¿Como aplicar el concepto de Zero Trust?
Por: Flavo Correa da Costa, Technical Solutions Specialist, Cisco Brasil
La forma como trabajamos cambió, pero también será la forma como tenemos la seguridad? Hasta hace poco tiempo atrás, la seguridad se trataba de soluciones puntales y perimetrales: Firewall en bordes y Antivirus en endpoints. Solamente!
El foco era básicamente direccionado a los controles de acceso externo, muchas veces dejando de lado cualquier preocupación con amenazas internas, partiendo de una falsa suposición que el ambiente corporativo es confiable.
Parece absurdo, pero muchas empresas aún continúan teniendo solamente esas dos soluciones y en la mayoría de las veces ya desfasadas y obsoletas. Por más que la tecnología haya evolucionado y claramente el escenario de amenazas también, la forma como manejamos la seguridad no siguió el mismo ritmo de esa evolución, al menos en el aspecto cultural, pues innegablemente hay una gran variedad de soluciones disponibles de mercado, amplias y completas.
Con el paso del tiempo, las empresas comenzarán a percibir que las políticas demasiado restrictivas para la nube y hasta la misma prohibición de celulares personales no eran el camino correcto. Tendencias como cloud computing, Bring Your Own Device, IoT, etcétera, forzaron esa transformación que era necesaria hace mucho tiempo. Más importante que la restricción y bloqueos con la visibilidad y controles dentro de las políticas previamente definidas y alineadas con las necesidades de acceso y productividad de los empleados.
Piense conmigo de esta forma: Si un funcionario utiliza Google Drive para compartir información confidencial, corriendo el riesgo de pérdida de confidencialidad por utilizar un medio público y no es confiable de compartir, la mejor forma de lidear con esa situación es bloquear/restringir el acceso a esa aplicación a entender mejor esa necesidad e invertir en una solución donde usted como administrador de red, tenga visibilidad y control de lo que se está compartiendo? El hecho es que han innumerables opciones gratuitas además de Google Drive para realizar la misma tarea, y salir monitoreando y bloqueando todo servicio para compartir archivos es simplemente inviable.
El aumento exponencial de dispositivos móviles como smartphones, notebooks y tabletas, evidencia de que a ya no existe más un solo perímetro de defensa. Los empleados van a trabajar en redes y dispsitivos no gestionados por TI, por eso es necesario direccionar los desafíos de mundo moderno, proveyendo acceso a cualquier usuario, en cualquier dispositivo, para cualquier aplicación y en cualquier lugar donde esté. El problema es que proveer ese nivel de acceso puede abrir la puerta a invasores y el costo de esa brecha de seguridad puede ser bien alto.
Organizaciones de cualquier parte del mundo poseen 27.9% de posibilidades de sufrir un ataque en los próximos dos años (1), donde 81 por ciento de esos ataques suceden por contraseñas robadas o comprometidas de alguna forma (2). El cibercrimen hasta 2021, se volverá en una industria de 6 billones de dólares (3)
El enfoque actual de autorización de acceso es una vulnerabilidad en sí misma pues una vez que un acceso es garantizado por las credenciales, ésta disponible 24/7, luego si las credenciales son comprometidas, no requiere esfuerzo alguno para evadir cualquier control de seguridad perimetral, a final de cuentas o que un Firewall, IPS, Web Proxu, Antiviruis, etcétera va a hacer con un acceso teóricamente legítimo y validado a través de la autenticación y autorización de una herramienta interna. Eso trajo un asunto al punto principal: autenticación de factor único (usuario y contraseña), no son suficientes con todos los cambios abordados hasta el momento.
Ello lleva al concepto de “Zero Trust” crítico para cualquier acercamiento a la seguridad. Se trata de una postura de seguridad que significa no confiar en absolutamente nada, dentro o fuera del perímetro, y sin verificar y controlar todo antes de establecer el acceso, es decir, el acceso debe ser negado hasta que los siguientes requisitos sean cumplidos: Validación de usuario además de sus credenciales; validación de postura de dispositivo para el cumplimiento de la seguridad y el establecimiento de un nivel apropiado de acceso.
Una solución de acceso seguro unificado que garantice Zero Trust a través de la autenticación multifactor y control de acceso granular es lo que se requiere para proteger la red y va más allá de solo quedarnos en el punto perimetral. Confirmar la identidad, poder ver la actividad del end point, conocer la “salud” y confiabilidad del dispositivo que se está conectando y protección de aplicaciones son parte de las acciones que ayudan a mantener una red con niveles de seguridad más confiables.
- https://databreachcalculator.mybluemix.net/assets/2018_Global_Cost_of_a_Data_Breach_Report.pdf
- https://enterprise.verizon.com/resources/reports/2017_dbir.pdf
- https://www.csoonline.com/article/3247848/network-security/what-is-zero-trust-a-model-for-more-effective-security.html