Zero Trust y los 5 errores a evitar en su implementación

Sin importar o no si es una moda, el Zero Thust (Confianza Cero) no está libre de de fallas. Y estas sin de librito.

Por Jaikumar Vijayan | Original de IDGN

 

El interés en la seguridad Zero Trust ha aumentado significativamente en los últimos dos años entre las organizaciones que buscan mejores formas de controlar el acceso a los datos empresariales en la nube y en entornos locales para trabajadores remotos, contratistas y terceros.

Varios factores están impulsando la tendencia, incluidas: 

• Las amenazas cada vez más sofisticadas
• La adopción acelerada de la nube 
• Y un amplio cambio a entornos de trabajo remotos e híbridos debido a la pandemia. 

Muchas organizaciones han descubierto que los modelos de seguridad tradicionales en los que se confía implícitamente en todo lo que se encuentra dentro del perímetro, no funcionan en entornos en los que no existen perímetros, mientras los datos empresariales y las personas que acceden a ellos están cada vez más distribuidos y descentralizados.

Además, la Orden Ejecutiva de la Administración Biden en mayo de 2021 la cual requiere que las agencias federales implementen seguridad de confianza cero ha aumentado el interés en todos los ámbitos.  

Posicionamiento acelerado 

En una encuesta de 362 líderes de seguridad que Forrester Research realizó el año pasado en nombre de Illumio, dos tercios de los encuestados dijeron que sus organizaciones planeaban aumentar los presupuestos de Zero Trust  en 2022: 

• Más de la mitad (52%) esperaban su programa de confianza cero ofrecería beneficios significativos para toda la organización 
• Y el 50% dijo que permitiría migraciones a la nube más seguras.

Los proveedores de ciberseguridad, al percibir una gran oportunidad, lanzaron al mercado una variedad de productos etiquetados como tecnologías Zero Trust.  

Una encuesta informal que realizó la firma de analistas IT-Harvest de sitios web pertenecientes a unos 2.800 proveedores mostró que 238 de ellos presentaban de manera prominente la confianza cero.

“Después de que la Casa Blanca y CISA emitieran una guía para cambiar a un enfoque de confianza cero, todos quieren alinearse con el concepto”, dice Richard Stiennon, analista jefe de investigación de IT-Harvest.

¿A prueba de proveedores? 

La exageración en torno a estas tecnologías ha causado una confusión considerable, lo que llevó a Forrester Research – la firma de analistas que introdujo por primera vez el concepto – a aclarar su definición de Zero Trust moderna a principios de este año.  

La empresa destacó que las noticias falsas propagadas por los proveedores de seguridad sobre Zero Trust causaron confusión entre los profesionales de la seguridad. 

“Zero Trust es un modelo de seguridad de la información que niega el acceso a aplicaciones y datos por defecto. La prevención de amenazas se logra solo otorgando acceso tanto a redes como a cargas de trabajo, utilizando políticas informadas por verificación continua, contextual y basada en riesgos entre usuarios y sus dispositivos asociados”, dijo Forrester.  

La aclaratoria de la firma deja en claro la confusión que ha habido sobre el tema, desvirtuandolo y oscureciéndolo. 

Así que, en principio, le advertimos lo que son las recomendaciones de los expertos: no se deje distraer por las exageraciones de los proveedores, no se olvide de la experiencia del usuario y no se salte la higiene de seguridad básica. 

Veamos aquí cinco errores que las organizaciones deben evitar al implementar una estrategia de seguridad Zero Trust:

1.- Asumir que Zero Trust tiene que ver con ZTNA

La implementación del acceso a la red de confianza cero (ZTNA) es fundamental para lograr la confianza cero.  Pero ZTNA por sí no es Zero Trust.

ZTNA es un enfoque para garantizar que: 

• Los empleados remotos
• Los contratistas
• Los socios comerciales y otros… 

… tengan un acceso tan seguro como adaptable, basado en políticas a las aplicaciones y los datos de la empresa.  

Con ZTNA a los usuarios se les otorga acceso con privilegios mínimos, en función de su identidad, rol e información en tiempo real sobre el estado de seguridad de su dispositivo, ubicación y una variedad de otros factores de riesgo.

