Desmitificando Zero Trust
Tabla de contenidos
Cuando somos pequeños, nuestros padres y abuelos nos recuerdan una y otra vez que no nos fiemos nunca de los desconocidos. No hay que hablar con personas que no conocemos, ni, desde luego, subirnos a coches ajenos. Cuando crecemos, la vida nos enseña que, a veces, también tenemos que andarnos con ojo con las personas en las que confiamos. Este aprendizaje vital se traslada al ámbito de la ciberseguridad mediante un concepto muy en boga en los últimos meses: Zero Trust. Pero… ¿Qué es esto de la confianza cero? ¿Es la solución definitiva a todos los riesgos y vulnerabilidades?
Según el Instituto Nacional de Estándares y Tecnología estadounidense (NIST), un referente metodológico en el ámbito de la seguridad, la definición es la siguiente:
«Zero Trust proporciona una colección de conceptos e ideas diseñadas para minimizar la incertidumbre a la hora de aplicar decisiones de acceso precisas con los mínimos privilegios por solicitud, en sistemas y servicios de información ante una red que se considera comprometida»
Al referirse a «una colección de conceptos e ideas», el NIST da buena cuenta de la amplitud de nociones que se incluyen en el Zero Trust.
Sin embargo, están surgiendo cada vez más productos, modelos e incluso software que dicen implementar Zero Trust en su operativa. La cuestión, habida cuenta de lo descrito previamente, es obvia: ¿Es tan siquiera esto posible? ¿Se puede contener un concepto tan generalista e intangible en una herramienta o solución tecnológica?
A continuación, vamos a desentrañar los elementos centrales de la confianza cero y analizar cómo este concepto puede servir de inspiración para poner en marcha estrategias de ciberseguridad.
1. «Zero Trust no es un estado, es una filosofía»
José Antonio Lancharro Bervel, director de BlackArrow, la división de seguridad ofensiva y defensiva de Tarlogic Security, resitúa el marco de debate en torno a Zero Trust. Sostiene que la confianza cero no es algo que se pueda conseguir implementar, sino una filosofía que inspira las estrategias y acciones que una organización pone en marcha.
1.1. El camino de la confianza cero
Como filosofía, Zero Trust aboga, a modo de ejemplo, porque las empresas e instituciones desconfíen de las conexiones que vienen del exterior, presuponiendo que todas son, potencialmente, maliciosas. Pero también de las conexiones internas. De tal forma que todas ellas se gestionen como si fuesen posibles violaciones o agresiones.
Así, podríamos decir que una compañía no puede contratar un paquete de Zero Trust, instalarlo en sus sistemas y tener plena confianza de que está absolutamente protegida frente a ataques maliciosos externos e internos. Sino que la desconfianza debe estar presente en su manera de actuar frente a las solicitudes de acceso a los recursos.
En cambio, sí es posible caminar por la senda de la confianza cero. Para ello, se puede recurrir a medidas que ya se han implementado en numerosas compañías. Como exigir la doble autenticación de los usuarios, gestionar las identidades, segmentar las redes, realizar cifrados… No existe una única solución para avanzar hacia una implantación de Zero Trust en una organización, sino que las medidas que se pueden poner en marcha se extienden ad infinitum.
Por ello, la confianza cero es más interesante como concepto que inspira una apuesta decidida por sistemas más seguros, que como una solución directa a los desafíos de seguridad. Al fin y al cabo, Zero Trust es un concepto simple de entender: hay que desconfiar de la identidad real del usuario que intenta acceder a la información. Pero, difícil de implementar, porque existen un sinfín de posibilidades para avanzar en el camino de Zero Trust.
1.2. IA, metaverso y escenarios de futuro
Así las cosas, Zero Trust no supone la respuesta definitiva para atajar las vulnerabilidades y los riesgos. Como afirma Jessica Cohen Villaverde, directora de Ciberinteligencia de Tarlogic, «tiene sus luces y sus sombras. No es la panacea de la seguridad a futuro». Puesto que la extensión de la Inteligencia Artificial a muchos ámbitos de las empresas, en especial a la ciberseguridad, pero también a las prácticas de los actores maliciosos, impacta directamente en las estrategias de seguridad Zero Trust.
