El año 2022 ha sido constante en la cantidad de infracciones de alto perfil y bandas de delincuentes cibernéticos, además de actores de estados-nación, que participan en conflictos geopolíticos. Las empresas de todas las industrias, incluidas las de energía, tecnología y telecomunicaciones, continúan siendo violadas.
Con muchos países relajando las reglas de bloqueo después de la pandemia de Covid-19, y a medida que más millennials y trabajadores temporales lo exigen, las empresas continúan con las prácticas de trabajo remoto desde el hogar. La confianza cero, como principio y como enfoque, se ha vuelto más crucial para hacer realidad este futuro del trabajo en forma de computación segura en cualquier momento y lugar.
Los ataques a la cadena de suministro digital están aumentando. No hace mucho tiempo, hubo el ataque SolarWinds Sunburst en diciembre de 2020 y luego el ataque Log4Shell en diciembre de 2021. Hubo un susto con la vulnerabilidad de OpenSSL lanzada a principios de noviembre de 2022, pero afortunadamente, solo afectó a una cantidad muy pequeña de instalaciones.
Al observar lo que sucede a nuestro alrededor en el mundo digital, ¿es la confianza cero realmente una panacea en esta aceleración de la transformación digital, Industria 4.0, Todo 4.0, como algunos proveedores nos hacen creer?
Para poner las cosas en perspectiva, la implementación y la madurez de Zero Trust difieren de una organización a otra. Si bien hay muchas otras consideraciones que podrían destacarse, en mi experiencia vale la pena señalar los siguientes cinco puntos en cualquier búsqueda de confianza cero en 2023:
El desafío de implementar la confianza cero en la cadena de suministro digital
Las empresas aún enfrentan desafíos para crear inventarios para los componentes y bibliotecas de software que utilizan varias soluciones y servicios comerciales y de código abierto. Después de los ataques de SolarWinds y Colonial Pipeline, la orden ejecutiva del presidente de EE. UU. en mayo de 2021 destacó la importancia de la lista de materiales del software (SBOM). Desafortunadamente, SBOM aún está lejos de realizarse, y SBOM no pudo demostrar su valor para determinar las implementaciones de Log4J cuando se dio a conocer el riesgo de ataque de Log4Shell en diciembre de 2021. Se necesita hacer más.
También es necesario centrarse en la confianza cero como parte de un ciclo de vida de desarrollo de software seguro (SSDLC). Esto también debe incluir la seguridad de la interfaz de programación de aplicaciones (API), ya que, cada vez más, las API mal protegidas son objeto de filtraciones de datos. El despliegue de confianza cero tiene que extenderse más allá de SSDLC en el diseño de la arquitectura empresarial y considerar la gestión de identidades y accesos de desarrolladores y terceros.
Hemos visto cómo el software y las bibliotecas de código abierto, como Log4J, OpenSSL y Libc, han sido objeto de ataques en los últimos años. Aunque dicho software y bibliotecas son mantenidos por voluntarios, el software comercial ha dependido en gran medida de ellos. A pesar de que la comunidad ha intensificado la vigilancia al formar programas de recompensas por errores de código abierto, como el programa Secure Open Source Rewards (SOS.dev), todavía se necesita mucho trabajo en este espacio.
Otra consideración es la mayor dependencia de proveedores únicos, incluidos los proveedores de identidad. El riesgo de concentración debe evaluarse y gestionarse. La defensa en profundidad y la defensa por diversidad con planes sólidos de continuidad del negocio siguen siendo fundamentales para mitigar tales riesgos.
Implementación inadecuada de confianza cero para prevenir ataques de fatiga MFA
Una falacia en las implementaciones típicas de autenticación multifactor (MFA) es la falta de puntos ciegos, centrándose en la autenticación basada en la web y olvidándose de la autenticación nativa debido a los clientes móviles enriquecidos, lo que permite que los intrusos exploten estas puertas traseras de autenticación de un solo factor a través de ataques de relleno de credenciales.
Para echar sal en la herida, algunos de los recientes ataques sorprendentes incluyen ataques de fatiga de MFA (también conocidos como “bombardeos de MFA”) que resultaron en infracciones en Uber, Microsoft y Cisco.
Por lo tanto, se debe disipar el mito de que los MFA, especialmente en sus formas más débiles, como a través de SMS o notificaciones automáticas, son balas de plata para evitar el acceso no autorizado. Los humanos siguen siendo los eslabones más débiles a pesar de MFA, como lo han demostrado las infracciones exitosas.
Esta amenaza de fatiga de MFA debe modelarse y evaluarse adecuadamente para garantizar que se mitigue con la protección y detección adecuadas. Los controles de compensación pueden venir en forma de tokens de hardware FIDO o autenticación de dispositivo final confiable adicional.
Implementación de confianza cero que no considera el principio principal de asumir incumplimiento
Un principio muy importante de confianza cero que a menudo se subestima es el supuesto incumplimiento.
Con demasiada frecuencia, algunos proveedores de productos de administración de acceso e identidad (IAM) se apresuran a compartir cómo pueden ayudar a las empresas a lograr la confianza cero. Todo esto está muy bien, excepto por el hecho de que a menudo cubren los primeros dos principios de i) verificar explícitamente y ii) usar el acceso con privilegios mínimos, pero no lo suficiente de iii) asumir el incumplimiento.