Cada solicitud de acceso a una aplicación, datos o servicio empresarial se examina según estos criterios de riesgo y se otorga acceso solo al recurso específico solicitado, no a la red subyacente.

En los últimos dos años, muchas organizaciones implementaron o comenzaron a implementar ZTNA como un reemplazo de acceso remoto para las VPN.  

El cambio repentino a un entorno de trabajo más distribuido debido a la pandemia desbordó las infraestructuras de VPN en muchas organizaciones y las obligó a buscar alternativas más escalables.

“Un caso de uso importante que impulsa a ZTNA es el aumento o reemplazo de VPN, impulsado por una escala nunca antes vista de trabajo remoto”, dice Daniel Kennedy, analista de 451 Research, parte de S&P Global Market Intelligence.

Históricamente, las VPN se trataban de proporcionar acceso a una red corporativa en lugar de recursos específicos, que en estos días podrían alojarse en cualquier lugar.  

Para Kennedy, el tráfico de retorno a través de una VPN y luego de regreso a los recursos alojados fuera de una red corporativa es un paso innecesario.  

“ZTNA brinda acceso a un nivel más granular y revalida ese acceso en lugar de solo proporcionar una puerta de autenticación al comienzo del acceso”, explicó.

Pero ZTNA es solo una parte de la historia de confianza cero. Para el analista de Forrester Research, David Holmes, una organización no puede decir de manera creíble que la tiene si no ha implementado  la gestión de Zero Trust, la gestión de identidad privilegiada y el microsegmento.

Forrester define la microsegmentación como un enfoque para reducir el impacto de una violación de seguridad mediante el aislamiento de datos y sistemas confidenciales, colocándolos en segmentos de red protegidos y, luego, limitando el acceso de los usuarios a esos segmentos protegidos con una gestión y gobierno de identidad sólidos.

El objetivo es minimizar la superficie de ataque y limitar las consecuencias de una brecha.  

La clave del Zero Trust es garantizar que los usuarios, incluidos aquellos con acceso privilegiado a las funciones de administración, no obtengan más acceso a las aplicaciones y los datos del que necesitan, dice Forrester.

2.- Confundir Zero Trust con producto

Hay muchas herramientas y productos que pueden ayudar a las organizaciones a implementar una estrategia de confianza cero.  

Pero no los confunda con la estrategia en sí.

“La filosofía de confianza cero básicamente ya no extiende la confianza implícita a las aplicaciones, los dispositivos o los usuarios en función de su fuente”, señala Kennedy.  

En cambio, desttoaco el especialista, se trata de implementar un enfoque predeterminado de denegación/privilegio mínimo para acceder con una evaluación continua del riesgo, lo cual puede cambiar en función de factores como el comportamiento del usuario o de la entidad, por ejemplo.

Al considerar tecnologías para implementar la estrategia, ignore las etiquetas y busque productos con capacidades que se relacionen con los principios fundamentales del Zero Trust, como se definió originalmente.

“Los términos evolucionan, por supuesto, como lo ha hecho este. Pero vienen con connotaciones.  Por lo tanto, las asociaciones con enfoques de productos deben estar arraigadas en alguna conexión realista con la filosofía delineada”, dice Kennedy.

Esto significa contar con tecnologías que admitan principios clave de confianza cero, como la microsegmentación, el perímetro definido por software y la integridad del dispositivo.

“La mayor desconexión que veo que está causando expectativas no cumplidas es confundir una estrategia o filosofía de confianza cero con la implementación de un producto específico”, explicó Kennedy.

3.- Asumiendo que puedes lograr la confianza cero sin una higiene básica de seguridad

Implementar las herramientas adecuadas por sí solas no es suficiente si no se presta atención a los fundamentos. Así lo afirma John Pescatore, director de tendencias de seguridad emergentes en el Instituto SANS.

“Por el lado de las operaciones, el gran error es pensar que se puede lograr la confianza cero sin lograr primero una higiene de seguridad básica”, dice.  

