¡Pide presupuesto en 2 min! ✓
Ciberseguridad

Zero Trust: La alternativa a los modelos tradicionales de ciberseguridad

6 Mins read

No te fíes de nada ni de nadie; esa es la consigna que define Zero Trust, un “nuevo” modelo de ciberseguridad para adaptarse a las amenazas actuales en un mundo hiperconectado. En esta entrada vamos a explicar qué es y cómo funciona.

¿Qué es Zero Trust en ciberseguridad?

El Zero Trust o redes de confianza cero es un paradigma de ciberseguridad propuesto ya en 2010 por Forrester, que se basa en la desconfianza de todo lo que se puede conectar a una Red. Si antes la seguridad se basaba en la protección del perímetro, Zero Trust promulga la necesidad de mantener la seguridad tanto fuera como dentro del perímetro, de ahí ese “no te fíes de nada ni de nadie” con el que hemos abierto este artículo.

En un modelo de confianza cero, se asume que todos los usuarios no son de confianza, de manera que se requiere confirmar y autenticar la identidad no solo para asegurar el primer acceso a la plataforma y la información que contiene, sino en cada nuevo acceso de nivel, de manera que solo se concede los privilegios de acceso suficientes para realizar un trabajo o tarea determinados.

¿En qué consiste la red de confianza cero?

La red de confianza cero consiste en eliminar completamente la confianza de la ecuación, es decir, si en los modelos habituales de seguridad una vez autentificado el usuario mediante una contraseña, se la da acceso a toda la plataforma porque se le considera un usuario de confianza, en un red de confianza cero la verificación debe ser continúa.

Además, esa verificación ya no solo se limitaría al usuario, sino también al dispositivo de acceso. Actualmente, con la implementación paulatina del teletrabajo y el Internet de las cosas (IoT), así como el almacenamiento y trabajo en la nube, los accesos a las plataformas o infraestructuras de trabajo de las empresas se realizan desde diversos dispositivos que hay controlar y verificar.

Estas redes de Zero Trust funcionan a través de privilegios mínimos, es decir, que cada usuario recibirá la cantidad mínima de acceso necesaria para el desempeño de sus tareas, pero no tendrá acceso a toda la red. Además, los perímetros de seguridad y los componentes de la red se dividen en segmentos más pequeños con segmentos de acceso individuales (básicamente, ganar acceso a una zona de la red, pero no a otras).

Así mismo, todo el tráfico de red debe registrarse e inspeccionarse para detectar actividades sospechosas (como por ejemplo, el intento de acceso a través de un dispositivo no verificado).

Zero Trust se apoya tecnologías ya conocidas

Una de las ventajas de la seguridad Zero Trust es que se apoya en tecnologías ya existentes, por lo que no estamos hablando de un modelo que necesite del desarrollo de nuevas herramientas.

Ya hemos menciona la microsegmentación, la limitación de la accesibilidad de los usuarios a aquello que necesiten para el desempeño de su trabajo y la necesidad de autentificar y verificar los dispositivos que se utilizan para el acceso a las redes de la empresa.

Para lograr esto, Zero Trust recurre a tecnologías de autenticación multifactorial (verificación de la identidad a través de dos o más factores), herramientas de Gestión de Identidades y Accesos (IAM), cifrado, puntuación y permisos del sistema de archivos y tecnologías de orquestación del a seguridad.

Zero Trust

Las claves de la Zero Trust Security

La arquitectura de confianza cero se sustenta sobre 4 pilares básicos: Verificación del usuario, verificación del dispositivo, limitar el acceso y el privilegio y aprender y adaptar.

Verificación el Usuario y del dispositivo

En una red de confianza cero, la verificación debe ir más allá del usuario y la contraseña, porque estos son fáciles de obtener mediante ataques o comprando credenciales robadas.

Así, se logrará una mayor seguridad al mejorar las contraseñas con la autenticación multifactor, que recurre a algo que tiene, algo que sabe el usuario o algo que es. A través de esta verificación multifactor se puede determinar si se otorga el acceso y a qué niveles específicos, con independencia del tipo de usuario (final, privilegiado, socio, cliente, etc.).

Pero además, esta autenticación debe extenderse a los dispositivos que utilizan los usuarios para acceder a la red. Por ello, el usuario deberá inscribir el dispositivo que utilizará para acceder a la red, de manera que este pueda ser verificado.

De esta manera, cuando un usuario solicita siempre el acceso desde un mismo dispositivo, se puede considerar que tiene cierto nivel de confianza. Pero cuando trata de acceder desde otro dispositivo que nunca ha usado, la confianza quedaría eliminada.

Por lo tanto los dispositivos deberán cumplir una serie de requisitos de seguridad también:

  • Registro del dispositivo.
  • Ajuste de la configuración del dispositivo a las políticas de la empresa.
  • Cifrado de disco.
  • Protección contra virus.
  • Actualización de softwares.

Limitación del acceso y los privilegios

En el modelo Zero Trust, el acceso y los privilegios son muy limitados. Se limita el movimiento lateral dentro de todos los recursos, como servidores y estaciones de trabajo, de manera que los usuarios solo tengan acceso que necesitar para realizar su trabajo.

