top of page

Zero Trust: La estrategia que debes conocer

Actualizado: 18 abr 2023

Zero Trust: La estrategia que debes conocer

Zero Trust A lo largo del último año, muchas organizaciones presentaron un cambio radical en cuanto a al modo laboral al que estaban acostumbradas. Conceptos que antes sólo se hablaban muy a la ligera tuvieron que adoptarse de forma general debido a la pandemia del COVID-19; el trabajo a distancia (home-office), las videollamadas y el uso de las nubes tomaron protagonismo y demostraron que serán recursos importantes para las empresas a partir de ahora. Actualmente se ha visualizado que gran porcentaje de los trabajos pueden realizarse de forma remota, pero en definitiva hay muchas preguntas que debemos respondernos si utilizamos este modo de trabajo, entre ellas están:

  • ¿Trabajar desde casa es seguro para la información que se maneja?

  • Si mis datos están en la nube ¿Cómo puedo acceder a ellos de forma segura? ¿cómo debo protegerlos de un intruso?

  • ¿Cómo garantizo que mis colaboradores tengan acceso a los recursos necesarios para realizar su trabajo?

Las respuestas a estas preguntas las obtendremos hablando de un concepto que ha ido tomando relevancia en los últimos meses: Zero Trust

Figura 1. Porcentaje de empleados que trabajaron desde casa durante el confinamiento en México en junio de 2020. (Fuente: Trabajo remoto en México 2020 | Statista, J. Mendoza, septiembre 2020). ¿Qué es Zero Trust? El concepto de “confianza” ha sido explorado en el contexto de ciberseguridad como el permitir el acceso a información restringida o al uso de sistemas. La definición de Zero Trust (o confianza cero) surgió a partir de las preocupaciones que los profesionales de la seguridad de la información enfrentan. Anteriormente, existían defensas bien definidas sobre el perímetro de la red, pero la tecnología avanza y a medida que crece el uso de modelos bajo demanda, la afluencia de conexiones aumenta y las amenazas en el mundo digital se presentan de manera frecuente, de tal forma que se requiere tener un mejor enfoque de la seguridad. Zero Trust se encarga de eliminar la idea de una red basada en el perímetro de confianza, asegurando un modelo donde se niega el acceso a los sistemas predeterminadamente hasta que la confianza sea verificada de manera correcta. (Concepto - Appgate)

Forrester introdujo el término de Zero Trust en el 2010 como el cambio de un perímetro estricto al enfoque que requiere inspeccionar y comprender los elementos dentro de una red antes de ganar ese nivel de confianza y acceso necesarios. Posteriormente, se formó el concepto de Zero Trust Extended, que incluye a la información, las redes, las cargas de trabajo y la identidad del usuario o dispositivos como los componentes del núcleo de Zero Trust.

