¿Qué es Zero Trust?

Zero Trust (ZT) es un enfoque de arquitectura y meta para la seguridad de las redes que asume que cada transacción, entidad e identidad no es de confianza hasta que esta sea establecida y mantenida a lo largo del tiempo. Las estrategias ZT contrastan con la vista legacy de que una red es segura a menos de que los sistemas de seguridad identifiquen una brecha.

Seguridad más allá del borde

Durante la última década, las empresas se han vuelto cada vez más digitalizadas. Ahora incluyen arquitectura en la nube, incorporan más trabajo remoto y tienen soluciones as-a-service agregadas entre otros cambios transformativos. Los equipos de seguridad han escalado la seguridad de las redes de acuerdo con estos cambios, a menudo fortaleciendo las protecciones por medio de la segmentación de la red en zonas más pequeñas.

Esta estrategia, desafortunadamente, creaba más oportunidades para los atacantes. Cuando los atacantes acceden a la información de inicio de sesión de un usuario, pueden moverse lateralmente a lo largo de la red, propagando el ransomware y agregando privilegios mientras avanzan.

La autenticación multi-factor (MFA) mejoró la seguridad de las credenciales, pero agregó sólo una capa extra de autentificación. Una vez dentro, los hackers aún tienen acceso continuo hasta que finalizan la sesión o el sistema lo hace por ellos.

Nuevas formas de trabajar, incluyendo bring-your-own-device (BYOD), el trabajo remoto y la arquitectura en la nube agregaron un nuevo conjunto de vulnerabilidades. Pero incluso las nuevas protecciones de ciberseguridad con mejor visibilidad y que se encuentran al borde de la red empresarial no tienen visibilidad más allá de ese punto.

Modelo de seguridad Zero Trust

El enfoque ZT a la ciberseguridad cambia por completo el paradigma. La ciberseguridad ya no es definida por los segmentos de la red o dentro del borde de la red empresarial. La confianza no se otorga basándose en si una conexión o activo es propiedad de una empresa o un individuo. Tampoco se otorga basándose en ubicaciones físicas o de la red – internet o red de área local.

En su lugar, ZT se enfoca en recursos, usuarios y activos de forma individual, sin importar de quién son propiedad o dónde se encuentran ubicados. La autenticación se realiza de forma individual para los recursos empresariales antes de que le otorgue acceso a un usuario.

La meta es llegar a la confianza cero de cualquier elemento de la red hasta que es verificado.

Estándares Zero Trust

La versión corta respecto a la certificación y estándares de Zero Trust es que no hay ninguno. El National Institute of Standards and Technology (NIST), fundado en 1901 y ahora parte del Departamento de Comercio de los Estados Unidos, ofrece información estandarizada para tecnología, medidas y estándares para los Estados Unidos. Su meta es incrementar la competitividad en la tecnología.

NIST crea estándares para las prácticas de comunicaciones, tecnología y ciberseguridad. El grupo aún no ha creado estándares o certificaciones para zero trust, pero ha creado una Publicación Especial (SP) para discutir las metas de las arquitecturas ZT.

El abstracto del documento describe zero trust de la siguiente forma: “Zero Trust es un término para un conjunto en constante evolución de paradigmas de ciberseguridad que pasan de enfocar las defensas en perímetros estáticos basados en la red hacia los individuos, activos y recursos.” El documento continúa describiendo a profundidad el enfoque zero trust.

Confusión Zero Trust

Existe algo de confusión en el mundo de la ciberseguridad respecto a lo que ZT es. Algunos vendors están aprovechando esta confusión para vender productos etiquetados como ZT. Para quien no está bien informado, esto podría llevar al malentendido de que ZT está basado en productos.

ZT no se trata de productos particulares, aunque productos nuevos y legacy pueden ser bloques para construir la arquitectura ZT. ZT es un enfoque revolucionario de la ciberseguridad. Se mantiene firmemente en la realidad de cómo las organizaciones y los empleados se conectan y trabajan juntos actualmente.

Migrando hacia Zero Trust

Si una empresa está creando su infraestructura desde cero, es posible, y tal vez incluso más sencillo, identificar flujos y componentes de trabajo esenciales y crear solamente una arquitectura ZT. Conforme cambian el negocio y la arquitectura, el crecimiento puede adherirse a los principios de ZT a largo plazo.

