La consolidación del trabajo en remoto y el aumento de los servicios en la nube, impulsados por la pandemia, han difuminado el perímetro de seguridad de las organizaciones. Este nuevo panorama ha dado paso a entornos multicloud, que compaginan diferentes proveedores, y nubes híbridas que combinan la nube pública con la privada. Es un escenario mucho más complejo de gestionar y proteger con las herramientas tradicionales y que abre más puertas a los ciberdelincuentes. Ante el creciente e imparable riesgo de ciberseguridad, la estrategia Zero Trust, en la que se impone la confianza cero, se está extendiendo como una de las mejores defensas. Se trata de exigir un control continuo de los usuarios, transacciones y dispositivos, tanto internos como externos de la red corporativa.
El nuevo episodio del podcast de Cuatroochenta ‘Zero Trust. Seguridad 100% verificada’ se centra en analizar los beneficios y limitaciones de la adopción de una arquitectura de seguridad de confianza cero. ¿Cómo se securizan los entornos profesionales? ¿Es difícil adoptar y explotar una estrategia de control continuo de usuarios, accesos y red? ¿Qué implicaciones tiene para una organización? Estas son algunas de las cuestiones que abordamos en Cuidado con las macros ocultas con el experto en ciberseguridad, profesor de Formación Profesional y CEO de AllPentesting, Eduardo Sánchez Toril, la CISO de la Universitat Oberta de Catalunya, Clara Beleña, y el Country Manager de Sofistic en España, Juan Carlos García.
Los pilares básicos del Zero Trust
A los ataques ransomware o las explotaciones de vulnerabilidades de día cero, se suman los incidentes relacionados con el minado de criptomonedas, la ingeniería social con el phishing como principal ataque o los conocidos como “man in the middle”, en que los ciberdelincuentes se cuelan en las transacciones entre organizaciones y clientes. “Son un tipo de ataques más silenciosos”, explica Sánchez Toril, pero que están dejando muchísimo dinero al cibercrimen. Para el experto en ciberseguridad, la estrategia que parte de no confiar en nadie, ni en el propio usuario que está dentro de la organización, es un “buen planteamiento”.
¿Cómo desplegar un modelo de confianza cero?
Este nuevo paradigma combina métodos de control avanzados como la autenticación de múltiple factor, la protección de la identidad, la seguridad del endpoint de última generación y una seguridad robusta en la nube para verificar la identidad de cada usuario y sistema. Para conseguir implementar una arquitectura Zero Trust, las organizaciones deben partir de la base de que cada conexión y punto final son una amenaza, sean externas o internas.
2. Principio de mínimos privilegios
Proteger los datos y gestionar la información es uno de los principales objetivos de las compañías y, aunque no es fácil, hacerlo con una perspectiva Zero Trust incrementa las garantías de seguridad. La clave es “aplanar la curva entre los permisos que se conceden y los que el usuario utiliza” según destacó, durante la jornada BSides Panamá 2023 Juan David Díaz, arquitecto de soluciones en Sofistic Colombia. A la práctica, se trata de limitar el acceso y los privilegios al máximo, de manera que los usuarios de una organización solo puedan acceder a la información que es imprescindible para el desarrollo de su actividad.
«No es necesario que toda la organización tenga acceso a todos los recursos. Lo ideal es dar acceso según necesidades y, en el caso de tener que acceder a información o sistemas críticos, que sea bajo demanda y de forma temporal»
Aunque la protección de datos es una prioridad, para muchas organizaciones, implantar este modelo es muy difícil. Y más si están acostumbradas a compartir un único servidor y tener acceso a todo. Pero hay que tener en cuenta que el usuario es el eslabón más débil y que, con estos modelos más flexibles, el riesgo de filtración de datos aumenta. Al final, no solo se convierte en un incidente de seguridad, sino que puede acarrear un impacto económico para la compañía, además de afectar la reputación de la marca, tener una pérdida de clientes y una responsabilidad legal, tal y como remarcó el Country Manager de Sofistic en la 9ª Jornada del Foro MESIAS Cibereputación, cómo proteger la marca frente a los ataques ciber.