Lo mismo sucede con el salto al metaverso. Conectar entornos virtuales, personas, dispositivos y apps de forma segura y en tiempo real es un enorme desafío. Así pues, estas innovaciones punteras abren nuevos escenarios y, con ellos, nuevos interrogantes.
Como decíamos antes, Zero Trust no es un estado que se vaya a ver alterado por estas transformaciones. Sino que sus principios, la mayoría de ellos de sentido común y que se han aplicado en el ámbito de la ciberseguridad desde siempre, son guías para desarrollar, implementar y analizar estrategias que garanticen la seguridad los sistemas, del software y hardware de una compañía. También (o sobre todo) en un escenario de revolución tecnológica e innovación constante como el actual.
2. Un concepto que paquetiza la clásica ley del mínimo privilegio
Jessica Cohen señala que la aplastante mayoría de las técnicas de ciberseguridad y ciberinteligencia son traslaciones al mundo digital de estrategias que ya existían en el mundo físico. Algo que tiene toda su lógica dados los años de evolución que éste último ha experimentado. Así, la estrategia de los anillos de seguridad es un clásico atemporal que permite minimizar la posibilidad e impacto de las brechas de seguridad en torno a elementos de protección críticos.
2.1. Autenticar y autorizar
Cada usuario debe tener permiso para realizar únicamente las tareas que tiene encomendadas y para acceder, solo, a la información que necesita. Ni un solo privilegio más.
De hecho, acumular privilegios contradice de manera flagrante la ley del mínimo privilegio. Algo que sucede de manera habitual. Por ejemplo, en algún momento un usuario tuvo que emplear una aplicación, sin embargo, hace mucho tiempo que ha dejado de usarla y aún conserva los privilegios adquiridos. Esto puede facilitar la explotación de vulnerabilidades.
En gran medida, Zero Trust no es más que una reactualización de los principios rectores de la clásica ley del mínimo privilegio.
Lo que nos dice esta filosofía es que no debemos fiarnos de las personas, internas o ajenas, que quieren acceder a nuestros recursos. Por ello es fundamental autenticarlas para que puedan entrar en el sistema y autorizarlas, estipulando qué privilegios tienen para acceder a la información, verla o, incluso, modificarla.
2.2. Los principios del Zero Trust
Estas ideas llevan años siendo implementadas en el ámbito de la ciberseguridad. No son innovaciones recientes. Sino que la emergencia del concepto Zero Trust ha servido para aglutinarlas.
Hasta el punto de que se ha hecho manifiesta una tendencia a paquetizar principios de seguridad básicos en servicios y modelos, que dicen garantizar la implementación de un concepto inabarcable como es la confianza cero.
Este rebranding ha buscado captar la atención de las compañías, que en plena transformación digital tienen crecientes necesidades de servicios de ciberseguridad. Sin embargo, ofrece la engañosa sensación de que, como advertía Lancharro, el Zero Trust no es una meta alcanzable, un estado o un fin que al implementarlo se logra la seguridad total, sino que es un proceso en continua evolución
A continuación, vamos a señalar los principios más comunes que se incluyen bajo el paraguas del Zero Trust. Estos principios pueden implementarse, mediante estrategias y técnicas, en mayor o menor medida, en función de las necesidades de seguridad de las organizaciones y sus características, recursos y contextos.
2.2.1. Autenticar la identidad de todos los usuarios
No solo debemos desconfiar sistemáticamente de los usuarios externos, sino también de los internos. Para ello, es preciso autenticar la identidad de todos los usuarios.
En este sentido, la doble autenticación o la autenticación multifactor se han abierto paso como técnicas que permiten comprobar que la persona que desea acceder es quien dice ser y que no le han sustraído la contraseña o suplantado su identidad.
