Las cinco fases de la adopción de zero trust: de la confianza implícita a la explícita
Por Steve Riley, director de Tecnología de Netskope:
Para un concepto que simboliza la ausencia, la confianza cero (zero trust) se halla en todas partes. Sin embargo, las empresas que han explorado cómo embarcarse en proyectos de esta índole se han topado con desafíos desalentadores, que no les han permitido obtener los resultados que este enfoque pretende ofrecer.
Los mejores programas de zero trust buscan sustituir la confianza implícita por la confianza explícita, para evolucionar del «confiar, pero verificar» al «verificar, y luego confiar». Esta orientación reduce el riesgo y aumenta la agilidad de la empresa, al evaluar continuamente la confianza del usuario y del dispositivo a partir de la identidad, el acceso adaptativo y análisis exhaustivos.
El camino hacia la confianza cero puede no ser exactamente el mismo para todas las empresas, pero su adopción puede desglosarse generalmente en cinco fases clave.
Fase 1: No permitir el acceso anónimo a nada
Tras clasificar los usuarios y los niveles de acceso dentro de la organización y realizar un inventario de las aplicaciones, además de una identificación de todos los activos de datos corporativos, es momento de reforzar la gestión de la identidad y el acceso, el control de aplicaciones privadas y una lista de aplicaciones de software como servicio (SaaS) y categorías de sitios web aprobados. También se deben reducir las oportunidades de movimiento lateral y ocultar las aplicaciones para evitar que se obtengan sus detalles técnicos específicos, se escaneen los puertos, o se comprueben vulnerabilidades. Se debe exigir el inicio de sesión único (SSO) con autenticación multifactor (MFA).
Las tareas de esta fase incluyen la definición de la fuente de la verdad para la identidad y con qué otras fuentes de identidad podrían federarse, la determinación de cuándo se requiere una autenticación fuerte y el posterior control sobre qué usuarios deben tener acceso a qué aplicaciones y servicios. Además, ha de elaborarse una base de datos que asigne a los usuarios a las aplicaciones (racionalizando el acceso a las mismas mediante la eliminación de los derechos obsoletos) y eliminar la conectividad directa dirigiendo todos los accesos a través de un punto de aplicación de políticas.
Fase 2: Mantener el modelo de confianza explícito
Tras dominar las aplicaciones y la infraestructura de identidad, es momento de pasar a un control de acceso adaptativo, evaluando las señales de las aplicaciones, los usuarios y los datos, e implementando políticas adaptativas que apliquen la autenticación escalonada o emitan una alerta para el usuario.
Las tareas específicas en esta fase requieren que las organizaciones determinen cómo identificar si un dispositivo se gestiona internamente, y que añadan contexto a las políticas de acceso (bloquear, solo leer o permitir actividades específicas). Además, es sustancial aumentar o disminuir el uso de la autenticación fuerte según el nivel de riesgo, evaluar el riesgo de los usuarios y dirigir a los diferentes grupos hacia categorías de aplicaciones específicas. Adicionalmente, se debe establecer una base de confianza para la autorización dentro de las actividades de las aplicaciones.
Fase 3: Aislar para contener el radio de difusión
Para anular la confianza implícita es esencial minimizar el acceso directo a los recursos web de riesgo, especialmente cuando los usuarios interactúan simultáneamente con las aplicaciones gestionadas. El aislamiento bajo demanda -en condiciones de alto riesgo- limita el radio de difusión de los usuarios comprometidos y de los sitios web peligrosos.
En esta fase se pide a las organizaciones que implanten automáticamente el aislamiento del navegador remoto para el acceso a sitios web de riesgo o desde dispositivos no gestionados, y que evalúen el repliegue del navegador remoto como alternativa al proxy inverso CASB para las aplicaciones SaaS que actúan de forma incorrecta cuando se reescriben las URL. Es esencial también monitorizar los tableros de control de amenazas y usuarios en tiempo real para la detección de anomalías e intentos de comando y control.
Fase 4: Implementar la protección permanente de datos
El siguiente paso es supervisar y controlar el movimiento de la información sensible a través de aplicaciones y sitios web autorizados y no autorizados. Es importante establecer reglas para el acceso a los datos desde dispositivos gestionados y no gestionados, y añadir detalles de políticas adaptativas de acceso al contenido en función del contexto.
Igualmente, y con el fin de proteger los datos y acatar las normas de cumplimiento, las organizaciones pueden optar por la gestión de la postura de seguridad de la nube para evaluar las configuraciones de los servicios de la nube pública, o evaluar el uso de reglas y políticas de protección contra la pérdida de datos (DLP) en línea para todas las aplicaciones. A la par, deben definir reglas y políticas de DLP de datos en reposo, y eliminar el exceso de confianza, además de adoptar y aplicar un modelo general de mínimos privilegios.
Fase 5: Perfeccionar con análisis y visualización en tiempo real
La fase final consiste en evaluar la eficacia de las políticas existentes en función de las tendencias de los usuarios, las anomalías de acceso, las alteraciones de las aplicaciones y los cambios en el nivel de sensibilidad de los datos.
En este punto, las organizaciones deben mantener la visibilidad de las aplicaciones y servicios de los usuarios, y los niveles de riesgo asociados; también pueden obtener una mayor visibilidad y establecer un conocimiento profundo de la actividad en la nube y en la Web para realizar ajustes y supervisar los datos y las políticas sobre amenazas. Además, pueden identificar a las partes interesadas clave para el programa de gestión de la seguridad y los riesgos (CISO/CIO, jurídico, CFO, SecOps, etcétera) y aplicar visualizaciones a los datos que puedan comprender. Igualmente pueden crear cuadros de mando compartibles para obtener visibilidad de los diferentes componentes.
WhatsApp eSemanal 55 7360 5651
