Adaptación del articulo “ZERØTRUST Enforcing Business Risk Reduction Through Security Risk Reduction» https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/from-bounty-to-exploit-cybercriminals-use-crowdsourcing-for-new-attacks

A diferencia de los modelos de confianza tradicionales, en los que la seguridad no está siempre presente en todos los casos, la Cero Confianza gira en torno a un enfoque de «siempre presente en todas partes».

La cero confianza es un enfoque de la seguridad «siempre presente en todas partes». Contrasta con los modelos tradicionales de confianza heredados en los que la seguridad está «presente a veces, en algunos casos». Los modelos de confianza heredados eran un enfoque de bajo coste y alto valor para aumentar los esfuerzos de un atacante, pero en una era de automatización de los atacantes y de compromiso de la cadena de suministro, eso ya no es cierto. Los modelos de confianza heredados se rompen por esta combinación de automatización y ataque a la cadena de suministro.

Hay tres conclusiones principales de este debate sobre la cero confianza:

  • La Cero Confianza pone de relieve las fuentes de datos de baja credibilidad, proporcionando información sobre dónde se puede invertir para reducir los costes de automatización y el trabajo.
  • Al conocer el riesgo de identidad de los recursos internos, externos, humanos y de dispositivos, las cadenas de suministro de datos «internas» y «externas» pueden manejarse de forma idéntica y transparente.
  • La Cero Confianza puede asegurar las brechas que pueden encontrarse en el comercio minorista omnicanal y de nueva generación.

Zero Trust: un nuevo paradigma en la ciberseguridad | BBVA

Explorando el Concepto de Cero Confianza

Cero Confianza implica la gestión del riesgo de identidad y la evaluación continua. Esto significa que las perspectivas de seguridad que se derivan de Cero Confianza son mucho más precisas que los modelos tradicionales de seguridad informática. Al ser más precisos, pueden ser más automatizados, menos manuales y con menos personal. También es menos probable que interrumpan los ingresos. Dado que la confianza en la precisión de los datos significa que se necesitan menos datos para tomar la misma decisión, se pueden reducir los costes de procesamiento y almacenamiento relacionados con la nube. Este método de evaluación continua y permanente de la Cero Confianza podría considerarse como un modelo obligatorio, tipo «opt-out».

Aunque la mayoría de los mensajes de Confianza Cero lo describen como «Nunca confíes, siempre verifica», una mejor descripción es «Culpable hasta que se demuestre su inocencia». Todos los usuarios, dispositivos y transacciones se consideran siempre sospechosos. No existe un refugio seguro en el que un hacker o un defraudador pueda esconderse del ojo de la red. Al no confiar en ninguna entidad, transacción, dispositivo o usuario, no existe un perímetro que pueda atravesar. No hay ningún hacker que diga «estoy dentro», porque no hay «dentro».

La confianza cero podría considerarse como el reverso de los modelos tradicionales de seguridad manual. Es «como un opt-out» en lugar de «como un opt-in». En los modelos tradicionales, el riesgo de seguridad de la empresa es asignado por el personal con poca o ninguna orientación central por parte de los arquitectos de identidad. Los registros de identidad, la asignación de derechos y privilegios, la gestión de inventarios, la gestión de incidentes y las investigaciones suelen realizarse sin la orientación del negocio, la identidad, la seguridad y los arquitectos de la compañía y, por tanto, suelen estar fragmentados. A menudo, el personal responsable de estas funciones no tiene ninguna idea de la relevancia del negocio, el riesgo empresarial o la posible pérdida de ingresos relacionada con los poderes que otorgan a estas identidades. Cuando se bloquean, las funciones de seguridad tradicionales se hacen por este trabajo de «mejor esfuerzo», y el riesgo en realidad aumenta dentro de la empresa al aumentar la probabilidad de falsos positivos que afecten a los ingresos. Estos falsos positivos aumentan la posibilidad de que se produzcan cortes en la red de producción (y otros fallos) o aumentan el número de personal superior necesario para aplicar su criterio a la hora de solucionarlos.

Reduciendo el Radio de Acción de la Respuesta de Seguridad

La seguridad es en sí misma un riesgo, y (antes de la Cero Confianza) la seguridad crea costes al hacer su trabajo de una manera tradicional y contundente que ignora el contexto. Un ejemplo es que las funciones de misión crítica, como las de una fábrica inteligente, pueden verse interrumpidas por la seguridad no Cero Confianza con un impacto inmediato de millones de dólares por minuto. Otro ejemplo es el de la seguridad no Cero Confianza que bloquea las redes de telecomunicaciones u hospitalarias críticas para la vida, con un impacto inmediato en la vida humana.