El sistema de gobierno y gestión de las identidades es clave para implementar este principio de seguridad con éxito.
2.2.2. Restricción de privilegios
Este principio es la base sobre la que se sostiene la ley del mínimo privilegio. Para ello es fundamental que las organizaciones cuenten con un sólido sistema de permisos de seguridad, que responda tanto a los riesgos que tiene que hacer frente la organización, como a las necesidades de acceso de los profesionales.
Para ello, se puede realizar una microsegmentación de los datos, compartimentándolos en función de las características de la compañía y su forma de operar. Y, luego, estableciendo controles de seguridad para monitorizar el acceso a ellos.
Además de la compartimentalización de la información, también es fundamental que la administración de los diferentes roles y permisos sea ágil y eficaz.
2.2.3. Supervisión permanente del comportamiento de los usuarios
No basta con controlar los procesos de autenticación y autorización, sino que hay que contar con herramientas que permitan automatizar la verificación y evaluación de las acciones que acometan los usuarios dentro del sistema. ¿Cómo se comporta el usuario? ¿Qué datos consulta? ¿Qué información modifica? ¿Se han producido alteraciones? ¿Cuáles?
3. Impacto y accionabilidad de las acciones Zero Trust
Más allá de estos principios que venimos de abordar, es importante señalar que, en realidad, todas las medidas que contribuyan a aumentar la seguridad del software y hardware de una compañía son Zero Trust. El catálogo de estrategias y técnicas que se pueden poner en marcha es inabarcable, por lo tanto, las compañías deben decidir cuáles se ajustan a sus necesidades y recursos y cuáles no.
Esto podemos verlo con un simple ejemplo. Un ecommerce quiere implementar un doble factor de autenticación a los usuarios que entran en su plataforma para realizar una compra. De esta manera fortalecen su estructura de seguridad y dan mayores garantías a sus consumidores. Sin embargo, se ha procedido a analizar el impacto de la medida y se considera que el doble factor de autenticación conllevaría la pérdida de muchos clientes que no quieren tener que realizarla cada vez que entran en la plataforma.
De tal manera que el impacto económico sería tan perjudicial que no compensarían los resultados de seguridad obtenidos.
Este caso hipotético permite seguir desechando la idea de Zero Trust como un concepto totalizador y una solución única y global. Cada compañía es un mundo y las buenas prácticas en materia de ciberseguridad deben conciliarse con la estrategia empresarial y la realidad del negocio.
3.1. Estrategias accionables
Precisamente, una cuestión fundamental a la hora de hablar de Zero Trust es la accionabilidad. Si una compañía pretende implementar todos los principios, estrategias y metodologías de Zero Trust en su nivel máximo de complejidad y sofisticación descubrirá que es imposible. En un sentido estricto, Zero Trust no es accionable. Primero, porque las medidas a implementar son infinitas. Segundo, porque los recursos de las empresas son finitos y la ciberseguridad debe estar alineada con el resto de áreas del negocio.
Por ello, cuando una compañía decide apostar por Zero Trust, debe ser consciente, en primer lugar, qué significa eso para la organización, qué resultados espera obtener y cuáles serán los costes que tenga que asumir. Solo así se puede diseñar e implementar una estructura de seguridad que ayude a la compañía a avanzar en el camino del Zero Trust.
3.2. Análisis de riesgos
Así, antes de nada, es preciso identificar los riesgos y vulnerabilidades a los que tienen que hacer frente los sistemas empresariales.
Una vez identificados los riesgos, se debe determinar qué medidas se pueden implementar para eliminarlos, cuántos recursos económicos, temporales y humanos consumen dichas medidas y qué mecanismos se van a emplear para verificar el nivel de mejora obtenido.
Como hemos apuntado a lo largo de todo el artículo, es imposible alcanzar un nivel de seguridad absolutamente perfecto. Sino que las estructuras de seguridad deben acotar los riesgos, teniendo en cuenta los recursos de los que se dispone.