Figura 2. Forrester Zero Trust eXtended Model (Fuente: The Zero Trust eXtended Ecosystem: Data, Forrester Research, Inc., Agosto 2020). Enfoque Derivado de la pandemia del Covid-19, el mundo laboral en las empresas se puso en marcha de manera diferente, el personal de las organizaciones ha tenido que acceder a sus aplicaciones con múltiples dispositivos y desde muchas ubicaciones. Para ser competitivo, hay que asegurarse que estas aplicaciones funcionen de forma rápida y sin problemas, al tiempo que se proporciona un marco de seguridad que proteja la red y los datos de las organizaciones. Además, ha persistido la lucha contra amenazas en constante evolución como el malware y las vulnerabilidades que pueden originarse desde cualquier lugar. La seguridad tradicional de perímetro pone a los negocios en riesgo y debe transformarse y adaptarse ante los entornos y riesgos actuales. Una arquitectura de seguridad de Zero Trust es la respuesta. Zero Trust significa verificar y nunca confiar. Significa que solo entrega aplicaciones y datos a usuarios autenticados y autorizados y a sus dispositivos. Inspecciona y registra el tráfico de forma proactiva y evita el malware y las infracciones, al mismo tiempo que garantiza que las conexiones a las aplicaciones sean rápidas y confiables. Principios básicos Los principios básicos sobre los que se apoya el modelo Zero Trust son los siguientes: Garantizar que se tenga acceso a todos los recursos de forma segura. Tradicionalmente se ha utilizado un modelo perimetral de confianza, pero con Zero Trust se busca un método alternativo limitando la confianza y enfocándola principalmente en la identidad para el acceso a recursos. En Zero Trust es muy importante el acceso a todos los recursos, ya sean datos, aplicaciones o servidores, eliminando barreras o limitaciones que las herramientas de seguridad convencionales y los equipos pudieran tener. Sin embargo, el acceso no será para todos y debe comprobarse la identidad del usuario o del dispositivo para verificar el acceso o el uso del recurso, tomando en cuenta la ubicación de la identidad o la ubicación del activo al que se accede. El objetivo de Zero Trust es claro, asegurar que todo acceso es confiable sólo si el usuario o el dispositivo es autenticado y asegurar dicha autenticación de manera constante a través de un modelo de revisión de políticas, lo que lo hace un modelo totalmente dinámico. Todo recurso al que no se tenga acceso deberá ser invisible. Adoptar la estrategia del menor privilegio y reforzar estrictamente el control de acceso. La estrategia del menor privilegio se debe administrar de manera uniforme en todas las ubicaciones, en la red y en todo tipo de recursos utilizando siempre el contexto de la identidad para ofrecer mejor seguridad. El nivel de seguridad en el control de acceso se ha ido rezagando con el pasar de los años. Los usuarios tenían pleno acceso a un sinfín de recursos, pero se les limitaba el uso por medio del uso de cuentas y contraseñas. Como bien se comenta, esto ha dejado de ser seguro y cada vez existen más vulnerabilidades que pueden explotarse fácilmente y sin necesidad de autenticarse. Es por ello por lo que Zero Trust otorga el menor privilegio y limita el acceso a usuarios que no lo necesitan; no solo limita el acceso a cuentas y contraseñas sino mantiene invisible los recursos e incapacita a los usuarios a conectarse a los servicios a los que no deben acceder. Inspeccionar y recopilar información de todo el tráfico. Con Zero Trust, la inspección y el registro del tráfico de la red debe ser completa de tal manera que se examinen y registren ampliamente todos los metadatos del tráfico y esta información se complementa con la identidad y contexto del dispositivo, lo que es necesario para lograr una completa adaptación y mejorar el aprendizaje de manera continua. Con esto, las herramientas de monitoreo obtienen una mejora y tendrán la capacidad de tomar mejores decisiones para detectar, alertar y dar una respuesta eficaz ante incidentes, dependiendo de la configuración de las políticas. Ventajas de Zero Trust Adoptar una estrategia Zero Trust tiene muchos beneficios al garantizar el acceso a los recursos para todos los usuarios, basándose siempre en el contexto e identidad del usuario o el dispositivo. De acuerdo con los principios que se han enumerado, podemos obtener las siguientes ventajas: - Asegura que todos los accesos sean de plena confianza, limitando tanto el acceso como los movimientos laterales a usuarios o dispositivos que hayan sido previamente identificados. - Permite a los usuarios acceder a recursos o aplicaciones independientemente de la ubicación donde se encuentre o del dispositivo desde el que se accede, siempre tomando en cuenta el contexto. - Reinventa la seguridad para entornos tradicionales y en la nube, haciéndola continua y adaptable. - Permite agilizar el movimiento de las empresas a través de las soluciones en la nube y aplicaciones móviles. Panorama real de Zero Trust y las VPN Zscaler, una compañía que ofrece servicios de seguridad como servicio, dio a conocer un reporte con el fin de explorar las vulnerabilidades y los riesgos que existen en un entorno laboral donde el acceso remoto y el uso de redes VPN (red privada virtual) ha incrementado durante el último año.

