilidades de que los atacantes puedan ingresar a la red. Además, la seguridad basada en el perímetro ignora la realidad de los insiders maliciosos ansiosos por acceder a datos, aplicaciones y otros recursos que no deberían, así como los empleados negligentes o mal capacitados que pueden causar el mismo daño.

Los ejemplos son demasiado fáciles de encontrar. En septiembre de 2020, Yevgeniy Nikulin fue condenado a 88 meses de prisión por piratear LinkedIn y otras empresas. Desde su ubicación en Moscú, Nikulin violó una computadora perteneciente a un empleado de LinkedIn en el Área de la Bahía e instaló un software que le permitió controlar la máquina de forma remota y usar las credenciales del empleado para acceder a la VPN corporativa de LinkedIn.

Una vez dentro de la red, pudo robar una base de datos que contenía las credenciales de casi 170 millones de usuarios de LinkedIn, al menos 6,5 millones de los cuales se publicaron en un foro clandestino de contraseñas.

La violación fue costosa para LinkedIn: además de la factura por los servicios de unos 100 ingenieros que trabajaron durante al menos seis semanas para remediar el problema, sufrió críticas cuando el mundo se enteró de que las identificaciones se obtuvieron originalmente de una violación en 2012 y luego se encontraron a la venta en 2016. Resultó que la red social centrada en el negocio había restablecido las cuentas de una fracción de los afectados, sin darse cuenta de la magnitud de la violación hasta cuatro años después, cuando finalmente restableció las cuentas a una escala mucho mayor. Ahora se enfrenta a gastos legales continuos para que se quite el volcado de contraseñas.

A medida que incidentes como el ataque de LinkedIn se multiplicaron, las organizaciones se vieron obligadas a expandir su enfoque de seguridad para incluir la amenaza de credenciales comprometidas. Después de todo, una vez que un atacante roba las credenciales de un usuario a través de phishing u otras técnicas, tiene acceso a la estación de trabajo del usuario y, a menudo, puede ejecutar software que captura las credenciales de otras cuentas. Las cuentas de servicio y de administrador son especialmente valiosas porque permiten al atacante atravesar la infraestructura horizontal y verticalmente y acceder a datos y aplicaciones confidenciales.

Para ayudar a frustrar este tipo de ataques, Microsoft introdujo una arquitectura de referencia y mejores prácticas llamada Enhanced Security Admin Environment (ESAE), más conocida por su apodo,  Red Forest. Esto reduce el riesgo de que las cuentas altamente privilegiadas se vean comprometidas al separar las cuentas en tres niveles, cada uno con los niveles adecuados de protocolos de seguridad.

El nivel 0 incluye todas las cuentas que tienen control administrativo directo o indirecto sobre el arbol de Active Directory, los dominios o los controladores de dominio y los activos que contengan. Esas cuentas están protegidas por la autenticación multifactor, así como por prácticas recomendadas como capacitar a los administradores para que usen cuentas privilegiadas solo para tareas que las requieran, y no para cosas como revisar las redes sociales o incluso Microsoft TechNet.

La adopción de ESAE ayuda a las organizaciones a reducir el riesgo, pero esta arquitectura puede ser muy compleja y costosa de implementar. Además, no es un modelo de seguridad, es solo una arquitectura para proteger las cuentas administrativas locales de Windows Server Active Directory.

Con organizaciones de todo el mundo que adoptan con entusiasmo la nube y se mueven a infraestructuras de TI híbridas, Microsoft ahora recomienda Red Forest para un conjunto limitado de escenarios, como laboratorios de investigación fuera de línea, sistemas de control industrial y otras situaciones en las que la necesidad de una seguridad sólida supera la mayor complejidad y el costo operativo de la solución ESAE. Para todos los demás, recomienda una estrategia moderna de acceso privilegiado como parte de un enfoque más amplio del “Zero Trust”.

Basta con echar un vistazo a los titulares para darse cuenta de que no es prudente asumir que cualquiera que haya pasado sus puertas es confiable y permitirles deambular por su ecosistema de TI a su debido tiempo. En una red de “Zero trust”, ningún usuario, servicio u otro elemento obtiene un pase libre. En su lugar, se requiere una verificación continua: se utiliza información en tiempo real de múltiples fuentes para tomar decisiones de acceso y otras respuestas del sistema.

El modelo no niega la importancia de un perímetro fuerte. Sin embargo, asume que las brechas son inevitables y que las fuerzas maliciosas ya podrían estar dentro de su red. No se debe confiar implícitamente en ningún usuario o servicio, y debe buscar activamente actividades anómalas o maliciosas. Implementar un modelo de “Zero trust” puede ser la diferencia entre sufrir un hackeo limitado con daños insignificantes o un incidente importante en el que se pierden terabytes de datos críticos y regulados.

Una forma de ver si este modelo agregará valor para su organización es realizar una auditoría exhaustiva de sus identidades, permisos, redes, dispositivos y aplicaciones. Haga una lista de todas las vulnerabilidades que encuentre, incluidos los usuarios sobreprivilegiados, las cuentas zombis, los dispositivos sin parches y las instancias de TI en la sombra.

Adoptar una mentalidad de “Zero trust” puede ayudarlo a desarrollar un plan integral para cerrar esas brechas de seguridad y construir una estrategia de seguridad sólida para el futuro.

Es esencial entender que el “Zero trust”, como cualquier modelo de seguridad, no es algo que implementes y marques en tu lista, como pintar tu cocina. Es más como mantener y mejorar su hogar, un proceso continuo que involucra una amplia gama de procesos y tecnologías.

Sin embargo, hay marcos probados que lo ayudarán en su viaje. En particular, el plan de modernización rápida (RAMP) de Microsoft está diseñado para ayudarlo a adoptar rápidamente su estrategia de acceso privilegiado recomendada. El objetivo es aplicar el principio de privilegios mínimos a cada decisión de acceso, permitiendo o denegando el acceso a los recursos en función de la combinación de múltiples factores contextuales, y no solo una sola autenticación anterior. Para proporcionar el máximo beneficio, los principios de “Zero trust” deben impregnar la mayoría de los aspectos del ecosistema de TI.

Implementar un modelo de “Zero trust” no es una garantía férrea de que nunca sufrirá un incidente de seguridad grave y el proceso implica no solo esfuerzo y gasto, sino también riesgo, ya que coloca barandillas y badenes en su lugar que podrían ralentizar los procesos comerciales y, de lo contrario, reducir la productividad del usuario.

Sin embargo, el aumento de la seguridad no tiene precio. Si bien continuar con sus medidas de seguridad existentes es el camino más fácil, no es la opción más sabia. Cada paso que da en su viaje de “Zero trust” reduce su riesgo de tiempo de inactividad, violaciones de datos y fallas de cumplimiento, por lo que el momento de comenzar a implementarlo es ahora.

Enlace Continuity central:

Zero trust security: what it is and why adoption is increasing (continuitycentral.com)

Author Bryan Patton, Principal Solutions Consultant at QuestRead Quest’s guide to zero trust here.

En colaboración con

Your email address will not be published.

You may use these <abbr title="HyperText Markup Language">HTML</abbr> tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Lang. »