Se supone que Josef Stalin dijo una vez: "No confío en nadie, ni siquiera en mí mismo". Si bien los dictadores asesinos normalmente no son fuentes confiables de información útil, esta cita resume adecuadamente la esencia de la arquitectura Zero Trust, que el Instituto Nacional de Estándares y Tecnología (NIST) define como:
"El término para un conjunto evolutivo de paradigmas de ciberseguridad que mueven las defensas de perímetros estáticos basados en la red para centrarse en los usuarios, activos y recursos. La confianza cero asume que no hay una confianza implícita otorgada a los activos o cuentas de usuario basándose únicamente en su ubicación física o de red o en función de la propiedad de los activos. La autenticación y la autorización (tanto del sujeto como del dispositivo) son funciones discretas realizadas antes de que se establezca una sesión en un recurso de empresa. [1]
¿Qué es Zero Trust o Confianza Cero?
En esencia, Zero Trust o Confianza Cero es lo que su nombre implica: ningún usuario, dispositivo, activo o recurso es de confianza implícita, sino que debe ser autenticado y aprobado cada vez que intenta acceder a una red, servicio en la nube, repositorio de datos o algún otro recurso.
Entonces, ¿por qué la necesidad y el interés en Zero Trust? En resumen, es porque el perímetro de red que era más o menos defendible cuando todo estaba detrás de un firewall corporativo simplemente ya no existe. Sí, todavía hay activos corporativos mantenidos en las instalaciones detrás de firewalls, puertas de enlace y similares, y este seguirá siendo el caso indefinidamente. Pero en la mayoría de las empresas, los usuarios, los activos y otros recursos se encuentran fuera de cualquier perímetro defendible y utilizan una gran cantidad de redes, dispositivos, aplicaciones y servicios en la nube diferentes. Si bien el perímetro de la red ha estado disminuyendo durante algún tiempo, la pandemia de COVID, los cierres posteriores y el rápido aumento de los empleados que trabajan desde casa a principios de 2020 hicieron que el perímetro de la red fuera una reliquia del pasado.
En apoyo de esa afirmación están los datos del Informe sobre la nube y las amenazas de Netskope de febrero de 2021[2]:
- En empresas de entre 500 y 2.000 empleados, se utilizan un promedio de 690 aplicaciones en la nube diferentes, el 97% de las cuales se consideran aplicaciones de "TI en la sombra".
- La mayoría (53%) del tráfico de puerta de enlace web segura ahora se consume por interacciones con servicios y aplicaciones en la nube.
- Casi la mitad (47,5%) del uso empresarial de aplicaciones en la nube se clasifica como "pobre", lo que significa que no son seguras para su uso en aplicaciones corporativas.
- El porcentaje de malware que se envió a través de aplicaciones en la nube pasó del 48% de todo el malware en 2019 al 61% en 2020.
En pocas palabras, estos datos sugieren fuertemente que las aplicaciones en la nube están explotando en popularidad, particularmente con los empleados que trabajan desde casa, la gran mayoría no son confiables y los malos actores las están utilizando para distribuir contenido malicioso.
Este mensaje no se ha perdido en los responsables de la toma de decisiones de TI y seguridad. Descubrimos en una encuesta que Osterman Research realizó para BIO-Key International en mayo de 2021 que, si bien solo el 33% de las empresas medianas y grandes han implementado hoy una arquitectura Zero Trust, otro 59% planea hacerlo. Entre los cambios más inmediatos que estas empresas han realizado o harán en apoyo de Zero Trust se encuentran la creación y / o actualización de las políticas de seguridad actuales (citadas por el 69% de los encuestados), el reemplazo de tecnología y soluciones existentes (58%), la implementación de nuevas tecnologías y soluciones (58%) y la implementación de autenticación multifactor (MFA) (54%).
Como lo implican los datos sobre la adopción de Zero Trust, un pequeño porcentaje (8%) de las empresas no tienen planes de implementar Zero Trust. ¿Por qué? En la mayoría de los casos, no se basa en la falta percibida de beneficios que ofrece Zero Trust, sino que se debe simplemente a la falta de tiempo, presupuesto o miembros del personal para implementarlo y administrarlo. Algunos que no planean implementar Zero Trust no están seguros de lo que realmente es o cómo implementarlo, lo que indica que se requerirá más educación sobre sus beneficios.
Entonces, ¿cuáles son exactamente los beneficios de Zero Trust?
- Uno de los principales beneficios de Zero Trust es que al nunca confiar en nadie ni en nada y exigir su buena fe cada vez que intentan acceder a la red, hay una mayor visibilidad de la identidad de quienes intentan acceder, su ubicación, cuándo acceden a ella, a qué acceden, etc. Esta visibilidad es esencial para la correcta aplicación de las políticas de seguridad y cumplimiento, y garantiza que los malos actores, y las violaciones de datos que podrían intentar, se identifiquen más rápidamente de lo que sería posible de otra manera.
- Otro beneficio es que el uso de MFA, un elemento clave de Zero Trust, permite un acceso más seguro y, cuando se implementa correctamente, conveniente para los empleados y otras personas que intentan obtener acceso a la red.
- Zero Trust es un elemento importante para apoyar a los empleados remotos, un problema que ha estado al frente y en el centro de la mayoría de los tomadores de decisiones de TI y seguridad durante los últimos 16 + meses. Zero Trust apoya a los empleados remotos al permitir su autenticación para el creciente número de aplicaciones en la nube sin un esfuerzo indebido por parte de los equipos de TI y seguridad, lo que hace que los empleados remotos sean más eficientes e imponga menos carga a TI y seguridad.
- Finalmente, el uso de Zero Trust es útil para prevenir la intrusión exitosa de malos actores que podrían usar correos electrónicos de phishing dirigidos, instalar keyloggers en PC individuales o moverse lateralmente a través de redes corporativas. Debido a que Zero Trust parte de una posición de no confiar en nada de lo que sucede en la red, los malos actores se toparán con múltiples y significativas barreras en sus intentos de utilizar estas técnicas de ataque.
Si bien Zero Trust no es una panacea que evitará cada intrusión en la red o violación de datos, contribuye en gran medida a abordar muchos de los problemas de seguridad clave que enfrentan las empresas, particularmente en un entorno en el que su superficie de ataque se ha expandido dramáticamente.
Habilitación de la confianza cero a través de la autenticación multifactor
Para aprovechar al máximo la implementación de Zero Trust, tu empresa necesita tener una solución de autenticación multifactor. MFA requiere que los usuarios finales proporcionen dos o más factores de verificación y es una capa adicional de seguridad además de una contraseña simple. Según la encuesta que explora Zero Trust en las empresas, el 59% planea hacerlo, y el primer paso para acercarse a Zero Trust es a través de la implementación de la autenticación multifactor.
Obtén más información sobre cómo los enfoques de autenticación multifactor difieren de los métodos más tradicionales,