los Archivos X La máxima de “No confíes en nadie” se ha encapsulado en el modelo de autenticación de identidad del acceso a la red de confianza cero (ZTNA), donde la identidad debe probarse y los usuarios están sujetos a restricciones específicas. Sin embargo, es discutible si ZTNA actualmente va lo suficientemente lejos.
La pandemia de Covid-19 fue testigo de un cambio fundamental en la cultura laboral, con millones de roles que antes estaban en la oficina migrando a puestos de trabajo remotos. Aunque la mayoría de las restricciones de Covid se han levantado, muchas organizaciones continúan con el trabajo remoto y/o híbrido. Con el aumento del trabajo remoto, ha habido una mayor demanda de acceso a la red. Como tal, una multitud de actores de amenazas han tratado de aprovechar el aumento de las actividades en línea, desde ciberdelincuentes hasta piratas informáticos patrocinados por el estado.
ZTNA, como su nombre lo indica, es un modelo de autenticación de identidad de acceso a la red. En lugar de depender de dispositivos confiables basados en el acceso a la red previamente autenticado, ZTNA no hace suposiciones: esta metodología diferencia entre un dispositivo con el que se conecta un usuario y el usuario del dispositivo. Por lo tanto, ZTNA exige que el usuario confirme su identidad cada vez que se conecte a la red.
Sin embargo, no todas las metodologías ZTNA son iguales. Algunas versiones asumen que una vez que un usuario ha confirmado su identidad, sus privilegios de acceso pueden permanecer, independientemente de cuánto tiempo esté conectado a la red. En este caso, ZTNA se convierte simplemente en una herramienta de control, que confirma la identidad al llegar. Pero esto no tiene en cuenta los cambios que pueden ocurrir en el punto final y cómo estos podrían afectar la seguridad de la red.
“Tuvimos un momento eureka para lo que llamamos ZTNA 2.0, donde nos dimos cuenta de que en realidad no todos los ZTNA son iguales”, dice Simon Crocker, director senior de ingeniería de sistemas de Palo Alto Networks. “Gran parte de ZTNA no está implementando una verdadera confianza cero, y definitivamente no menos importante el acceso privilegiado. La gente no está implementando lo que cree que podría estar implementando”.
Por ejemplo, si se ha establecido una conexión de red y se ha confirmado la identidad del usuario, pero durante esta sesión de red la herramienta antivirus del terminal está desactivada, esto podría permitir que las aplicaciones maliciosas accedan a la red a través de una conexión de confianza debido a una conexión insuficiente. supervisión de la red.
“Si observa algunas de las implementaciones que están en el mercado hoy en día, hacen una verificación única de la persona que está conectada, el usuario remoto, y eso es todo”, dice Crocker. “La sesión puede ser por minutos, horas o días, pero no se verifica más ese nivel de confianza. Creemos en la verificación continua de la confianza”.
Monitoreo continuo
Lo que ZTNA debe ser es confianza cero todo el tiempo, no solo durante el acceso inicial a la red. Al monitorear constantemente la identidad y los datos en toda la red en busca de cualquier actividad sospechosa, como cambios en las conexiones de red, se puede identificar cualquier comportamiento de red no convencional o sospecha de pérdida de integridad de datos.
Una analogía adecuada de cómo debe operar ZTNA es ir a un aeropuerto. Al llegar a un aeropuerto, a una persona se le entrega una tarjeta de embarque, que le permite pasar por seguridad a una determinada sala, lo que esencialmente le otorga a esa persona privilegios de acceso específicos por una duración limitada. Cualquier intento de desviación, como ir a un salón diferente o a las áreas de empleados, se bloquea de inmediato.
“Hemos profesado la confianza cero como metodología general durante varios años”, dice Crocker. “Estábamos analizando ZTNA, que ha sido implementado por muchos proveedores en el mercado actual, y sentimos que le faltaba parte de ZT”.
ZTNA debe convertirse en una herramienta de monitoreo de seguridad general que asuma que la seguridad no está definida de manera inmutable, pero que la credibilidad de un usuario y una conexión deben ser desafiadas y evaluadas continuamente en caso de cualquier desviación o intento malicioso.
Endpoint: el eslabón más débil de la seguridad
Uno de los principales puntos en los que centrarse son los puntos finales, es decir, los usuarios y sus dispositivos de acceso. Cuando los usuarios y los dispositivos pueden permanecer conectados durante un período de tiempo prolongado, es arriesgado suponer que un usuario permanece autenticado desde su punto de conexión.
Por ejemplo, si la conexión del punto final se ve comprometida, como si el software de protección antivirus se deshabilitara mientras está conectado a la red, entonces los posibles malhechores podrán aprovechar la conexión autenticada e ingresar a la red. Como tal, ZTNA 2.0 supervisa constantemente cualquier cambio en los puntos finales y adapta los permisos de acceso en consecuencia.
