La constante expansión de la superficie de ataque, unida al incremento del teletrabajo, los modelos híbridos o conexión laboral 24/7, el aumento del comercio online y la externalización de procesos, la proliferación de los dispositivos IoT y la masiva interconectividad, entre otras variables, han contribuido a la proliferación de diferentes amenazas relacionadas con la seguridad digital. El incremento de credenciales comprometidas, la evolución de los ataques de ransomware, el aumento de insiders threats o el continuo crecimiento de fugas de información son algunas de ellas.
En este contexto, las tensiones geopolíticas actuales, las nuevas motivaciones de los diferentes actores o grupos de actores amenaza implicados, así como la evolución de sus tácticas, técnicas y procedimientos, han provocado un incremento tanto en la probabilidad como en el impacto asociado a los diferentes escenarios de ataque a los que múltiples organizaciones a escala internacional se exponen cada día.
Además, las organizaciones han dejado (hace tiempo) de ser islas para asumir su interconectividad continua con multitud de identidades, endpoints y redes ajenas a sus políticas de seguridad.
Seguridad ‘Zero Trust’
Ante esta situación, una de las opciones en auge en los últimos meses es la adopción de estrategias de seguridad Zero Trust. Esto es, cada solicitud de acceso a recursos corporativos, tanto peticiones realizadas desde el exterior como desde la propia red interna, son gestionadas con confianza cero, asumidas como una posible violación y verificadas conforme a esa premisa. Este modelo de trabajo implica aplicar el principio de mínimo privilegio, microsegmentar la red y realizar una autenticación, autorización y cifrado completo antes de validar cada uno de los accesos.
Con esta estrategia, además de ayudar a aminorar ataques que hacen uso de movimientos laterales dentro de la red o posibles accesos no autorizados sobre los recursos corporativos, también se pretende hacer frente a los diferentes riesgos asociados a servicios externalizados o ubicados en la nube, cada vez más utilizados en el ámbito organizacional.
Las estrategias de seguridad basadas en ‘Zero Trust’ están siendo beneficiosas en lo referido a prevención de amenazas internas
Para muchos esta es una medida extrema, y es que todo acceso a cualquier recurso ha de ser abordado con desconfianza, contemplándolo como un posible ataque en ciernes. Por el contrario, aquellos que apoyan su uso indican que, precisamente, estas premisas redundan en un menor grado de vulnerabilidad al disminuir con su aplicación la superficie de amenaza y, por ende, de riesgo a un ataque.
Implementación
Entre unos y otros están las realidades y los desafíos a su implementación:
- Para el correcto funcionamiento de una estructura de seguridad de este tipo, es preciso contar con una compartimentalización en detalle de la información, incrementando así la carga transaccional de cada consulta.
- Requiere también de una correcta, continua y estricta administración de los diferentes roles y permisos, en un entorno organizacional que cada vez se ve más sometido a cambios de personal. Asignaciones que, de no ser realizadas con rapidez, pueden afectar a la productividad.
- En el otro lado de la balanza está la experiencia del usuario, respecto a la que se ha de proceder de la manera menos intrusiva posible. Y es que, cuando una arquitectura de seguridad no tiene en cuenta las interrupciones que para su correcto funcionamiento puede causar en el usuario, caer en incumplimientos se vuelve la norma.
- También se ha de valorar la complejidad y coste de su despliegue ante sistemas de seguridad heredados, con poca flexibilidad o ante los que no se dispone, ni siquiera, de un inventario actualizado; así como su escalabilidad ante la adopción, cada vez más rápida, de nuevos sistemas y tecnologías. En este sentido, si bien es cierto que se pueden dar brechas de seguridad ante procesos de implementación escalonados, al igual que ante la retirada de anteriores sistemas, su introducción paulatina es, en todo caso, beneficiosa. No en vano, puede coexistir temporal o definitivamente con estrategias previas de seguridad siempre que se prioricen de manera adecuada los procesos y funciones críticas y los datos más confidenciales.
- Como revulsivo a su uso también cabe considerar la variedad de soluciones que han emergido en el mercado ofreciendo un enfoque de producto sobre la base de Zero Trust. Teniendo presente, en todo caso, las necesidades de cada organización, ya que su implementación provoca cambios significativos sobre la operativa en curso, tanto de los departamentos de tecnología como de la propia entidad.
- Para aquellos que ya tienen la vista puesta en las amenazas más sofisticadas, se ha de analizar su idoneidad ante la prevención de smart malware; es decir, ante mecanismos que, guiados por Inteligencia Artificial (IA), son capaces de reproducir patrones de uso permitidos, emularlos y servirse de su conocimiento para propagarse. Pero de los desarrollos de la IA también se benefician significativamente las estructuras de confianza cero, ayudando a la detección de patrones anómalos en volúmenes de información imposibles de gestionar desde la vertiente humana. Se genera así un continuo de interacciones consideradas normales tendentes a eliminar el uso de autentificaciones y presentación de credenciales.
- Resta conocer cómo será su evolución en la medida en que los entornos metaverso adquieran relevancia. Escenarios en los que la protección de las identidades virtuales vendrá gobernada por inteligencia ambiental que deberá responder, y ser consciente, de los usos de cada usuario. Se pondrá entonces a prueba la capacidad de conectar entornos virtuales, personas, avatares, dispositivos, aplicaciones y organizaciones en tiempo real y de forma segura.
Estrategias beneficiosas
De uno u otro modo, las estrategias de seguridad basadas en modelos Zero Trust están siendo beneficiosas en lo que a prevención de amenazas internas se refiere. Una problemática que se estima está tras el 62 por ciento del total de los incidentes registrados, según publicaba el propio CCN-CERT en su análisis anual de 2021 de ciberamenazas y tendencias.
Más aun, diferentes estudios publicados por entidades IBM-Ponemon (2021) exponen una relación clara entre el grado de implementación de estrategias de confianza cero y el impacto asociado a potenciales incidentes de seguridad, pues la compartimentación y segmentación necesaria para su adopción limita el daño que puede causar un usuario comprometido.
No obstante, en aras de definir el despliegue de estas soluciones de manera eficiente y dar apoyo al negocio, es imprescindible establecer previamente de forma clara la estrategia que va a seguir toda la organización y que esta sea consensuada tanto con la alta dirección como entre las distintas áreas que la componen.
Como añadido a su valoración, cabe destacar que las organizaciones que cuentan con cierta madurez en ciberseguridad y ciberresiliencia, el despliegue de soluciones relacionadas con estrategias Zero Trust proporciona mecanismos adicionales que, en la mayoría de los casos, son vitales para afrontar o reaccionar adecuadamente ante posibles incidentes de ciberseguridad.