Para él:

• Si no puede confiar en que los puntos finales se configuren de forma segura y se mantengan parcheados
• Si no puede confiar en las identidades porque se utilizan contraseñas reutilizables
• Y si no puede confiar en el software porque no ha sido probado…

“… entonces es imposible lograr beneficios de confianza cero”, asegura Pescatore.

Por otro lado, las herramientas pueden ayudar con el aspecto tecnológico de la seguridad del Zero Trust. Pero incluso con ellas, hay mucho trabajo mental que no se puede evitar, señala Holmes de Forrester.  

“Por ejemplo, una organización aún necesita un enfoque convincente para la clasificación de datos: alguien necesita auditar los privilegios de los empleados y de terceros. Ambas son tareas no triviales y, por lo general, manuales”, destaca Holmes.  

Stiennon de IT-Harvest, por su parte, asegura que un buen enfoque para las organizaciones es, primero, identificar y revisar áreas dentro de la infraestructura de TI donde la protección se basa en alguna forma de confianza.  

Por ejemplo, podría ser un contrato de trabajo cuando una organización confía en que los usuarios cumplan con sus políticas.  O podría ser un contrato o acuerdo de nivel de servicio con un proveedor de la nube con respecto a cómo usarían (o no) los datos de la organización.

“Una vez que haya identificado esas brechas, comience con los controles técnicos de buen comportamiento”, dice Stiennon.

4.- Tener políticas de acceso de usuarios mal definidas

Un enfoque de confianza cero puede ayudar a las organizaciones a aplicar un control de acceso adaptable y basado en políticas sobre los recursos empresariales que consideren una variedad de factores de riesgo en tiempo real,ñ como: 

• La seguridad del dispositivo
• La ubicación
• Y el tipo de recurso que se solicita

Cuando se implementa correctamente, el enfoque garantiza que los usuarios solo tengan acceso al recurso específico que solicitan de manera privilegiada.

Patrick Tiquet, vicepresidente de seguridad y arquitectura de Keeper Security destaca que, para hacer esto de manera efectiva, los administradores de seguridad y TI deben tener una idea clara de quién necesita acceso a qué.  

Eso significa enumerar todos los roles de usuario posibles y, luego, asignarlos según los requisitos y roles del trabajo.

“Zero Trust es realmente un concepto simple: a los usuarios se les otorga acceso a los recursos necesarios para realizar su función laboral y no se les otorga acceso a los recursos que no son necesarios”, dice Tiquet.

Por ejemplo, señala una unidad de red compartida a la que todos en una empresa de 10 empleados podrían tener acceso.  

La unidad contiene información de: 

• Ventas
• Recursos humanos
• Contabilidad 
• Y clientes 

A ella pueden acceder todos los miembros de la empresa, independientemente de su función.  

Es estos casos, señaló, existe un alto riesgo de acceso no autorizado, pérdida de datos, robo de datos y divulgación no autorizada.  

“Aplicar correctamente la confianza cero en esta situación restringiría el acceso, pero no afectaría la productividad, al tiempo que reduciría drásticamente el riesgo para la empresa”.

Tiquet señala, también, que es mejor ceñirse inicialmente a roles de acceso bien definidos y luego asignar o cancelar la asignación de nuevos roles de acceso a usuarios individuales según sea necesario.

5.- Descuidar la experiencia de usuario

Los modelos de Zero Trust tienen un gran impacto en los usuarios finales, así que no descuides la experiencia del usuario.  

“La autenticación y el acceso afectan a casi todos los empleados, por lo que los pasos en falso son costosos para los CISO”, dice Kennedy del 451 Group.

Cuando se implementan iniciativas de confianza cero sin preparar adecuadamente a los usuarios para el cambio, la productividad de los empleados puede verse afectada.  

Una iniciativa fallida o que impacte negativamente a los usuarios también puede influir en la credibilidad de todo el esfuerzo.

“Los pasos hacia el éxito están bien desgastados. Establezca un estado final deseado para su estrategia de confianza cero e implemente metódicamente las diferentes piezas con socios proveedores”, dice Kennedy.    

Planifique, ejecute y pruebe cuidadosamente para garantizar que cualquier paso adicional que se requiera de los usuarios permita beneficios de seguridad acordes, recomienda.