Zero Trust, el cambio de paradigma en la ciberseguridad corporativa

Zero Trust, el cambio de paradigma en la ciberseguridad corporativa

Iñigo Ladrón Morales


En lo que a protección y prevención en materia de ciberseguridad se refiere, la realidad a día de hoy es que las posturas de las organizaciones siguen siendo mayoritariamente reactivas, más que proactivas.

Sin embargo, con el incremento de ciberincidentes, ciberataques, y la complejidad de tecnologías y mecanismos de ataque, cada vez parece hacerse más necesario un posicionamiento contrario, basado en la observación continua y la potenciación de las capacidades de adaptarse, en tiempo real, a cualquier cambio de escenario.

Este cambio de paradigma, está ya encima de la mesa. Consiste en pasar a un modelo de prevención y protección más restrictivo, más férreo, que evite y mitigue problemas de forma más efectiva y eficiente. En este sentido, el nuevo modelo de Confianza Cero, propone “estar pendientes de todo, en todo momento, sin considerar con anterioridad que los puntos o elementos analizados son buenos y, por tanto, merecen nuestra confianza”.

La R.A.E define la confianza como “Esperanza firme que se tiene de alguien o algo”, “Seguridad que alguien tiene en sí mismo (o en alguien o algo)”. Por lo tanto, la no confianza, la desconfianza, o la confianza cero, debería de ser todo lo contrario a esto, es decir: “DES-Esperanza firme que se tiene de alguien o algo”, “IN-Seguridad que alguien tiene en sí mismo (o en alguien o algo)”.

Y, ahí es donde radica el enfoque del Zero Trust, en, a priori, no confiar en nada absolutamente, aunque parezca confiable. Este enfoque desafía la noción tradicional de confianza implícita dentro de las redes corporativas, basándose en la premisa de que ninguna identidad, usuario o dispositivo debe ser automáticamente confiable, independientemente de su aspecto, información, ubicación o posición en la red.

Si trasladamos esto al terreno tecnológico, el término Confianza Cero podría definirse como el enfoque o posicionamiento de seguridad, de ciberseguridad, que desconfianza constantemente de cualquier usuario o dispositivo que intente acceder a una red, incluso de aquellos que ya están dentro de ella (actores internos, como insiders y dispositivos).

Dicha postura, exige un cambio de actitud, de modelo, de paradigma, que pasa de ser “primero confiar y después verificar” a ser "primero desconfiar y verificar constantemente cada elemento analizado".

Yendo un poco más al detalle, la Confianza Cero se basa en:

  • La verificación continua, que constantemente está analizando para verificar la autenticidad, la consistencia, los permisos y autorizaciones de cada elemento (usuarios y dispositivos), en lugar de confiar en ellos por defecto.
  • El modelo de gestión de identidad e identificación, utilizando siempre la autenticación multifactor (M2A, MFA) para confirmar la identidad de un usuario (IAM).
  • El mínimo privilegio con el que solamente se concede el acceso mínimo necesario y los permisos o capacidades más básicas para realizar una determinada tarea o actividad desde dentro de la red corporativa o nube de la organización, además de en dispositivos internos y externos corporativos o particulares (BYOD - Bring Your Own Device) y la gestión de los mismos (MDM - Mobile Device Management).
  • La microsegmentación, que pretende limitar la superficie de ataque, dividiendo la red corporativa en segmentos más pequeños y más fáciles de monitorizar y controlar.
  • El uso de la segmentación dinámica, que pasa del modelo clásico del análisis estático del perímetro de la red corporativa y su seguridad, a un modelo de inspección del tráfico en toda la red.
  • El análisis de patrones y comportamientos que, de forma continua, chequean las comunicaciones, transacciones, acciones y actividades que tienen lugar, detectando cuáles de ellas no son habituales y pueden considerarse amenazas potenciales.

Esta es, a muy grandes rasgos, la filosofía a aplicar en este nuevo paradigma de desconfianza continua y generalizada, que requiere determinados cambios en las organizaciones para aterrizar la estrategia a la táctica y operativa:

  • La organización debe trasladar y dejar clara esta nueva estrategia o línea de actuación a todos los niveles organizativos.
  • Se debería de realizar una evaluación o análisis de riesgos, específica, de lo que supondrá el cambio de paradigma y adaptar la adaptación del nuevo modelo de confianza cero.
  • Es necesario que la organización traslade un cambio de mentalidad que haga que los empleados pasen de trabajar en un modelo de "confianza por defecto" al nuevo modelo de confianza cero o "verificar siempre antes de permitir".
  • Una vez mentalizados, los empleados deben ser concienciados y formados en las nuevas formas de trabajar, nuevas prácticas seguras y las best practices, del modelo zero trust.
  • Después, la empresa debe adquirir, adoptar, implantar y poner en marcha las herramientas de seguridad más apropiadas (WAF -Web Application Firewall-, IAM -Identity and Access Management-, seguridad perimetral, contar con un SOC, etc.), que apliquen y se alineen con el nuevo modelo de desconfianza. En este sentido, un factor a analizar y tener muy en cuenta es la complejidad tecnológica que esto supondrá, y si el cambio es asumible y viable en ese momento para la organización.
  • Por otro lado, en lo que respecta al análisis de patrones y comportamientos, quizá merezca la pena contar con herramientas de automatización y aprendizaje, con cierto grado de machine learning e inteligencia artificial que permitan detectarlos e identificarlos.

Con la adopción de este modelo de confianza cero en lo que a ciberseguridad corporativa se refiere, todo serán beneficios. Sin embargo, no todas las empresas están preparadas para ello.

Desde el punto de vista de la mitigación de riesgos, aporta porque se desconfía de todo, por lo que no “todo” tendrá la capacidad de actuar, reduciendo así la posibilidad de que un riesgo se convierta en una amenaza real que explote brechas de seguridad y produzca un ciberincidente.

Por otro lado, esta continua monitorización de elementos, actores y sus actividades, proporciona una más amplia y mejor visibilidad de todas las piezas de todos los sistemas (dispositivos, infraestructuras, red interna y nube) y de todos los elementos que existen y/o interactúan con ellos, y en qué medida o cómo lo hacen. Esto aporta conocimiento que beneficia a la inteligencia de amenazas.

Como decíamos, lamentablemente, no todas las empresas están aún preparadas para subirse al carro de este cambio de paradigma, pues aún tienen importantes retos que alcanzar. El primero de ellos puede estar relacionado con los costes derivados de su puesta en marcha y también de su mantenimiento y operación, por falta de capacidades, recursos, conocimientos, dedicación, etc.

Otro de los factores que podría afectar es el de la complejidad que esto suponga en una organización concreta, máxime si su core business no es la seguridad. Esto puede cambiar modelos arquitectónicos de sistemas ya en funcionamiento, infraestructuras, etc.

En cualquier caso, el modelo Zero Trust sigue adelante e imparable, apalancándose en la evolución tecnológica y también en las novedades que van surgiendo en lo relativo a la lucha contra nuevas amenazas emergentes, adoptando para sí tendencias como la automatización, el machine learning y la inteligencia artificial, que permiten hacer más eficiente la identificación y detención de amenazas.

Igualmente, otros dos pilares de sustento del modelo, serán la evolución de las soluciones generales y, en particular, las relativas a la seguridad perimetral y en la nube, aderezándolas con cambios en los enfoques de autenticación y gestión de identidades más potentes (en breve, tendremos eIDAS2 en Europa).

Con todo ello, podemos decir que la confianza cero representa un cambio fundamental en la forma en que las empresas abordan su seguridad, la de sus redes, la de sus datos. A medida que las ciberamenazas evolucionan, este modelo es mucho más relevante. Pero, como decíamos, su éxito de implantación requiere continuidad, recursos y una adaptación personalizada a cada empresa. Quizá la confianza cero no sea la única alternativa, pero es un marco muy sólido para abordar el futuro de la ciberseguridad.

Existen entornos y tecnologías en las que la adopción de un modelo de Zero Trust es de vital importancia, sin que esto suponga (al igual que en todos los casos anteriores) efectos secundarios como cuellos de botella o ralentizaciones, como lo pueden ser el IoT (Internet of Things), el OT (Operational Technology), el IT/OT en entornos industriales, los entornos cloud, y el desarrollo seguro de software, así como todos los mecanismos de integración y de consumo de servicios de terceros (APIs).

La adopción de un marco de confianza cero supone un cambio y un esfuerzo para las empresas. Pero este modelo se está posicionando, cada vez más, como la línea de actuación más adecuada para proteger activos críticos y salvaguardar la continuidad del negocio.

¿Está tu empresa preparada para asumir el reto del Zero Trust?

Quizá tu empresa necesite la ayuda de servicios profesionales de ciberseguridad como los que ofrecemos en Zerolynx: Servicios de Ciberseguridad.

Si lo prefieres, contáctanos y hablamos.

Íñigo Ladrón Morales, Redactor de contenidos para Zerolynx.

Regresar al blog

Deja un comentario

Ten en cuenta que los comentarios deben aprobarse antes de que se publiquen.