Las técnicas y estrategias implementadas para securizar los sistemas deben ser evaluables. Sería difícilmente justificable el obtener una pingüe mejora en la seguridad si para ello se ha consumido una gran cantidad de dinero y tiempo.
3.3. Medidas contraproducentes
En alguna ocasión a lo largo de nuestra vida hemos tomado una decisión pensando en la consecución de un objetivo y dicha medida se nos ha vuelto en contra.
Jessica Cohen avisa de que, si una compañía opta por estrategias de seguridad extremadamente complejas y difíciles de llevar a cabo, en las que haya incluso demasiada burocracia, los usuarios se las van a saltar. Lo cual provocaría su ineficacia y, en definitiva, un aumento de los riesgos de seguridad.
Por ello, toda medida debe ser analizada previamente, de cara a estudiar su viabilidad, tanto económica como en términos de implementación y usabilidad.
De nada sirve diseñar y poner en marcha medidas de seguridad avanzadas si su funcionamiento lastra el trabajo de los profesionales.
3.4. ¿Cómo afecta a la productividad?
Precisamente, es fundamental tener en cuenta a las personas que van a convivir con la estructura de seguridad. El concepto Zero Trust y sus principios deben conjugarse con la realidad del día a día de las organizaciones.
Si una medida puesta en marcha, como la demanda de autenticación constante de los trabajadores, conlleva que estos pierdan muchos minutos de su jornada laboral en acciones meramente burocráticas, la productividad se resentirá.
Lo mismo sucederá si la limitación de permisos de seguridad es tan restrictiva que los trabajadores, de manera recurrente, no pueden acceder a áreas de información que necesitan y deben solicitar a un compañero con un nivel de permiso superior que se la facilite.
En el contexto de la economía digitalizada y globalizada, la productividad se ha situado como una cuestión crucial para el éxito de las empresas. Si las compañías no son productivas, su capacidad de competir se resiente. No es, por lo tanto, una cuestión menor.
De ahí que la implementación de estrategias Zero Trust deba ir precedida de un análisis de su usabilidad y de cómo afectará a la productividad de los profesionales.
3.5. Cuidar la experiencia de los usuarios
Si los trabajadores son importantes, los clientes no lo son menos. Todo negocio digital debe conjugar con éxito las necesidades de seguridad para reducir los riesgos y las vulnerabilidades, con la experiencia de los usuarios.
Un consumidor que siente que ha perdido mucho tiempo en realizar una compra o consultar un servicio o producto, es menos proclive a volver a confiar en el negocio.
La protección frente a ataques maliciosos y fraudulentos es una cuestión que preocupa, cada vez más, tanto a las compañías como a los ciudadanos. Sin embargo, las medidas de seguridad no pueden lastrar el uso de los sistemas. Por ello, apostar por la filosofía Zero Trust debe ir acompañado de un análisis profundo de cuáles serán las consecuencias de las acciones que se van a desarrollar.
Y, en caso de que se pongan en marcha tales medidas, se debe contar con mecanismos para evaluar su éxito en términos de securización, pero también su impacto en el negocio.
3.6. Asesoramiento en la toma de decisiones
De las cuestiones que venimos de abordar, se puede inferir que resulta fundamental que las compañías cuenten con un asesoramiento profesional en todas las fases de la toma de decisiones. Desde que surge la idea de implementar estrategias de Zero Trust, hasta la evaluación de los resultados generados por éstas.
Ello se debe, precisamente, a que Zero Trust no es una solución cerrada, conformada por un catálogo de acciones a implementar. Sino que sus principios, enfoques y puntos de vista se pueden ejecutar de múltiples maneras.
Aquí entran en juego las características y especificidades de cada compañía. La estructura de seguridad óptima para una empresa puede no serlo para otra. Solo mediante un advisory permanente y un análisis completo de todos los activos, recursos y necesidades, se puede emprender el camino del Zero Trust con éxito.