En las aplicaciones de negocios, que generalmente contienen grandes cantidades de datos críticos y a las que pueden acceder más usuarios dentro de la organización, es también importante proporcionar solo el acceso suficiente dentro de la aplicación para que cada usuario haga su trabajo, pero no más. Es decir, limitar al mínimo indispensable el acceso a datos por parte de los usuarios, de manera que cuanto más críticos sean los datos, menos privilegios de acceso a ellos se concedan, requiriendo además un mayor uso de autenticación multifactorial para poder garantizare la identidad.

Aprendizaje y adaptación

Un sistema de Zero Trust Security debe ser capaz de aprender y adaptarse, de manera que se le debe suministra la información necesaria sobre los usuarios, los dispositivos, las aplicaciones o el servidor, las políticas y todas las actividades relacionadas con ellos, para alimentar el aprendizaje automático.

Así, el sistema podrá reconocer comportamiento fuera de lo común para generar una señal de advertencia que requiera una segunda forma de autenticación.

Se pueden usar análisis de comportamiento para determinar el nivel de riesgo de una acción individual y decidir en tiempo real si se permite llevar a la cabo o no, proporcionando servicios de identidad con información clave, que se puede indicar a los administradores.

¿Qué beneficios tiene la implementación del modelo de Zero Trust en tu empresa?

Implementar Zero Trust en nuestra empresa puede traernos una serie de beneficios respecto a nuestra ciberseguridad, sobre todo ahora, que el teletrabajo se está extendiendo y es necesario asegurar el acceso a las redes o plataformas de la empresa.

  • Cubre una gama más amplia de superficies de ataque, tanto usuarios, como dispositivos, redes y recursos.
  • Aumenta la agilidad empresarial a través de la adopción segura de la nube y la soluciones móviles.
  • Administra de manera más adecuada el riesgo de exponer aplicaciones sensibles e infraestructura a partners.
  • Identificación automática del riesgo a través de comportamiento no habituales.
  • Requiere menos administración, habilidades y costes.

¿Cómo implementar un modelo Zero Trust de forma segura?

El modelo Zero Trust debe implementarse en toda la empresa u organización, tanto para dar acceso a los usuarios a aplicaciones como a los administradores acceso a los servidores. Así, es importante mantener actualizadas las políticas de seguridad de la red, revisarlas en busca de vulnerabilidades y probar con periodicidad su efectividad.

Ya lo hemos mencionado antes, pero todos los usuarios deberían tener que acceder a la plataforma o la red a través de sistemas de autenticación multifactorial. Además, los dispositivos desde los que se intente iniciar sesión en la red deben ser validados y cumplir previamente con los estándares de seguridad de la empresa.

La red debe estar segmentada, microsegmentada y contar con segmentación perimetral, de manera que queden asegurados todos los aspectos individuales de la misma.

Es necesario mantener la mayor visibilidad posible en toda la organización para evitar el abuso de acceso y que este conduzca a un acceso no deseado a los datos. Y revisar la lista de accesos de usuarios y administradores con frecuencia.

En definitiva, se trata de conseguir un modelo de madurez de confianza cero en el que las 4 claves que vimos más arriba se unifiquen y ayuden a prevenir y evitar ataques tanto externos, pero sobre todo, internos.

Google se interesa por el Zero Trust ¿Cómo lo está haciendo?

Como otras compañías, Google se interesó por la seguridad Zero Trusta y en 2015 empezó a cambiar sus políticas de seguridad de red para implementar este modelo de seguridad. Para ello creó también el proyecto BeyondCorp, actualmente completamente operativo y ha dejado de ser una iniciativa interna, para ponerla al servicio de sus clientes.

Con BeyondCorp Google elimina la confianza de la red e identifica de forma segura tanto dispositivo como usuario, aplica controles de acceso dinámico, políticas de privilegios mínimos y dependientes del contexto.

BeyondCorp se puede habilitar en casi cualquier organización con la solución de acceso contextual de Google Cloud. Los administradores de empresas pueden aplicar controles de acceso granulares en aplicaciones web, máquinas virtuales y APIs, además de en aplicaciones d Google Suite basadas en atributos como las identidades de los usuarios, el estado de seguridad del dispositivo, la dirección IP, etc.

Related posts
Ciberseguridad

Ataques de día cero. ¿Por qué son tan peligrosos?

12 Mins read
En este artículo, proporcionaremos información sobre el funcionamiento de los ataques de día cero, discutiremos las principales tendencias de vulnerabilidad de día…
Ciberseguridad

Captcha. ¿Qué son? Tipos y aplicaciones

11 Mins read
Los CAPTCHA han existido de una forma u otra desde el cambio de siglo, y se utilizan para garantizar que los usuarios…
Ciberseguridad

La informática forense en la investigación de delitos

13 Mins read
¿Qué es la informática forense? En este artículo te explicamos en qué consiste, sus tipos y las herramientas para realizar un análisis…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.