Confianza cero: lo bueno, lo malo y lo feo


La confianza cero es una buena plataforma de ciberseguridad, pero los expertos sugieren tener cuidado para hacerlo bien y no privar a los usuarios de sus derechos.

Tecnología de escudo

Imagen: iStockphoto / milo827

Gracias a la pandemia, el modelo de ciberseguridad de confianza cero se ha hecho realidad. Sin embargo, como la mayoría de las cosas relacionadas con la ciberseguridad, la confianza cero tiene un lado bueno, un lado malo y un lado feo. Antes de entrar en eso, es necesario ponerse de acuerdo sobre lo que significa confianza cero, ya que hay muchas definiciones diferentes flotando en el ciberespacio.

Para muchos, Zeljka Zorz, editor gerente de Assist Internet Stability, se ha convertido en la fuente de información relacionada con la confianza cero. En su artículo, Prevención de amenazas internas, pérdida de datos y daños a través de la confianza cero, cita a Invoice Harrod, CTO federal de MobileIron: «En resumen, el modelo de confianza cero exige que solo las personas o los recursos adecuados tengan el acceso correcto a los datos y servicios correctos, desde el dispositivo correcto, en las circunstancias adecuadas».

En su artículo de TechRepublic, 5 consejos para implementar un modelo de confianza cero, Lance Whitney ofrece información sobre cómo configurar y hacer cumplir la confianza cero.

VER: Política de TI en la sombra (TechRepublic Quality)

Zorz, en un artículo de Support Net Safety más reciente El creador de Zero Belief habla sobre implementación, conceptos erróneos, estrategia, habla con John Kindervag, vicepresidente senior de estrategia de ciberseguridad en ON2IT, sobre la confianza cero, preguntando específicamente qué estamos haciendo bien y qué estamos haciendo mal. Si alguien debería saberlo, es Kindervag: la confianza cero es su creación.

El lado bueno de la confianza cero

Para encontrar soporte para la confianza cero, Kindervag le dice a Zorz que no necesitamos buscar más allá de la gente de la NSA, quienes posiblemente tienen algunos de los entornos más seguros del mundo. Están convencidos de que la confianza cero es el camino a seguir, y lo dicen en su periódico. Adopción de un modelo de seguridad de confianza cero.

«Debido a que la confianza cero se centra en lo que se protege, detiene el tráfico que no cae dentro del nivel granular Método Kipling declaraciones de política «, explicó Kindervag.» Esto significa que el tráfico saliente a un nodo (de comando y command), que es cómo funcionan tanto el ransomware como la exfiltración de datos (la infracción true), se detendrá automáticamente «.

Kindervag defiende el método Kipling como una de las razones por las que las implementaciones de confianza cero tienen éxito. «Durante años, he utilizado el método Kipling para ayudar a las empresas a definir políticas y crear redes de confianza cero», escribió Kindervag en su publicación de web site de Palo Alto Networks. No todas las capas son iguales. «Garantiza que los equipos de seguridad sean minuciosos en sus definiciones y que cualquier persona, incluidos los ejecutivos de negocios no técnicos, pueda comprender las políticas de ciberseguridad debido a la simplicidad del enfoque».

El lado malo de la confianza cero

El lado malo de la confianza cero se refiere a los malentendidos que se están propagando actualmente. «Entre los conceptos erróneos que Kindervag está ansioso por disipar es que la confianza cero hace que un sistema sea &#39confiable&#39 y que se trata solo de identidad y autenticación multifactor (MFA)», mencionó Zorz. «La confianza cero elimina la confianza de los sistemas digitales, porque la confianza es una vulnerabilidad que puede explotarse».

Si Zero Believe in fuera igual a MFA (como afirman muchos proveedores), entonces ni las infracciones de Snowden ni de Manning habrían podido ocurrir «, explicó Kindervag.» Tenían soluciones de identidad y MFA muy sólidas, pero nadie miró sus paquetes después de -autenticación.»

Otra cosa que Kindervag encuentra desconcertante es que los proveedores están redefiniendo el significado de confianza cero para que coincida con lo que sus productos son capaces de hacer. Según Kindervag, no existen «productos de confianza cero». Le dijo a Zorz: «Hay productos que funcionan bien en entornos de confianza cero, pero si un proveedor viene a venderle su producto de &#39confianza cero&#39, es una muy buena indicación de que no comprenden el concepto».

Kindervag agregó: «Si está buscando contratar a un proveedor de servicios administrados para que lo ayude con la implementación, pregunte cómo definen la confianza cero: &#39¿Es un producto o una estrategia?&#39 Luego, asegúrese de que la primera pregunta que le hagan sea &#39¿Qué está tratando de proteger?&#39 «

El lado feo de la confianza cero

Desde el principio, el nombre de confianza cero tiene implicaciones no deseadas. En la superficie, parece que la gerencia no confía en los empleados o que todo lo que se hace en la red es sospechoso hasta que se demuestre su inocencia. «Si bien esta línea de pensamiento puede ser productiva cuando se habla de la arquitectura de seguridad de los dispositivos y otros equipos digitales, los equipos de seguridad deben tener cuidado de que no se extienda a informar su política sobre el activo más valioso de un empleador, su gente», mencionó Jason Meller, CEO y fundador de Kolide.

«Los usuarios que sienten que su privacidad está en peligro, o que no tienen la energía para justificar continuamente por qué necesitan acceso a los recursos, en última instancia, cambiarán al uso de sus propios dispositivos y servicios personales, creando un problema nuevo y más peligroso: la TI en la sombra, «continuó Meller. «Es frustrante que los efectos nocivos de no confiar en los usuarios a menudo los obligan a poco confiable, lo que a su vez alienta a los profesionales de TI y seguridad a abogar por políticas más agresivas basadas en cero confianza «.

En la entrevista, Meller sugirió que lo primero que deben hacer las organizaciones que buscan implementar la confianza cero es formar un grupo de trabajo con representantes de recursos humanos, expertos en privacidad y los propios usuarios finales. Añadió: «Este grupo debe considerar cuáles son las reglas de participación para los equipos de seguridad y TI que interactúan con dispositivos que pueden contener datos personales, y asegurarse de que esas reglas se comuniquen bien tanto al equipo de seguridad como a los empleados».

Pensamientos finales

En conclusión, Kindervag abordó la preocupación de que la confianza cero es solo para mega corporaciones. «Puede ser implementado tanto por las organizaciones más grandes como por las más pequeñas del mundo», explicó, «y puede ayudar a proteger contra los azotes cibernéticos más temidos de la actualidad: ataques de ransomware y filtraciones de datos».

Ver también



Enlace a la noticia initial