Zero Trust Security: ¿qué es y para qué sirve?

La preocupación por la seguridad es más que evidente en la actualidad, ya que los cibercriminales no cesan en buscar nuevos vectores de ataque y nuevas formas de romper sistemas informáticos, tanto por software como por hardware. Además, por otro lado tenemos una lucha de las empresas por implementar nuevas medidas de seguridad, como es el paradigma Zero Trust Security del que te vamos a hablar aquí para que sepas de qué se trata.

Quizás también te pueda interesar:

• Side-channel attacks: qué son
• Malware: qué es y tipos
• Zero Trust Security: ¿se puede aplicar al hardware?

¿Qué es la seguridad de confianza cero o Zero Trust Security?

A lo largo de la historia las empresas se han basado en modelos de ciberseguridad muy diferentes, en los que se trataba de aislar para que cualquier persona fuera del perímetro de la red corporativa es sospechosa y cualquiera que esté dentro se consideran intrínsicamente confiables. Por tanto, esto implica un modelo de confianza implícita o implicit trust. Pero esto ha terminado con filtraciones muy costosas, ataques dañinos y otros estragos cuando el ciberatacante supera ese perímetro de seguridad.

Por tanto, ahora se propone que en lugar de centrarse en la ubicación de los usuarios y dispositivos conectados, se usará un método de acceso en función de la identidad y los roles, independientemente si están fuera o dentro. Esta es la idea básica del Zero Trust Security.

Por tanto, Zero Trust Security usa constantemente la autorización y autenticación en la red, en lugar de solo evaluar el perímetro. Este modelo restringe también posibles amenazas internas cuando se compromete una cuenta legítima. De ese modo, se consiguen mejores resultados, limitando el acceso a datos privilegiados solo a un grupo de usuarios.

Lo cierto es que el concepto de confianza cero existe desde hace más de una década, pero actualmente ha evolucionado y se ha popularizado para traer mejoras considerables a los problemas de ciberseguridad actuales.

¿Por qué es importante el modelo de confianza cero?

Durante el confinamiento, fueron muchos los empleados que trabajaban desde sus casas, además de alumnos que usaban plataformas de enseñanza online, etc. Durante este periodo, hubo muchas violaciones de datos que costaron ingentes cantidades de dinero a las empresas. Por eso, se estimuló la necesidad de una mejor ciberseguridad para los accesos remotos.

Tradicionalmente, las empresas han venido dependiendo de tecnologías como los cortafuegos, o el uso de una VPN para accesos remotos. Sin embargo, esto no deja de tener problemas cuando las credenciales de inicio de sesión de una VPN caen en manos equivocadas.

Además, el modelo basado en el perímetro se diseñó para una época en la que pocos usuarios necesitaban de acceso remoto y donde los recursos de organización residían localmente en el centro privado de la empresa. Ahora estos recursos suelen estar dispersos por centros de datos de terceros, lo que difumina el perímetro como se conocía tradicionalmente.

En definitiva, el enfoque heredado de ciberseguridad está haciéndose cada vez menos efectivo por las nuevas necesidades y tecnologías emergentes. Por tanto, ha dejado de ser eficiente y se ha transformado en peligroso, por lo que se necesita implementar el modelo de Zero Trust Security para mejorar la seguridad actual.

Adoptar el modelo Zero Trust Security favorece a:

• Mejor protección de datos sensibles
• Soporte a la auditoría de cumplimiento
• Menor riesgo de incumplimiento y tiempo de detección
• Visibilidad del tráfico de red
• Mejor control en entornos basados en la nube
• Microsegmentación, un principio fundamental en la ciberseguridad para aislar recursos y evitar los ataques laterales

¿Cómo funcionan los accesos en Zero Trust Security?

En los modelos de confianza cero, o accesos ZTNA (Zero Trust Network Access), se tendrá un controlador o agente de confianza que hace cumplir las políticas de acceso preestablecidas por la organización o servicio, y denegar la conexión entre usuarios y aplicaciones en otros casos. El software identificará a los usuarios por su ID y su función, así como por otros posibles parámetros (ubicación geográfica, horario, etc.).

De este modo, cualquier contexto fuera de eso lo trataría como sospechoso y lo denegaría, incluso si se trata de una solicitud de un usuario autorizado. Además, una vez autenticados y conectados, los usuarios solo podrán ver las aplicaciones o acceder a los datos para los que están autorizados, y no a todos los recursos de la red. El resto permanecerá oculto para el usuario.

Planificación Zero Trust Security

Los expertos en seguridad se han puesto de acuerdo en cómo debe ser el enfoque de Zero Trust Security, aunque a menudo es complicado de implementar en la práctica. Pero muchas empresas y organizaciones que planean adoptar el modelo, deberían tener en cuenta los siguientes desafíos:

• Mezclar modelos de confianza implícita y confianza cero puede dejar brechas de seguridad. Y esto es importante cuando resulta complicado la transición entre un marco de confianza tradicional y uno de confianza cero.
• Puede generar problemas con tecnologías heredadas que no están preparadas para la Zero Trust Security. Por tanto, puede generar muchos dolores de cabeza a los administradores y técnicos de hardware y software.
• En ocasiones la implementación abarca a todo el entorno TI, por lo que no es fácil la adopción ni barata.
• Las estrategias de Zero Trust Security dependen de lo bueno que sea el control de acceso, por tanto, se necesita de una buena administración de identidades, roles y permisos.
• Podría generar problemas de productividad si se obstaculiza el acceso de los usuarios de forma indebida.
• Se necesitará también conocer bien la plataforma a proteger, comprender los controles de seguridad ya existentes, incorporar nuevas herramientas y tecnologías modernas, aplicar una política detallada y sistemas de monitorización y alerta.