3. Control de dispositivos
Si la protección de la información es importante para una organización, también lo es conocer desde dónde está accediendo a ella y la está consumiendo. En este sentido, podemos hablar de tres tipos de dispositivos que interactúan, de una u otra manera, con las compañías:
Ante esta telaraña compleja de tipos de dispositivos, es esencial que la organización establezca unas políticas de seguridad claras. En el caso de los corporativos, hay organizaciones que apuestan por imponer muchas restricciones, tanto de navegación como de conexiones. Y hay que tener presente que, en el caso de los ordenadores o móviles no corporativos que se utilizan para el trabajo, aunque se determinen unas directrices mínimas de seguridad, existe igualmente el riesgo de no saber exactamente quién lo está utilizando. En este sentido, los expertos abogan por la formación de los trabajadores para que conozcan las buenas prácticas sobre seguridad de la información.
4. Segmentación de la red
Asumiendo que una red no es inquebrantable y que la superficie de ataque es mucho más amplia que la defensiva, las organizaciones deben minimizar el radio de exposición, para que, en caso de producirse una intrusión, se evite la propagación y se reduzcan los movimientos laterales de las amenazas. Se trata de segmentar la red, de manera que cada módulo tenga sus propias políticas de seguridad y sea más fácil de bloquear en caso de caso de producirse un acceso no autorizado.
Esta protección perimetral es, precisamente, la que permitió a la Universitat Oberta de Catalunya (UOC), con más de 87.000 alumnos online, frenar la extensión del ataque ransomware que sufrió en enero de 2022, en plenas vacaciones de Navidad, tal y como explica en el podcast su CISO, Clara Beleña. El incidente, que bloqueó durante 24 horas su campus virtual, afectó a 5 de los 600 servidores que tiene la organización.
«Además de la monitorización 24x7, es clave perimetrar bien e intentar tener grupos de servidores mucho más segmentados para evitar movimientos laterales, en los que el intruso puede ir saltando de un servidor a otro y distribuir el malware»
5. Capacidad de análisis y visualización del entorno
Es importante que las empresas tengan buenos sistemas de detección tanto a nivel de dispositivos, como de conexiones de red y de análisis del tráfico de internet. Todo ello, además, a la monitorización mediante un servicio de Security Operations Center (SOC) que permite que cualquier incidente pueda ser identificado y contenido en menor tiempo.
Para tener esa visión y ese control de todo el entorno es muy útil el análisis y el registro de perfiles de comportamiento de todos los usuarios y usuarias que se conectan dentro de la empresa a través de herramientas de inteligencia artificial. Gracias a este tipo de soluciones, se puede dar una repuesta más ágil y precisa ante la detección de patrones inusuales o posibles amenazas. Aunque la adopción de este tipo de estrategia va más allá de la implantación de una tecnología, el machine learning con la analítica de datos, ayuda a automatizar y monitorizar la ciberseguridad de las organizaciones e incluso logrando identificar ataques sofisticados y nunca vistos.
Escucha ‘Cuidado con las macros ocultas’ en tu plataforma favorita
«El ‘Zero Trust’ es un modelo ideal, pero hay que medir el equilibrio entre seguridad y usabilidad»
Limitaciones del Zero Trust
Aunque muchas organizaciones quieren apostar por un modelo de seguridad de confianza cero, implementar todas las medidas anteriormente citadas puede ser un verdadero reto para muchas compañías. Existen dificultades a la hora de aplicar controles, de compatibilizar estas restricciones con el trabajo colaborativo, de disponer de la arquitectura necesaria y el control de navegación o tener una visibilidad completa de la infraestructura. La propia CISO de la UOC reconoce que es un modelo muy efectivo de seguridad, pero difícil de aplicar en muchas organizaciones con un gran volumen de usuarios y con perfiles muy diversos, como es el caso de una universidad.
De una opinión similar es Eduardo Sánchez Toril, quien explica que es un modelo que están implantando sobre todo empresas del sector tecnológico, infraestructuras críticas u organizaciones con un gran volumen económico. Por eso, según el experto en ciberseguridad, es importante poner en una balanza la seguridad y la usabilidad. Y pone un ejemplo práctico para entenderlo. Una entidad financiera puede imponer el uso obligatorio del certificado digital para sus transacciones. Aunque es una medida de seguridad excelente, debe tener en cuenta que ese requisito puede suponer una complicación y una barrera para la interacción con algunas empresas, que podrían no tener el mismo nivel de madurez.
