5 consejos para implementar un modelo de confianza cero


A medida que los atacantes se dirigen cada vez más a usuarios, cuentas y activos menos tradicionales, las organizaciones deberían considerar un proceso de este tipo para reforzar la seguridad, dice CyberArk.

zero-in-on-zero-trust.jpg

Imagen: Illumio

Las organizaciones luchan continuamente con las mejores formas de proteger sus activos, especialmente a medida que más de ellos migran a la nube y los atacantes se vuelven más inteligentes y sofisticados. Una opción que a menudo se promociona es un modelo de confianza cero a través del cual el acceso a los recursos críticos se cut down y se otorga solo bajo condiciones específicas. Pero las organizaciones que planean implementar la confianza cero deben asegurarse de que el proceso se realice correctamente para aprovechar al máximo el dinero.

VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)

En un informe publicado el jueves, el proveedor de seguridad CyberArk explain cinco consejos sobre cómo configurar eficazmente un modelo de confianza cero. Patrocinado por CyberArk, «Encuesta CISO Watch 2021: Informe de Cero Confianza y Acceso Privilegiado«recopiló los consejos basados ​​en entrevistas con 12 altos ejecutivos de seguridad de las empresas World 1000».

1. Identificar objetivos sujetos a ciberataques

Los atacantes persiguen cada vez más a los usuarios finales y otros tipos de objetivos que tienen un acceso valioso o poderoso. Para contrarrestar esta táctica, identifique a los usuarios con acceso de alto valor, así como los sistemas y datos con más probabilidades de ser el objetivo. ¿Dónde están estos sistemas y datos y qué tipos de usuarios necesitan interactuar con ellos?

También debe mirar las cuentas de servicio con acceso de alto valor. Normalmente, los desarrolladores crean estas cuentas a lo largo del tiempo y no se gestionan de forma centralizada. Una forma de encontrarlos es utilizar la analítica para examinar los registros de bases de datos y aplicaciones altamente sensibles, de modo que pueda determinar la fuente de sus inicios de sesión.

A continuación, controle las cuentas administrativas. Mantener un inventario de todas las cuentas administrativas puede ser un desafío, especialmente para las aplicaciones en la nube, SaaS y RPA, ya que los administradores de estas aplicaciones pueden no ser parte de un equipo técnico. Considere trabajar con el equipo de adquisiciones para garantizar que todos los nuevos controles de seguridad, componentes de infraestructura y aplicaciones se identifiquen y se incorporen al programa de seguridad.

2. Asegúrese de que su implementación de MFA sea efectiva

Las organizaciones a menudo inician su proceso de confianza cero centrándose en la autenticación multifactor. Pero debes asegurarte de hacerlo bien para que los atacantes no puedan escabullirse.

Una estrategia es utilizar un inicio de sesión único basado en estándares. MFA combinado con SSO mejora la experiencia del usuario al reducir los inicios de sesión y reemplazar las contraseñas con métodos como certificados de dispositivo, biometría y notificaciones push. Siempre que sea posible, utilice herramientas SSO que admitan protocolos estándar como SAML u OpenID Link.

Encuentre formas de bloquear el proceso de registro de MFA. Para lograr este objetivo, utilice un proceso fuera de banda, como una llamada telefónica, para verificar si el usuario legítimo realizó una solicitud de registro. También considere no permitir el registro en más de un dispositivo. Además, asegúrese de que el usuario se registre con una identificación válida, como un pasaporte.

La aceptación del usuario de su implementación de MFA es clave. Haga que la experiencia de autenticación sea coherente en todos los tipos de aplicaciones y plataformas (por ejemplo, net frente a dispositivos móviles). Utilice métodos más sencillos, como la biometría o las notificaciones automáticas, siempre que sea posible. Alinee el método a la sensibilidad del sistema. Por ejemplo, los sistemas altamente sensibles pueden requerir una contraseña de un solo uso, mientras que los sistemas menos sensibles pueden requerir solo una notificación automática.