4. La ecuación Zero Trust de Tarlogic
Frente al mito del Zero Trust como un servicio que se puede comprar e implementar, en Tarlogic abogamos por soluciones plenamente personalizables que aborden la lucha contra los riesgos y las vulnerabilidades de una organización desde tres áreas clave: ciberseguridad, seguridad ofensiva y ciberinteligencia.
4.1. Out of the Box. Llevar la filosofía Zero Trust más lejos
Asumir como propia la filosofía del Zero Trust, debe implicar realizar una aproximación holística a las estructuras de seguridad de las compañías. No basta con implementar acciones ligadas a los principios clásicos del Zero Trust. Sino que es fundamental desarrollar estrategias disruptivas, en las que entren en juego también las técnicas de seguridad ofensiva y capacidades de ciberinteligencia.
Que el concepto de Zero Trust sea tan amplio, nos permite llevarlo más allá de sus coordenadas clásicas: la autenticación y autorización de usuarios. Si la confianza cero se asume como un principio motor, puede manifestarse a través de todas las acciones que se ponen en marcha para securizar una organización.
Y como el Zero Trust no es un estado que se pueda alcanzar, es fundamental analizar si las estructuras de seguridad son coherentes con sus principios. Fruto de ese análisis puede surgir, como sostiene Alejandro González Hernando, director de Ciberseguridad de Tarlogic, una duda fundamental: ¿Hasta qué punto está la organización teniendo en cuenta el Zero Trust?
4.2. Servicios plenamente personalizados. De lo ideal a lo real
En un escenario ideal de Zero Trust, las compañías cuentan con servicios de ciberseguridad muy avanzados. Testean de manera recurrente sus sistemas y ponen a prueba su seguridad defensiva. Además, los servicios de ciberinteligencia son extraordinariamente completos y permiten a la compañía anticiparse a los posibles riesgos que pudieran llegar a surgir.
Ello implicaría contar con estructuras y estrategias de seguridad avanzadas y sofisticadas que, por lo tanto, consumirían una gran cantidad de recursos. Por ello es fundamental pensar las estrategias de Zero Trust basándose en las características y necesidades del negocio, adaptando y personalizando los servicios.
4.3. Ciberseguridad: revisión y testeo de los sistemas
Es necesario dar una solución eficiente y ágil a las necesidades de las organizaciones. Desde revisar el perímetro de seguridad de forma periódica hasta realizar tests de intrusión avanzados para detectar amenazas y poder corregirlas antes de que sean explotadas.
Además, las revisiones de seguridad permiten detectar vulnerabilidades y evaluar el impacto sobre el negocio. ¿Cuál es el riesgo de que una vulnerabilidad sea explotada? ¿Qué consecuencias podría llegar a tener un ataque exitoso?
Zero Trust no se sustenta solo sobre la idea fuerza de desconfiar de manera sistémica, sino también sobre la necesidad de priorizar riesgos y comprobar permanentemente que las medidas tienen éxito. De nada sirve poner en marcha acciones para garantizar la securización del software y hardware empresarial si no se testean para asegurar que siguen funcionando de manera óptima.
4.4. Seguridad ofensiva: pasar de la desconfianza a la acción
No basta con abrazar el principio de desconfianza a la hora de construir las estructuras de seguridad. Sino que resulta extraordinariamente valioso optar por soluciones proactivas.
Un sólido equipo de seguridad avanzada puede proporcionar servicios de Threat Hunting basado en hipótesis de compromiso para detectar amenazas y ataques desconocidos.
Del mismo modo podrían realizarse ciber ejercicios para trasladar la filosofía Zero Trust del terreno de la defensa al ataque.
Ya se sabe lo que dice el famoso dicho popular: la mejor defensa es un buen ataque.
Precisamente, en este proceso juegan un papel clave los servicios de Red Team. Este equipo simula escenarios reales de ataques, haciéndose pasar por agentes maliciosos. Mediante sus acciones, se puede comprobar cómo responde el equipo de seguridad defensiva y testear si las estructuras de seguridad responden a los principios del Zero Trust o, en cambio, se detectan debilidades.