Figura 3. Parte de la encuesta realizada por Zscaler referente al uso de VPN en las organizaciones (Fuente: 2021 VPN Risk Report, Zscaler, 2021). Las organizaciones, además, se han enfrentado a varios desafíos como a los altos costos de appliances de seguridad e infraestructura, la incapacidad de escalar y satisfacer la alta demanda de los usuarios, la falta de visibilidad en la actividad de los usuarios, el asegurar el acceso a los empleados a la red corporativa y la complejidad que conlleva la gestión de los entornos públicos de la nube ya existentes en el mercado. Lo cierto es que las VPN se han convertido en un objetivo para los cibercriminales, quienes buscarán explotar las vulnerabilidades asociadas y, así mismo, intentarán aprovecharse de la incapacidad de las empresas de migrar a otra tecnología u otra metodología como Zero Trust. El objetivo de las organizaciones debería enfocarse en el uso de las nuevas tecnologías como la nube, pero replanteando una estrategia de seguridad concisa donde se comprometa a mantener conexiones seguras de los usuarios a las aplicaciones y a los recursos, dejando de lado el acceso predeterminado a la red Algunos ejemplos Ataque de Ransomware a Colonial Pipeline, Estados Unidos. En mayo de este año, un ataque de Ransomware ocasionó que una de las centrales de combustible más importantes de los Estados Unidos, Colonial Pipeline, cesara toda operación hasta que el ataque fuera totalmente controlado. Las investigaciones sobre el incidente revelaron que éste se inició gracias a una cuenta de VPN comprometida. Las consecuencias de este ciberataque resultaron en el robo de cerca de 100 Gigabytes de datos de Colonial Pipeline y el pago de casi 5 millones de dólares a los estafadores Hackeo de Corea del Norte a Instituto de Investigación Nuclear de Corea del Sur. El instituto de Investigación de Energía Atómica de Corea del Sur informó que hubo una intrusión en el mes de mayo de este año en su red interna orquestada por atacantes del país vecino Corea del Norte. La intrusión se realizó gracias a una vulnerabilidad en la VPN que fue explotada por los ciberdelincuentes, quienes pertenecen al grupo Kimsuky y que se les atribuyen campañas de espionaje cibernético patrocinados por el estado. A modo de conclusión: Seamos conscientes o no, la tecnología avanza con tal velocidad que la mayoría de las veces nos sobrepasa en cuestiones de seguridad. El modelo de la seguridad en el perímetro y las VPN’s han mostrado ciertas debilidades que un enfoque “Zero Trust” puede ayudar a reforzar con el objetivo de ser ágiles, dinámicos y con el control y protección de los datos mejor administrados. Adoptar la estrategia “Zero Trust” será fundamental en las organizaciones en los próximos años y permitirá a cada uno de los involucrados en la empresa cumplir con sus tareas de manera confiable, eficiente y sumamente confidencial, gracias a los controles de seguridad de acuerdo al contexto aplicados para usuarios, dispositivos y recursos. Es muy importante que si consideras estás siendo víctima de un ciberataque contacta a tu área de seguridad o TI. Nosotros podemos ayudarte a diseñar e implementar la estrategia de seguridad más adecuada para tu empresa, déjanos ser tu aliado. Si requieres más información puedes contactarnos: Llámanos 5570413454 Escríbenos WA 5576564248 Envíanos correo a info@protectme.mx Visita nuestra página www.protectme.mx Visita nuestras redes sociales. https://www.facebook.com/ProtectMeMx/ TW: @ProtectMeMx Linkedln @ProtectmeMx Por: Raúl Emmanuel Arriaga, Ingeniero de Ciberseguridad Fuentes · Kindervag, J. 2010b. No More Chewy Centers: Introducing the Zero Trust Model of Information Security. Cambridge, MA: Forrester Research, Inc. · Kindervag, J. 2010a. Build Security into Your Network’s DNA: The Zero Trust Network Architecture. Cambridge, MA: Forrester Research, Inc. · Garbis, J, & Chapman, J. W. 2021. Zero Trust Security: An Enterprise Guide. USA, Apress. · Appgate | Zero Trust Access · 2021 VPN Risk Report, Zscaler, 2021. (bps.com.es) · Hackers Breached Colonial Pipeline Using Compromised VPN Password. (thehackernews.com) · Corea del Norte explotó la falla de VPN para hackear el Instituto de Investigación Nuclear del Sur. (thehackernews.com) · Trabajo remoto en México 2020, Statista, 2020. (es.statista.com)














11 visualizaciones0 comentarios

Entradas Recientes

Ver todo

Comments


bottom of page