También debe protegerse contra la fatiga de MFA en la que los usuarios responden a las indicaciones de MFA sin pensar, un proceso que los atacantes pueden aprovechar. Asegúrese de que las solicitudes de reautenticación tengan sentido para el usuario. Por ejemplo, si alguien que trabaja desde casa cambia a un ISP diferente pero permanece en la misma ubicación, es posible que una solicitud de reautenticación no tenga sentido para ellos. Además, asegúrese de que las solicitudes de MFA sean fuera de lo común para que los usuarios les presten atención y las respondan cuidadosamente.

3. Proteja las credenciales de mayor riesgo en un sistema PAM

En un modelo de confianza cero, la mayor parte del acceso de los usuarios a las aplicaciones está protegido con controles como MFA y autenticación adaptativa. Sin embargo, considere usar un sistema de administración de acceso privilegiado cuando se requieran ciertos beneficios de seguridad. Los sistemas PAM deben usarse para proteger todo el acceso administrativo de alto nivel para individuos y cuentas, como un administrador de TI o un proceso con acceso administrativo a la infraestructura.

Las herramientas PAM pueden proporcionar una gama más amplia de controles tanto para las aplicaciones como para la infraestructura, incluidos los siguientes: 1) Almacenamiento de credenciales en una bóveda centralizada de nivel empresarial 2) autenticación fuerte para la recuperación de credenciales por parte de usuarios autorizados 3) rotación automática de credenciales 4) revocación del acceso en caso de comportamiento anómalo y 5) restricciones de hora del día.

4. Permita el acceso suficiente

Proporcionar el acceso suficiente por el tiempo suficiente a los recursos necesarios minimiza el impacto de cualquier intrusión al darle al atacante una huella más pequeña en la que moverse. Para todos los recursos valiosos, minimice la cantidad de cuentas, los usuarios con acceso a las cuentas (tanto humanas como mecánicas) y sus privilegios. Menos acceso es más fácil de proteger, restringir y revisar.

Que sea una prioridad saber quién tiene acceso a qué. Establezca procesos para eliminar con regularidad privilegios y cuentas innecesarios. Configure el acceso de terceros para que se revoque automáticamente después de que expire el contrato. Apunta a implementar análisis para revisar y reforzar el acceso.

También desea minimizar el acceso de administrador community y restringir la instalación de software package. Si un atacante compromete el dispositivo de un usuario, su capacidad para instalar malware dañino y moverse lateralmente es mayor si el atacante obtiene privilegios de administrador neighborhood. Considere no permitir el acceso de administrador community o permítelo solo para ciertos roles. La tecnología de protección de endpoints también puede restringir las instalaciones a aplicaciones incluidas en listas blancas o grises. Además, el acceso justo a tiempo puede otorgar temporalmente a los usuarios privilegios elevados para instalar software, como un controlador de impresora.

5. Impulsar un cambio cultural

La confianza cero no es solo un conjunto de controles. También es una forma de pensar que requiere un cambio cultural. Para tener éxito, necesitará el apoyo y la participación de las partes interesadas en toda su organización.

Primero, comience con el nombre. El término «confianza cero» puede malinterpretarse en el sentido de que implica que la organización no confía en sus empleados. Algunas organizaciones evitan el término por completo y lo reemplazan con términos como «confianza ganada» o « confianza.»

Asegúrese de que los empleados se den cuenta de que son responsables del acceso que se les ha otorgado y de que tener menos privilegios redunda en sus propios intereses. Sea claro que la reducción de privilegios está ocurriendo en toda la organización y no solo para empleados específicos. Inicie campañas de concientización mucho antes de la implementación. Por ejemplo, anuncie que el acceso de administrador regional se revocará ampliamente en seis semanas. Esto les da a los empleados tiempo para pensar en nuevas formas de trabajar.

Por último, centre la formación y la educación de sus usuarios. Priorice a los usuarios que probablemente sean objetivos de spear phishing. Utilice técnicas de marketing como las campañas en las redes sociales para desarrollar contenido más atractivo sobre los riesgos de seguridad. Adapte los mensajes a departamentos específicos. Brinde a los trabajadores remotos orientación específica sobre cómo proteger su entorno de trabajo doméstico, como cambiar la contraseña predeterminada en el enrutador de su hogar.

Ver también



Enlace a la noticia initial