La transición de las VPN al acceso de confianza cero requiere reforzar la gestión de riesgos de terceros



La transición a una arquitectura de confianza cero está plagada de desafíos que pueden avergonzar a un rompecabezas monocromático de 10,000 piezas. El equipo de TI no solo debe reconocer y validar a todos los empleados corporativos, sus dispositivos informáticos y sus aplicaciones, sino que también debe hacerlo para las personas clave que no son empleados, los proveedores externos y los socios que acceden a los activos corporativos.

Es una tarea bastante difícil cuando uno sabe quiénes son sus principales socios externos en la cadena de suministro se vuelve casi imposible administrar socios secundarios, terciarios y otros también. Y ahí está el reto de definir quién es un usuario autorizado y autenticado y quién no.

Si bien muchos de los productos de acceso a la red de confianza cero (ZTNA) de hoy en día afirman ofrecer autenticación y autorización continuas de cada usuario, dispositivo y aplicación conocidos y registrados que intentan acceder a una pink todo el tiempo, a menudo lo que las empresas realmente experimentan es ligeramente diferente, dice Jason Georgi, CTO de campo en Palo Alto Networks. En lugar de una autenticación constante, obtienen una autenticación inicial para cada acceso.

Hoy, dice, los productos ZTNA se destacan en la microsegmentación de redes y brindan un acceso muy limitado a los activos corporativos en la crimson, pero espera que los productos ZTNA de próxima generación brinden mayor seguridad para los datos que se procesan.

A papel blanco por John Grady, analista sénior de Organization Tactic Team, y encargado por Palo Alto Networks, afirma que hay varias áreas en las que los productos actuales de ZTNA se están quedando cortos. Entre las mejoras que pidió Grady se encuentran la prevención de violaciones de privilegios mínimos, la capacidad de cancelar el acceso de una aplicación si comienza a comportarse de manera imprevista o inaceptable después de otorgar el acceso, y la capacidad de realizar inspecciones de seguridad de los datos que no están siendo inspeccionados actualmente.

Reducción del riesgo de terceros

Las empresas que trabajan para mejorar su perfil de riesgo mediante el empleo de ZTNA solo obtienen beneficios marginales si no se aseguran de que los terceros que autorizan no estén ya comprometidos. Para lograr esto, las empresas que se mueven hacia la confianza cero también deben mejorar su gestión de riesgos de terceros (TPRM).

Las organizaciones que emplean ZTNA requieren que los usuarios remotos ingresen a Microsoft Active Listing u otro sistema de autenticación. Si bien eso funciona bien para los empleados remotos, se queda corto cuando el usuario de acceso remoto es un socio comercial o un proveedor. Debido a esto, estos socios a menudo necesitan acceder al entorno corporativo a través de una red privada digital (VPN). Pero las VPN tienen limitaciones de seguridad inherentes y no escalan bien. Como resultado, alguien que usa una VPN para acceder a los activos corporativos detrás del firewall corporativo ya tiene más acceso del que necesita los usuarios maliciosos podrían aprovechar esto para atacar la red desde adentro.

«Si piensas en todas las cosas malas que han ocurrido, siempre es a través de la puerta trasera de la conexión de un proveedor porque tienes un canal completamente abierto en una VPN», dice Dave Cronin, vicepresidente de estrategia de seguridad cibernética de Capgemini Americas.

Pero las VPN, a pesar de tener una seguridad menos integral que las ofertas de confianza cero, no van a desaparecer, advierte. Una arquitectura de confianza cero requiere que cada usuario esté preautorizado dentro de un entorno de confianza, por ejemplo, al estar incluido en Microsoft Energetic Directory o alguna aplicación equivalent. Eso no sucederá cuando las organizaciones tengan cientos o miles de socios en la cadena de suministro que no estén identificados, autenticados y registrados individualmente.

«En muchos casos, las organizaciones colocan conjuntos adicionales de controles en torno específicamente al componente de acceso de terceros porque, en algunos casos, los terceros usan dispositivos no administrados, lo que significa que usan sus propios dispositivos corporativos o incluso dispositivos personales para acceder a las aplicaciones empresariales de una empresa», dice Andrew Rafla, socio y director, así como líder de riesgo cibernético y confianza cero, en Deloitte. «Hay una mayor necesidad de cambiar hacia una ZTNA más moderna o [Secure Access Service Edge] Soluciones tipo SASE, específicas para acceso de terceros.”

Rafla agrega que el borde de confianza cero (ZTE), a veces denominado SASE, puede verse como un handle de compensación para ayudar a mitigar las amenazas potenciales provocadas por terceros y otros componentes administrados. Dichos controles de compensación, que incluyen seguridad de borde, TPRM, autenticación multifactor y quizás una docena más de controles juntos, pueden ayudar a las empresas a demostrar que deben calificar para un seguro cibernético, que se ha vuelto más difícil de obtener recientemente.

«Cuanto más ágil pueda ser como organización para permitir el trabajo remoto, más fácil, en common, le resultará hacer lo correcto para evitar el acceso de terceros a sus entornos de sistemas de aplicaciones», dice Josh Yavor, CISO. en Tessian. «La razón de esto es que al llevar la seguridad a los dispositivos y luego a la capa de aplicación, significa que si bien las redes siguen siendo absolutamente relevantes y críticas, lógicamente estamos construyendo nuestras burbujas defensivas de riesgo alrededor de las aplicaciones mismas, y luego los dispositivos e identidades que están en uso al acceder a ellos.

«Al separar lo que solía ser un pensamiento completamente dependiente de la purple en esas capas, significa que tenemos opciones más granulares para permitir el acceso seguro de nuestros terceros».

Dicho esto, si bien es possible que las redes híbridas de VPN y ZTNA se queden en el futuro previsible, la seguridad de VPN debe mejorarse agregando más controles de autenticación y la capacidad de cerrar la conexión si el usuario accede a datos o aplicaciones inapropiados. Esto podría incluir mejorar los controles de puerto y protocolo para contener el riesgo.



Enlace a la noticia unique