Cuando se reconoce el contexto de seguridad de Cero Confianza y se responde a él, el resultado de la acción de seguridad es mucho más preciso al tiempo que se abordan los profesionales del negocio como los ingresos, la criticidad de la vida y/o de la misión. Lo que esto significa es que cuando las prioridades de riesgo empresarial se añaden a sistemas como el de Cero Confianza que manejan el riesgo de seguridad, en efecto el sistema de Cero Confianza está aplicando realmente la reducción del riesgo empresarial a través de la reducción del riesgo de seguridad. Esto supone una profunda mejora con respecto a los modelos de seguridad tradicionales.

Aplicación de la Reducción del Riesgo Empresarial a través de la Reducción del Riesgo de Seguridad

«Supply Chain as Kill Chain: Security in the Era of Zero Trust» es un documento exploratorio con visión de futuro que destaca los distintos aspectos de la confianza cero. Mientras que otros documentos se centran en la tecnología, este documento se centra en el uso y el valor de esa tecnología, centrándose en el «por qué» más que en el «cómo» de la Cero Confianza. Dada la naturaleza del artículo, se puede considerar un artículo de liderazgo de pensamiento para su posible uso en la planificación ejecutiva, más que una revisión del panorama del estado actual de la industria o un lanzamiento centrado en el producto.

Un lector podría sacar las siguientes tres conclusiones principales de este documento de Cero Confianza:

  • Higiene de los datos. Cero Confianza pone de manifiesto las fuentes de datos de baja credibilidad, lo que proporciona información sobre dónde se puede invertir para reducir los costes de automatización y el trabajo. La higiene de los datos derivada de Cero Confianza reduce el riesgo de contaminación de las decisiones (una especie de noticias falsas consumidas por los ejecutivos y la IA). También apoya las decisiones de mayor precisión tomadas con menos datos, lo que tiene el efecto de reducir los costes de almacenamiento y procesamiento en la nube.
  • Seguridad de la cadena de suministro. Al conocer el riesgo de la identidad de los recursos internos, externos, humanos y de dispositivos, las cadenas de suministro de datos «internas» y «externas» pueden manejarse de forma idéntica y transparente. El beneficio incidental de este enfoque es que el uso de identificadores globales comunes (identidades federadas) facilita la venta a otras empresas muy grandes, como los miembros de la federación (la interoperabilidad es más barata cuando se utilizan identificadores únicos comunes). Entre ellas se encuentran los gobiernos y sus proveedores.
  • Omnichannel y comercio minorista de nueva generación. Omnichannel es el concepto de «todos los canales, una experiencia». Los clientes se relacionan con su empresa, en lugar de con servicios o departamentos individuales. Al unirlos, hay muchas oportunidades de ahorro de costes, pero también de fraude y ciberdelincuencia. Estas lagunas pueden asegurarse utilizando Cero Confianza para las compras tradicionales, así como para las compras móviles en línea. Estas brechas pueden asegurarse tanto si la compra la realizan seres humanos con teléfonos como si lo hacen coches autónomos en itinerancia, y pueden configurarse para satisfacer las demandas de integridad unificada entre las redes de facturación y de datos. Esta unidad omnicanal también puede utilizarse para cumplir los requisitos de conformidad.

«A medida que el mundo se vuelve menos estable debido al cambio climático, la edad, la guerra, la interrupción de los cambios en el suministro y la consiguiente competencia agresiva y feroz por los recursos cada vez más escasos, un enfoque más sofisticado, matizado y rentable de la seguridad ayudará a las organizaciones más sanas a sobrevivir.»

Recomendaciones

Por parte de Nemesis recomendamos el uso de la solución AppGate SDP, una solución centrada en Acceso a la Red con Cero Confianza (ZTNA).

Arquitectura de Cero Confianza Segura y Flexible

Al ofrecer una sólida automatización y diversas opciones de despliegue, la arquitectura de confianza cero de Appgate SDP refuerza su postura de seguridad a la vez que alivia la carga de los ocupados equipos de TI.

  • Infraestructura camuflada: Hace que su red sea invisible con la autorización de paquete único (SPA).
  • Centrado en la identidad: Evalúa la identidad de cada usuario, el dispositivo y el riesgo contextual como criterios para un acceso seguro
  • Dinámico y continuo: Supervisa y modifica el acceso automáticamente en función de los cambios de contexto y de riesgo
  • Microperímetros: Aplica el principio de mínimo privilegio al conceder sólo acceso a recursos microsegmentados
  • Programable y adaptable: La tecnología API-first se integra fácilmente y mejora su arquitectura existente

En este enlace puede aprender más de cómo funciona esta solución, tenga en cuenta que la pagina se encuentra en inglés.