“Si no verifica continuamente la verificación de confianza y el contenido malicioso, entonces está comprometiendo la seguridad de la organización”, dice Crocker. “Creemos en esa verificación continua de la confianza. Debe desafiar a los usuarios de vez en cuando, pero también debe observar su postura de seguridad en ese punto final y asegurarse de que sea consistente con la conexión original establecida”.
Por supuesto, no son solo las personas las que se conectan a una red, sino también los dispositivos, como el Internet de las cosas (IoT), así como las aplicaciones de generación de datos. Todos estos deberán ser monitoreados para garantizar que se comporten correctamente. Ha habido casos de piratería a través de dispositivos IoT, como en 2017 cuando se comprometió una pecera inteligente, lo que permitió a los delincuentes piratear un casino.
Cuando se conectan dispositivos no estándar, como herramientas industriales especializadas, se pueden crear identificaciones de dispositivos personalizadas. Estos generan un perfil de comportamiento de las operaciones del dispositivo en la red, de modo que cualquier desviación de los patrones establecidos pueda evaluarse, informarse y responderse adecuadamente.
Con estos sistemas de administración de identidad implementados, los equipos de seguridad pueden interrogar comportamientos sospechosos. “No todo en la red hoy en día es una persona y no tiene un ser humano sentado detrás”, dice Crocker. “Hay muchos dispositivos, ya sean dispositivos virtuales en la nube o dispositivos industriales de tipo IoT, que impulsan el tráfico por la red. Tienes que ser capaz de identificarlos a todos”.
Además de monitorear a los usuarios y dispositivos de la red, ZTNA también necesita monitorear el movimiento de datos a través de una red en busca de cualquier comportamiento sospechoso, como destinos o ancho de banda inesperados, que pueden indicar que actores malintencionados están desviando información de una red.
Algunos datos que se transmiten a través de la red, así como hacia y desde ella, también se cifrarán. Esto podría ser un desafío, porque puede haber cierto tráfico cifrado que debe permanecer seguro, como las transacciones financieras. Sin embargo, se pueden implementar políticas para preservar la integridad de cierto tráfico cifrado.
“No tiene sentido tener una postura de seguridad en la que inspeccionas parte del tráfico de vez en cuando; eso es completamente inútil”, dice Crocker. “No importa hacia dónde se dirija el tráfico, ya sea que se dirija a un SaaS [software as a service] aplicación en la nube o regresar a un centro de datos local, debe inspeccionar ese tráfico ahora”.
Monitoreo de datos
La prevención de pérdida de datos (DLP), como su nombre lo indica, mitiga la pérdida de datos en una red mediante el seguimiento del paso de archivos. Cada archivo recibe una clasificación de seguridad por parte del creador y cualquier archivo identificado como potencialmente confidencial puede bloquearse para que no salga de la red de la organización. Sin embargo, en algunos casos, será necesario permitir la transferencia de dichos archivos a organizaciones externas de confianza, como organizaciones colaboradoras.
“DLP es otro componente que creemos que es importante para la seguridad de los datos”, dice Crocker. “La identificación es absoluta y la visibilidad es crítica. Si no puede ver todo, entonces no puede ver todo y potencialmente ya está abierto”.
A pesar del nivel de supervisión de la red en ZTNA 2.0, existe un impacto insignificante en las velocidades de la red dentro del sistema, lo que permite a las organizaciones continuar aprovechando al máximo las capacidades de transferencia de datos.
La implementación es comparativamente simple, independientemente de si se trata de una red nueva o existente, siempre que se tome el tiempo y el cuidado necesarios para planificar la actualización y la instalación. Las redes existentes podrían reconstruirse desde cero utilizando ZTNA 2.0, pero esto complicaría el proceso, ya que también sería necesario tener en cuenta la migración de datos.
“Siempre que planifique la implementación y la estructure, estará bien”, dice Crocker. “Si intenta implementar sin planificación ni pensamiento, o lo hace de la noche a la mañana, entonces probablemente tendrá algunos problemas, pero es relativamente sencillo con un nivel adecuado de planificación”.
ZTNA 2.0 transforma a ZTNA de ser un simple control de acceso a una herramienta de monitoreo de seguridad continua que permite a las organizaciones controlar fácilmente la accesibilidad a los datos y el flujo de información a través de sus redes, al mismo tiempo que monitorea las posibles vulnerabilidades de los puntos finales.
“Nos estamos alejando de ZTNA como una tecnología de guardián, que es su posición actual”, dice Crocker. “La confianza cero debe ser generalizada. Las organizaciones necesitan tener visibilidad todo el tiempo e inspeccionar datos todo el tiempo”.