¿Qué pasa si el actor malicioso ha conseguido vulnerar las estrategias defensivas para comprometer la identidad de los usuarios y se encuentran dentro del sistema? Con la confianza en la picota, ¿qué se puede hacer? Con los servicios de Compromise Assessment se puede estudiar a aquellos intrusos que han sobrepasado las medidas de desconfianza, monitorizar las acciones que acomete, evaluar el nivel de compromiso alcanzado y diseñar una estrategia para expulsarlo de la organización afectada.
4.5. Ciberinteligencia: investigación para tomar decisiones
La inteligencia es tan vieja como la propia civilización. Desde tiempos antiguos, el ser humano se ha esforzado en acumular conocimiento sobre sus enemigos para fortalecer sus propias estrategias y tácticas.
Hoy, más que nunca a lo largo de la Historia, la información es poder. Por eso resulta fundamental contar con servicios de ciberinteligencia capaces de recopilar todos los datos necesarios sobre atacantes y agresiones. Ya sea analizando recursos webs, redes sociales, señales inalámbricas o mensajes móviles.
Los profesionales de ciberinteligencia no solo recopilan la información, sino que mediante metodologías estructuradas la analizan y objetivizan para componer una panorámica amplia de las técnicas maliciosas que se pueden emplear contra una organización.
Cuando hablamos de Zero Trust no podemos limitarnos a aplicar la desconfianza sobre los propios sistemas y los intentos de acceso a ellos, sino que hay que extenderla a todo el ecosistema digital. En Expediente X decían que la verdad estaba ahí afuera… las ciber amenazas también. Aunque no solo.
En el seno de la propia organización también pueden existir actores maliciosos que busquen menoscabar su funcionamiento, de ahí que la ciberinteligencia también tenga entre sus objetivos la detección de amenazas internas.
Si esto fuera poco, la información también es clave a la hora de formar y concienciar a la plantilla de una compañía. En especial en lo relativo al Zero Trust. Si no se asumen sus principios y la necesidad de poner en valor la seguridad por parte de todos los equipos que conforman una organización, la implementación exitosa de las estrategias de Zero Trust resultará imposible.
4.6. Advisory 360: ¿Estamos yendo en la buena dirección?
Si el Zero Trust es un camino, es crucial saber si estamos yendo en la dirección correcta o en la contraria. Caminar por caminar no tiene ningún sentido. De ahí que sea tan importante contar con un advisory integral y permanente.
Avanzar en la filosofía Zero Trust de manera racional pasa por detectar con precisión las necesidades, conjugarlas con los recursos y plantear objetivos realistas y medibles.
En este sentido, todos los servicios que apuntamos sucintamente antes permiten a las compañías no solo implementar estrategias de seguridad integrales, sino, también, testearlas para garantizar su óptimo funcionamiento y el cumplimiento de los objetivos.
5. Soluciones integrales que sí generen confianza
A modo de conclusión, es importante señalar que el Zero Trust no es una solución mágica que solventa todos los problemas de seguridad que puede tener una organización. No es un software que se pueda instalar y que al pulsar un botón implemente una estructura de seguridad infranqueable. La lucha contra los ciber riesgos implica un gran esfuerzo que, además, hay que realizar de manera constante. Los delincuentes no descansan.
El Zero Trust es una filosofía, un conjunto de ideas que han estado siempre presentes en el ámbito de la ciberseguridad y que, en esencia, son de sentido común. Por ello, el Zero Trust debe, ante todo, inspirarnos a la hora de diseñar e implementar medidas de seguridad frente a atacantes maliciosos, tanto internos como externos.
Para tener éxito, estas medidas no deben limitarse únicamente a aspectos clásicos del Zero Trust como la gestión de los permisos de seguridad, sino que es clave optar por aproximaciones holísticas y disruptivas. Los servicios de ciberseguridad, seguridad ofensiva y ciberinteligencia se complementan y enriquecen entre sí. Una solución integral debe poner el conocimiento de estas tres grandes áreas al servicio de las necesidades del cliente.