Aunque el modelo Zero Trust no es un concepto nuevo, es habitual que se aplique con acciones tibias o insuficientes. Zero Trust debe aplicarse a nivel global en sistemas, desarrollos y operaciones, poniendo el foco tanto en usuarios como en dispositivos, sin olvidarnos de proteger los datos.
Por ello, DotForce ha desarrollado un mapa para entender de una forma rápida y sencilla cómo aplicar el modelo Zero Trust en cada área de la organización: desde los usuarios, pasando por administradores, hasta sistemas y datos.
Zero Trust: Usuarios
A pesar de que el usuario es el principal punto de entrada de la gran mayoría de los ataques, son las organizaciones las que deben implementar soluciones que impidan que esto suceda.
En primer lugar, se debe aplicar el método Zero Trust en los inicios de sesión. Si un usuario no dispone de múltiples factores de autenticación resistentes a ataques de phishing, Man-in-the-Middle e ingeniería social para todas sus cuentas, está altamente expuesto a ciberataques. Además, de cara a la productividad, la autenticación passwordless (sin contraseñas) combina la mejor protección con la mayor facilidad y rapidez de acceso.
Hay soluciones avanzadas de ciberinteligencia que alertan a la organización de robos de credenciales. Lamentablemente, todos los usuarios reutilizan contraseñas, así que incluso las filtraciones de credenciales de cuentas personales son peligrosas para la organización. Estas soluciones utilizan el contraespionaje para alertar a la víctima muy poco tiempo después de que sus credenciales se vean comprometidas. Además, también impiden la utilización de contraseñas vulneradas en Active Directory o cualquier otra aplicación.
Zero Trust: Administradores
Zero Trust implica otorgar mínimos privilegios. Cada usuario solo debe disponer de los permisos que sean realmente necesarios. Esto cobra aún más importancia con un Administrador.
Las soluciones que gestionan los privilegios administrativos evitan muchos ciberataques, sobre todo los más peligrosos. Se llaman PAM por sus siglas en inglés (PAM), aunque la última generación ha pasado a ser Privileged Activity Management, y solo concede privilegios para realizar tareas administrativas sin mantener cuentas administrativas permanentes para reducir la superficie de ataque.
Sistemas
Llevamos décadas protegiendo las redes y los endpoints, pero debemos asentar los cimientos de una nueva forma de trabajar que ha venido para quedarse. El antivirus ha dado paso al EDR (Endpoint Detection and Response), y ya existen los firewall de nueva generación y los Cloud Access Security Broker (CASB). El problema es que los ataques no solo se han modernizado, sino que hay nuevos métodos que requieren nuevas estrategias de defensa.
En primer lugar, las VPN tradicionales están obsoletas. Toda organización debe contar con una red definida por software (SDN por sus siglas en inglés) que otorgue, fácilmente, conexión segura a sus redes privadas. Pero para aplicar el método Zero Trust, los recursos a los que tengan acceso los usuarios deben ser los estrictamente necesarios. Además, en la actualidad se puede limitar el acceso según el horario y la ubicación del usuario, entre otros parámetros.
Por otro lado, el alcance de un SIEM es limitado, porque únicamente monitorea los registros de eventos, así que hay que complementarlo con vigilancia del tráfico en la red para evitar tener puntos ciegos.
Las soluciones NDR (Network Detection and Response) monitorean las redes locales y cloud, para detectar y anticipar, con Machine Learning, indicios de un ataque
La tecnología del engaño o deception emula nuestra red para que el atacante emplee su tiempo tratando de acceder a activos ficticios. Esto ayuda a nuestro equipo de ciberseguridad a detectarlos y a disponer del tiempo suficiente para contrarrestar esos ataques.
Pero si hay algo que es necesario en el panorama actual es la integración entre soluciones. Por ejemplo, la unión de NDR, EDR y deception se llama eXtended Detection and Reponse o XDR.
Y más importante aún, la automatización de las respuestas ante incidencias es imprescindible para reducir la carga de trabajo manual. Cada SOC debe disponer de un SOAR (Security Orchestration, Automation and Response) de última generación. El SOAR aglutina todas las alertas que provienen de EDR, firewall, SIEM, XDR, etc., y las correlaciona, eliminando alertas duplicadas para generar solo unos pocos incidentes a partir de innumerables alertas.
Datos
Por último, pero no por ello menos importante, se impone la seguridad de los datos. No ocuparse adecuadamente de este activo crítico puede acarrearnos problemas, desde ser víctimas de espionaje, hasta ser condenados a pagar multas literalmente millonarias.
Primero, cada organización debe tener un inventario de todos los datos que contenga, ya que no pueden protegerse si no saben qué tienen. Por suerte, existen soluciones de gobernanza de acceso que enumeran todos los datos existentes, los clasifican, eliminan accesos innecesarios (ya que ningún usuario debe tener acceso a datos que no necesita para su trabajo) y crean informes que permiten conocer la situación actual.
No podemos olvidarnos de que, para almacenar o compartir datos confidenciales, el cifrado es imprescindible. El cifrado vía hardware es el más robusto que existe, pero no podemos resignarnos a cifrar de forma insegura el contenido que compartimos en la nube, ni siquiera vía email. Hay soluciones que cifran este contenido vía hardware, con una clave privada protegida con un PIN único para cada usuario. De nuevo, se puede habilitar y deshabilitar a cada usuario con un solo ‘clic’, para que la organización tenga el control de los datos en todo momento.
En conclusión, Zero Trust implica SIEMPRE desconfiar de usuarios y dispositivos, mínimos privilegios, automatización, ciberinteligencia y Machine Learning. Las inversiones adecuadas en ciberseguridad son muy rentables, aportan estabilidad y mejoran la productividad.