En la práctica, la mayoría de las implementaciones ZT serán un proceso. Las organización retendrán algún balance de seguridad basada en perímetros y ZT con el tiempo, gradualmente implementando iniciativas de modernización.

Es probable que tome varios años establecer completamente la arquitectura ZT y que tome varios proyectos para alcanzar la meta de zero trust. Sin embargo, no existe un “destino” de ZT. Se trata de continuar implementando y cumplir con la estrategia ZT a lo largo del tiempo, tomando en cuenta cambios futuros en el negocio y la infraestructura.

Desarrollar un plan antes de actuar puede acotar el proceso a piezas más pequeñas y asegurar el éxito con el tiempo. Comenzar con un catálogo detallado de sujetos, procesos de negocio, flujos de tráfico y mapas de dependencias puede prepararle para abordar sujetos, activos y procesos de negocio específicos.

Principios Zero Trust

La arquitectura ZT es una meta y un enfoque cuya implementación toma tiempo y atención. No se trata de una instalación que puede desplegarse una única ocasión. Es una filosofía de ciberseguridad que está soportada por cuatro principios principales. Un principio particular puede depender de una técnica particular de seguridad como MFA para verificar identidades, pero la técnica usada puede cambiar a lo largo del tiempo.

Existen tres funciones básicas que componen el enfoque ZT.

  • Postura – en la seguridad pre-ZT basada en perímetros de seguridad, la verificación de identidades rara vez era blanco o negro, seguro o inseguro. El enfoque ZT significa evaluar las identidades, dispositivos, aplicaciones y usos de datos para detectar posibles riesgos. La postura es cualitativa y mira el panorama completo.
  • Evaluación continua – el enfoque ZT es evaluar constantemente todas las transacciones. Un enfoque previo, el control de admisión a redes (NAC) tenía algo de esta cualidad, pero era un sólo punto, revisaba un número menor de criterios y entonces determinaba la confianza. La arquitectura ZT considera cada intento de acceso como un punto.
  • Compromiso asumido – los equipos del centro de operaciones de seguridad (SOC) a menudo operan bajo una política de “verificar y después confiar.” Es asumir que todo está bien hasta que un sistema de seguridad realiza una alerta. ZT parte de la suposición de que nada es seguro y nada debe de proceder hasta que todo esté claro.

El viaje Zero Trust

ZT debe implementarse progresivamente y hacerse cumplir continuamente. No es un reemplazo completo o un despliegue de una sola vez que entonces forma parte de la red. Es un proceso incremental de varios años y de varios proyectos que involucra múltiples aspectos de la red, y que necesitará evaluarse continuamente conforme cambian los hábitos laborales, la tecnología y las amenazas.

La forma en cómo su organización implemente el enfoque ZT depende de su operación. Sus activos de mayor valor son un buen lugar para comenzar.

El viaje ZT incluye cuatro componentes:

  • Identity and access management (IAM) – los usuarios quieren single-sign-on y los administradores quieren una administración consolidada de los usuarios. Para que un proyecto IAM sea exitoso, debe balancear la necesidad de seguridad de la organización con la disponibilidad, la usabilidad y la eficiencia en costos. Comienza mapeando cuáles usuarios necesitan acceso a cuáles recursos, y agregar MFA si el recurso es particularmente sensible.
  • Privileged access management (PAM) – para los recursos más sensibles, una herramienta PAM como CyberArk, BeyondTrust o Thycotic agrega una capa adicional de seguridad. Esto incrementa la seguridad y agrega visibilidad.
  • Contraseñas – la filosofía de las contraseñas cambia con el tiempo, y NIST recientemente publicó una nueva guía. Basado en su análisis, recomendaron usar contraseñas largas usando palabras familiares en lugar de caracteres al azar que son difíciles de recordar. Además, los actores maliciosos usan rápidamente las contraseñas comprometidas, y la opinión de NIST es que cambiar contraseñas cada 90 días no disminuye el riesgo, pero MFA sí lo hace.
  • Monitoreo continuodefina las políticas de su organización para el acceso, ya sea basado en tiempo, nuevas solicitudes de recursos, modificaciones de recursos o anomalías. La autenticación y la autorización deben hacerse cumplir de forma estricta antes de que se otorgue el acceso.

Investigaciones Relacionadas

White Paper de Zero Trust