Una gran porción de los profesionales de seguridad tiene en sus planes implementar un modelo de Zero Trust en sus organizaciones. Sin embargo, pareciera que pasar del deseo a la realidad ha sido más complejo de lo esperado pues no supone simplemente cambiar X o Y tecnología sino el enfoque general de la estrategia de seguridad. Zero Trust no es una tecnología única, sino un enfoque de seguridad de la información que involucra diferentes tipos de tecnologías, incluida la gestión de identidad y acceso, análisis de comportamiento, seguridad de punto final y microsegmentación de red.
Adicionalmente, el rápido ritmo de la transformación digital, mayor uso de los servicios de nube y la adopción del trabajo híbrido ha creado un entorno empresarial cambiante que es complejo y difícil de proteger; y responder a las alertas, investigar las infracciones y mantener la operación en medio de la escasez de personal y habilidades en ciberseguridad es la prioridad. Esto hace que el ritmo en la adopción de una estrategia Zero Trust pueda ser lento y desalentador. Incluso cuando los líderes de seguridad avanzan con Zero Trust, existen tres barreras principales:
- Cómo y por dónde empezar, dada la escala y la complejidad de los entornos de TI modernos.
- Cómo implementar una estrategia Zero Trust sin afectar la productividad.
- Cómo obtener la visibilidad necesaria para acceder a una amplia variedad de activos empresariales.
No existe una bala de plata para implementar Zero Trust, dadas las demandas únicas de los proyectos de TI híbridos y de múltiples nubes de cada organización. Algunos acercamientos como el de CISA recomiendan trabajar en cinco áreas clave que forman la base de la madurez de Zero Trust, todas las cuales deben avanzar y optimizarse colectivamente con el tiempo: identidad, dispositivo, red/entorno, carga de trabajo y datos. En esta oportunidad abordaremos con mayor detenimiento la primera de estas.
La identidad como pilar de Zero Trust
En el pasado, el acceso privilegiado se limitaba tradicionalmente a un grupo predecible de usuarios (los administradores de red y TI). Hoy en día, cualquier identidad (un empleado, cliente, proveedor externo, dispositivo, bot o una aplicación) puede ser un camino potencial hacia los activos más valiosos de una organización. De hecho, se cree que más de la mitad (52 %) de los empleados de una organización y el 68 % de las identidades de bots o máquinas tienen acceso a datos corporativos confidenciales.
“Nunca confíes, siempre verifica”, la piedra angular de la filosofía Zero Trust, se vuelve especialmente relevante cuando las empresas examinan la gran cantidad de vulnerabilidades creadas por los puntos de entrada atravesadas por múltiples identidades. A menudo, estos puntos de entrada están asegurados por credenciales mal protegidas y se puede acceder a ellos mediante identidades con demasiado privilegio.
Los controles modernos de seguridad de la identidad, centrados en el privilegio, sientan las bases para esto al limitar el acceso a quienes lo necesitan y otorgar solo el privilegio mínimo para la tarea en cuestión. Esto incluye la autenticación continua para validar toda la sesión del usuario, no simplemente una sola solicitud de MFA, y monitorear el comportamiento del usuario para identificar cuándo se ha comprometido una identidad.
Cualquier organización que trabaje para implementar un enfoque efectivo debe comenzar aplicando los siguientes cinco principios para crear un marco de seguridad holístico.
Autenticación fuerte y adaptativa:
Las contraseñas por sí solas son insuficientes para verificar la identidad de un usuario y proteger a la empresa de pérdidas, fraudes o ataques maliciosos. Salvaguardias más sólidas basadas en el riesgo pueden ayudar a las empresas a equilibrar los conflictos de seguridad y productividad. Se requiere extender una forma adaptativa de autenticación multifactor (MFA) con acceso inteligente basado en riesgos, aplicando el contexto de un motor de análisis de comportamiento del usuario que está aprendiendo continuamente.
Aprobación y autorización continua
Confiar únicamente en los desafíos de autenticación al iniciar sesión no es suficiente para protegerse contra los tipos de ataques sofisticados de la actualidad. Debe revalidarse las identidades de los usuarios para garantizar que tengan acceso y vuelvan a autenticarse para acciones confidenciales o después de períodos de inactividad.
Acceso con privilegios mínimos
Las empresas deben limitar de manera inteligente el acceso excesivo a sus recursos híbridos y de múltiples nubes. Luego, deben asegurar el acceso en sí. Una vez que se ha autenticado una identidad y se ha otorgado la aprobación, el sistema debe otorgar acceso de la manera menos privilegiada. Se debe proporcionar sólo los permisos necesarios para realizar una tarea específica. Cuando sea posible, utilizar el acceso privilegiado “just in time”; luego eliminar los permisos cuando la tarea esté completa.
Supervisión continua
Así como el privilegio no es binario, tampoco lo son las decisiones de acceso. Las empresas deben adoptar un monitoreo continuo para confirmar que lo que está sucediendo debería estar sucediendo y detectar anomalías a medida que surjan. Se requiere analizar los patrones de comportamiento entre los usuarios finales, aplicar puntuaciones de riesgo y supervisar continuamente el acceso para crear un ciclo de retroalimentación que informe las decisiones de acceso posteriores, proporcionando el contexto para adaptar los controles sobre la marcha.
Protección de credenciales y autenticación
Los ataques que se originan en el endpoint pueden ser devastadores. Los actores maliciosos buscarán eludir los controles y encontrar la forma de sortear capas de seguridad adicionales como MFA. Es requerido bloquear el robo de credenciales en el punto final para contrarrestar las vulnerabilidades basadas en la identidad. Implementar controles de detección automatizados para detectar y bloquear intentos de robo de credenciales a través de abuso de software o scraping de memoria.