Si bien los primeros dos principios ayudan a limitar cualquier radio de explosión de ataque y dificultan una brecha a medida que avanza a través de la cadena de eliminación de ataques, el tercer y último principio es fundamental para la detección y contención efectiva y eficiente de una brecha en la capacidad de detectar rápidamente, contener rápido y recuperar rápido. Si creemos que las violaciones son inevitables, supongamos que la violación requiere un escenario más grande.
Supongamos que la infracción implica: practicar la ciberdefensa activa SANS; implementar el enfoque de observar-orientar-decidir-actuar (OODA), que requiere la necesidad de suscribirse a suficiente inteligencia de amenazas cibernéticas (CTI); elevar la madurez de los procesos de caza de amenazas, no solo buscando indicadores de compromiso (IoC), sino indicadores de comportamiento (IoB) y tácticas, técnicas y procedimientos (TTP); usar herramientas confiables basadas en el comportamiento; y la implementación de señuelos, trampas y soluciones de orquestación, automatización y respuesta de seguridad (SOAR).
Tales soluciones, efectivas si se implementan y mantienen correctamente, serían en vano si no están respaldadas por procesos sólidos y profesionales capacitados.
Con el aumento del ransomware de triple extorsión y los cárteles de rescate, es importante centrarse en los señuelos. La implementación de honeytokens de base de datos basados en el tiempo acorta el tiempo de respuesta a incidentes al permitir que una empresa determine rápidamente si la fuente de una fuga de datos surgió de una brecha en el sistema dentro de la empresa o fue el resultado de un caso de re-hashing de datos filtrados en el pasado de violar bases de datos.
La confianza cero solo se considera en el ámbito de lo digital
Hagámonos esta pregunta: ¿Alguno de nosotros permitiría que los niveles de hipoclorito de sodio que se utilizan para desinfectar el agua tratada que bebemos de los grifos sean manipulados por un ingeniero que trabaja en un cibercafé? Considere, en este escenario, que los principios de confianza cero se cumplen en el ámbito digital, MFA está implementado, existe protección contra ataques de fatiga de MFA y solo las computadoras portátiles emitidas por la empresa están autorizadas para dicho acceso.
En lo que respecta a las vidas, especialmente con la infraestructura de información crítica (CII), la confianza cero también debe considerar el ámbito físico. ¿Puede el ingeniero ser coaccionado bajo coacción? ¿Sus hijos jugarán accidentalmente con la interfaz de usuario de la interfaz hombre-máquina (HMI) como si fuera solo un juego?
La seguridad física con controles preventivos y de detección, como el despliegue de guardias de seguridad, cercas eléctricas, acceso biométrico controlado, CCTV, etc., son aspectos físicos de confianza cero que se deben considerar, especialmente para CII. El acceso seguro en cualquier momento y en cualquier lugar solo se evalúa de manera integral cuando se considera el ámbito físico junto con el ámbito digital.
El ciberseguro como panacea para la transferencia de riesgos como parte del principio de supuesto incumplimiento de la confianza cero
Hemos aprendido de entrevistas con grupos de ransomware que favorecen apuntar a la clientela de las compañías de seguros cibernéticos debido a los pagos garantizados. Y con las tensiones geopolíticas, ha aumentado el riesgo de que los ataques de ransomware y killware se clasifiquen como exclusiones de actos de guerra. Ya este año, Lloyd’s of London exige que las pólizas cibernéticas suscritas en el mercado de seguros tengan una exención para ataques respaldados por el estado.
Además, el seguro ayuda en la recuperación financiera en el mejor de los casos, y se puede hacer muy poco contra el daño a la reputación. Por lo tanto, una buena gobernanza del riesgo cibernético debe ser el enfoque principal y predominante para hacer frente a los crecientes riesgos cibernéticos.
La buena gobernanza no se trata de la visión utópica de eliminar juntos el riesgo cibernético, sino de darse cuenta de que no existe una seguridad cibernética perfecta y que las infracciones son inevitables. Se trata de obtener los máximos beneficios comerciales al mismo tiempo que se optimizan los riesgos y los recursos a través de una resiliencia cibernética adecuada.
Para que la confianza cero funcione, el diablo realmente miente con los detalles. Es importante: considerar los matices de la industria; considere la madurez cibernética, la violación supuesta, el modelado de amenazas adecuado y un enfoque basado en el riesgo; y evalúe el ámbito físico sobre el ámbito digital para establecer tanto la confianza digital como la resiliencia empresarial.
No menos importante, creo que podemos seguir avanzando a grandes pasos hacia 2023 y más allá trabajando más de cerca en un ecosistema digital global, cambiando la asimetría de los ataques compartiendo inteligencia de amenazas y mejores prácticas a través de comunidades de práctica, como el profesional. organismos ISACA e ISAC.
Como siempre, somos tan fuertes como nuestro ecosistema, y juntos podemos viajar con los enfoques correctos hacia la confianza digital y la resiliencia empresarial.
steven sim Kok Leong, CGEIT, CISA, CRISC, CISM, CDPSE, es miembro del Grupo de Trabajo de Tendencias Emergentes de ISACA