ZERO - TRUST - Un nuevo entorno de seguridad

Hoy nos toca hablar del Zero-Trust. ¿Qué es? ¿Es una moda? ¿En qué se basa? ¿Merece la pena tenerlo en cuenta o implementarlo? 

Hasta hace unos años el abordaje de la seguridad en las redes y sistemas informáticos era perimetral. ¿Qué significa eso? Pues que cuando se otorgaba el acceso a un Sujeto o un objeto a una red, tenía de facto acceso y visibilidad del resto de elementos de dentro de esa red. Por verlo de una forma más sencilla: cuando un castillo baja el puente levadizo para dejarte pasar y una vez dentro puedes deambular por todo el castillo (cocinas, la cuadra, la herrería, habitaciones, etc...)

Jajaja, no. Que estas cosas pasan

Pero la situación ya no es la misma. Los entornos ya no son cerrados o herméticos, sino que nos encontramos con que nuestro negocio y nuestra información (o sea: nuestro dinero) pasa por entornos en la nube, híbridos, o donde podemos acceder a la información desde cualquier punto y con cualquier dispositivo móvil (teletrabajo, BYOD, IOT,...) Por tanto, éste modelo de seguridad perimetral se ha quedado obsoleto y completamente insuficiente.

Por esta razón, se está cambiando el enfoque sobre la metodología o filosofía de la seguridad. Pasamos de un entorno donde la máxima era: Confía, pero verifica a un entorno donde la máxima es: No confíes en nadie, nunca. Es como pasar de un castillo a una cárcel.

En una cárcel cada estancia está sectorizada del resto, y en cada acceso hay un control. De ésta forma tanto la entrada como la salida de personas de dicha cárcel está muy controlada. 

Pero un entorno de Confianza Cero no se trata solo de los accesos físicos (hardware) Es un cambio completo de paradigma y de cómo abordamos la seguridad. Se tiene que proteger la información en sus tres estados naturales: durante su archivado, mientras se transmite y durante su procesamiento.

Por tanto, el módelo de Confianza-Cero (Zero-trust) abarca todos los frentes. Ya en otras entradas hemos hablado de la Defensa en profundidad, donde se hace una abstracción de las capas que rodean a nuestros datos/información. Aquí pasa lo mismo, debemos aplicar controles de seguridad que abarquen todos los entornos y estados de la información. 

Ejemplo de una buena política de seguridad

Por tanto, antes de empezar debemos preguntarnos muchas cosas:

¿Quién (o qué) navega por mi red?

¿Por qué tiene acceso?

¿Desde dónde y cómo accede?

¿Cuando lo hace y cuanto tiempo?

¿A qué información accede? 

¿Es necesario que tenga acceso a esa información?

¿Cómo me aseguro que esa información no se vea comprometida?

...

A partir de las necesidades de cada uno, se creará una política de seguridad realista, realizable y medible en su eficacia, dónde implementemos medidas de seguridad que puedan contestar a todas estas preguntas con confianza. 

Quizá debamos implementar un sistema de autenticación con doble factor, SSO con expiración de sesión y comprobar en cada conexión si eres quien dices ser, o el uso de token de sesión. Quizá sea la aplicación de una microsegmentacion de la red, o añadir un control de acceso mediante un NAC, o poner una política de hardening adecuada, añadir un sistema DLP, y en entornos híbridos poder monitorizar todos los elementos mediante un SIEM, y por supuesto orquestar y automatizar todos los elementos que conviven en nuestro ecosistema. Y por supuesto no hay que olvidar a los elementos más importantes: las personas. Que siempre tendemos a preocuparnos solo de los sistemas, pero en todo plan de seguridad se debe añadir a las personas que los usan, para asegurarnos de que los usan de forma adecuada.

Un último punto importante de este tipo de entornos es la posibilidad de automatizar la detección y corrección de irregularidades, así como la medición de su alcance y efectividad. 

Y ahora ¿Crees que merece la pena implementar éste tipo de entorno? 

Aquí una infografía, si es que no te gusta leer tanto:

Y ya sabes, si ésta es tu primera noche en el club...