Una vez conocidos todos estos desafíos, se podrá implementar el enfoque de confianza cero en la organización teniendo los puntos muy presentes. Además, se necesita personal cualificado en áreas como aplicaciones y seguridad de datos, seguridad de redes e infraestructuras, identidad de usuario y dispositivos, así como otras operaciones de seguridad.

Una vez se ha tenido todo esto en cuenta, los enfoques de Zero Trust Security se pueden aplicar a muchos casos, desde acceso seguro de terceros a un servicio, acceso remoto a redes, seguridad y visibilidad en el IoT, etc.

Zero Trust Security vs otros enfoques de seguridad

La industria de la ciberseguridad ha avanzado mucho en los últimos años, y cuenta con numerosas tecnologías, estrategias y políticas interesantes. Pero, ¿cómo son estos otros enfoques frente a Zero Trust Security? Veamos algunos casos:

ZTS vs SDP

El SDP (Software Defined Perimeter) tiene un enfoque similar a la confianza cero en tanto y en cuanto tiene como objetivo mejorar la seguridad controlando a los usuarios y dispositivos que acceden. Pero, a diferencia de ZTS, SPD es una arquitectura compuesta por controladores y hosts que controlan y facilitan las comunicaciones.

ZTS vs VPN

Una VPN o Virtual Private Network, es otra tecnología que también comparte el mismo propósito, el de garantizar la seguridad. Pero una VPN ha demostrado no ser tan eficaz cuando crece el número de trabajadores remotos y servicios, aunque aún deben seguir presentes para ayudarnos a estar más seguros. De hecho, se pueden usar en conjunto con la confianza cero.

También te invito a leer nuestra guía con las mejores VPN para que estés siempre protegido mientras navegas.

ZTS vs prueba de conocimiento cero

Estos términos comparten algunas semejanzas, pero la prueba de conocimiento cero es una metodología que se puede utilizar cuando una parte quiere probar la validez de la información de una segunda parte sin compartir ningún tipo de información. Algoritmos criptográficos basados en la prueba de conocimiento cero permiten que la parte que debe realizar la prueba demuestre matemáticamente su veracidad. Por ejemplo, algunos métodos tradicionales como 2FA o MFA, usan este tipo de pruebas de conocimiento cero.

ZTS vs PoLP

El principio de privilegio mínimo, o PoLP en inglés (Principle of Least Privilege), es un concepto de seguridad que otorga a los usuarios y dispositivos solo los derechos de acceso necesarios para hacer su trabajo y nada más. Eso incluye acceso a datos, aplicaciones, sistemas y procesos. Si las credenciales se ven comprometidas, esta restricción garantiza que el impacto sea el mínimo.

Aunque Zero Trust Security es similar a PoLP en algunos sentidos, la diferencia principal está en que ZTS también se centra en la autentificación y autorización de usuarios y dispositivos.

ZTS vs Defensa en profundidad

Una estrategia de seguridad de defensa en profundidad involucra varias capas de procesos, personas y tecnologías para proteger los datos y sistemas. Esto debería de cubrir la mayoría de las brechas, y de hecho podría ser más fuerte que la confianza cero, ya que si falla una capa de seguridad, habrá otras.

Sin embargo, la Zero Trust Security suele ser más atractiva. No obstante, incluir un principio de defensa en profundidad junto a un marco de confianza cero puede fortalecer mucho la seguridad.

Pasos para implementar Zero Trust Security

Para finalizar, hay también que tener en cuenta cómo se puede implementar una política de confianza cero o Zero Trust Security. Esto puede variar según el modelo, pero se fundamenta en 7 pilares fundamentales:

1. Seguridad de los usuarios
2. Seguridad del dispositivo
3. Seguridad de la carga de trabajo
4. Seguridad de la red
5. Seguridad de datos
6. Visibilidad y análisis
7. Automatización y orquestación

Además, hay que tener en cuenta que existen varios métodos de implementar este tipo de seguridad de confianza cero, que pueden ir desde algunos más sencillos, hasta otros más avanzados y complejos.Una vez la empresa u organización está lista para adoptar la Zero Trust Security, entonces se deberán seguir estos pasos para su correcta implementación:

1. Formar el equipo dedicado a la confianza cero: se deben elegir los miembros correctos, ya que esto marcará la diferencia entre el éxito y el fracaso. Eso supone elegir administradores, técnicos, así como otros recursos como herramientas, equipamiento de red adecuado, monitorización, tecnologías de seguridad adicionales, etc.
2. Elegir la base del acceso: esto podría variar, ya que algunas optan por accesos basados en la identidad del usuario y del dispositivo, otros en las aplicaciones y los datos manejados, y otros en la red.
3. Evaluar el entorno: hay que hacer una auditoría o análisis de los controles ya implementados de seguridad. Además, habría que verificar el nivel de confianza que brindan y posibles brechas para solucionarlas antes de que sea tarde.
4. Analizar la tecnología disponible: es importante realizar este otro paso para ver qué metodologías y tecnologías se deben desarrollar en la estrategia de Zero Trust Security.
5. Implementar medidas de confianza cero.
6. Definir cambios operativos: es importante documentar y evaluar cualquier cambio en las operaciones, además de modificar o autorizar procesos cuando sea necesario.
7. Ajustes: a medida que se van implementando las medidas de confianza cero se deben evaluar en cuanto a su eficacia y realizar ajustes si son necesarios. Luego comienza el proceso de nuevo…

No olvides dejar tus comentarios con dudas o sugerencias…